Política de Privacidade

Última atualização: 28 de maio de 2026 · Versão: v1.0-draft

Esta página foi redigida como base de trabalho para um produto pré-lançamento. Antes da abertura ao público deve ser revista por advogado em Portugal/UE.

1. Quem somos

A SpeedrunFounder é uma plataforma profissional para o ecossistema startup. O responsável pelo tratamento dos dados é a entidade gestora do projeto, contactável em privacy@speedrunfounder.com.

2. Que dados recolhemos

• Identidade e perfil: nome, foto, localização (cidade/país), línguas, papéis (founder, BA, VC, mentor, incubadora, service provider), pitch/tese/ICP em texto livre, ligações a LinkedIn/X/GitHub/Crunchbase quando ligas.
• Sinais de matching: indústrias, estágios, gama de ticket, sectores, geos, disponibilidade, e o vetor (halfvec) calculado a partir do teu perfil.
• Atividade: intros enviadas e recebidas, mensagens, RSVPs, candidaturas, visualizações de pitch deck que tu próprio receberes.
• Dados técnicos: endereço IP (apenas hashado), user-agent (hashado), cookies de sessão.

3. Bases legais (Art. 6.º RGPD)

• Execução de contrato: criação de conta, matching, mensagens, pagamentos.
• Interesse legítimo: segurança da plataforma, prevenção de abuso, métricas agregadas.
• Consentimento: análise de utilização (PostHog), comunicações de marketing, importação de contactos Gmail.
• Obrigação legal: retenção de registos fiscais (Stripe) e de moderação (DSA).

4. Retenção

• Conta ativa: enquanto manténs a conta + 30 dias após pedido de eliminação.
• Mensagens e intros: até eliminação da conta (com anonimização do remetente para preservar o thread).
• Registos fiscais: 10 anos (CIRC/CIVA).
• Registos de moderação (DSA Art. 17): 6 meses após decisão para janela de recurso.

5. Os teus direitos (Art. 15-22 RGPD)

Tens direito a aceder, retificar, eliminar, restringir, à portabilidade e a opor-te ao tratamento. Disponibilizamos um centro self-serve em /settings/data com:

• Exportar (Art. 20): pacote ZIP com todos os teus dados em JSON + ficheiros (decks, CVs).
• Eliminar (Art. 17): pedido com 30 dias de período de tolerância para cancelamento. Após esse período, dados pessoais são apagados; mensagens em conversas continuam visíveis aos restantes participantes com Utilizador removido em vez do teu nome.
• Retificar (Art. 16): edição direta no perfil.
• Restringir (Art. 18): congelamento do perfil sem o apagar.

Para questões adicionais ou queixa: dpo@speedrunfounder.com. Tens também o direito de reclamar perante a CNPD (cnpd.pt).

6. Subcontratantes

• Supabase (Frankfurt, EU) — base de dados, autenticação, armazenamento, realtime.
• Vercel (edge UE) — alojamento aplicacional.
• Stripe (UE/EUA, com SCCs + EU-US DPF) — pagamentos.
• Resend + Loops — email transacional e marketing.
• AWS Bedrock (eu-central-1) — geração de explicações de matching.
• Voyage AI — geração de embeddings.
• PostHog (EU Cloud) — analítica de produto (apenas com consentimento).
• Sumsub (Frankfurt) — KYC para verificação de investidor.

DPAs assinados com todos os subcontratantes acima. Transferências para fora da UE são cobertas por SCCs ou EU-US Data Privacy Framework, com TIA documentada para cada uma.

7. Segurança

• Conexões TLS obrigatórias.
• Senhas armazenadas pelo Supabase Auth via Argon2.
• RLS (Row-Level Security) em todas as tabelas com dados pessoais.
• Logs de auditoria em todas as ações sensíveis.
• Eliminação programada com cancellation token.

8. Menores

A SpeedrunFounder não se destina a menores de 18 anos. Não recolhemos conscientemente dados de menores.

9. Alterações

Notificamos por email + banner em produto quando esta política mudar materialmente. Histórico de versões em /legal/privacy/history.