Política de privacidade

Última atualização: 12.04.2026

1. Introdução

A IntimX é uma plataforma premium para adultos operada a partir da Suíça pela Artenic_ GmbH. A proteção dos seus dados pessoais está no centro dos nossos compromissos. A presente política de privacidade descreve de forma transparente que dados recolhemos, por que razão e como os tratamos, durante quanto tempo os conservamos, e quais são os seus direitos.

Esta política está em conformidade com a Lei Federal Suíça sobre a Proteção de Dados (nLPD, em vigor desde 1 de setembro de 2023) e, na medida aplicável, com o Regulamento Geral Europeu sobre a Proteção de Dados (RGPD). Em caso de divergência, a nLPD prevalece enquanto direito aplicável.

Ao utilizar a IntimX, reconhece ter lido e compreendido a presente política. Se não concorda com as práticas descritas, queira não utilizar os nossos serviços.

2. Responsável pelo tratamento

O responsável pelo tratamento dos seus dados pessoais é:

Artenic_ GmbH

1950 Sion, Suisse

E-mail : support@intimx.ch

Site : intimx.ch

3. Dados recolhidos

3.1 Dados fornecidos diretamente

Quando cria uma conta, completa o seu perfil ou utiliza os nossos serviços, fornece-nos os seguintes dados:

  • Dados de conta: endereço de e-mail, palavra-passe (armazenada sob forma de hash Argon2id, nunca em texto simples), idioma preferido, aceitação das condições
  • Dados de perfil: nome de exibição, biografia, foto de perfil, atributos físicos (para prestadores), preferências, contactos públicos voluntários
  • Verificação de identidade (KYC): nome próprio, apelido, data de nascimento, telefone, morada, documentos de identidade — todos estes dados são cifrados (AES-256-GCM) numa base de dados separada (vault)
  • Dados financeiros: IBAN (cifrado AES-256-GCM), titular da conta, histórico de transações via Stripe
  • Conteúdo: publicações, stories, media (fotos/vídeos), comentários, avaliações
  • Comunicações: mensagens privadas, mensagens de reserva, denúncias, pedidos de suporte
  • Dados de estabelecimento: nome comercial, número de IVA, morada profissional, contactos — cifrados no vault

3.2 Dados recolhidos automaticamente

Durante a sua utilização da plataforma, determinados dados são recolhidos automaticamente:

  • Dados técnicos: endereço IP (com hash SHA-256 nas sessões, em texto simples nos registos de segurança), User-Agent do navegador
  • Dados de sessão: identificador de sessão, datas de ligação e última atividade, estado (ativa/revogada)
  • Geolocalização aproximada: país e cidade derivados do endereço IP através de uma base de dados local (GeoIP), sem chamada a um serviço externo
  • Cookies: cookies técnicos estritamente necessários ao funcionamento (ver secção 9)
  • Informações do dispositivo: tipo de navegador, sistema operativo, indicador móvel/desktop — utilizados para a confiança do dispositivo

3.3 Dados sensíveis

Dada a natureza da plataforma, alguns dados que escolhe publicar podem revelar informações sensíveis (orientação sexual, preferências). Estes dados são tratados apenas com base no seu consentimento explícito, materializado pela publicação voluntária no seu perfil. Pode eliminá-los a qualquer momento.

3.4 Dados que NÃO recolhemos

Nunca recolhemos: número AVS/SSN, dados médicos, opiniões políticas ou religiosas, dados biométricos para fins de identificação, dados de navegação fora da plataforma. Não utilizamos qualquer cookie publicitário, pixel de rastreamento, nem ferramenta de análise de terceiros (nenhum Google Analytics, Facebook Pixel, etc.).

4. Finalidades do tratamento

  • Prestação do serviçoCriação e gestão da sua conta, exibição do seu perfil, ligação entre utilizadores, mensagens, reservas, subscrições.
  • Segurança e verificaçãoVerificação KYC, deteção de fraude, bloqueio de conta após tentativas falhadas, confiança do dispositivo (OTP), verificação de palavra-passe comprometida (HIBP, k-anonymity), registo de eventos de segurança.
  • PagamentosProcessamento de subscrições, gorjetas e pagamentos via Stripe. A IntimX nunca armazena os seus dados de cartão bancário — são tratados diretamente pela Stripe.
  • ComunicaçõesE-mails transacionais (verificação, reposição, notificações de reserva), notificações na aplicação, respostas do suporte.
  • Melhoria do serviçoMétricas internas agregadas (desempenho, latência, taxa de erros) sem dados pessoais identificáveis. Nenhum perfil de marketing.
  • Obrigações legaisConservação dos dados contabilísticos (10 anos, CO Art. 958f), conservação dos dados KYC (3 anos, interesse legítimo na prevenção de fraudes), denúncia de CSAM às autoridades (Art. 197 CP).

6. Partilha de dados

Os seus dados de perfil público são visíveis para os outros utilizadores de acordo com as suas definições de privacidade. Os dados do seu vault (identidade, KYC, dados bancários) nunca são partilhados com outros utilizadores.

Nunca vendemos os seus dados pessoais. Não os partilhamos com nenhum intermediário de dados, rede publicitária, nem qualquer terceiro para fins de marketing. Nenhum dado é transmitido a terceiros que não os subcontratantes listados abaixo, salvo obrigação legal (ordem judicial, pedido de uma autoridade competente).

Em caso de cessão de ativos, fusão ou aquisição envolvendo a IntimX, os utilizadores afetados serão notificados com pelo menos 30 dias de antecedência antes de qualquer transferência de dados.

7. Subcontratantes e parceiros

Recorremos a um número limitado de subcontratantes para assegurar o funcionamento da plataforma:

ServiçoPrestadorPaísDados transmitidos
Alojamento de servidoresInfomaniak Network SASuíçaTotalidade dos dados (servidores alojados na Suíça)
E-mails transacionaisResend Inc.SuíçaEndereço de e-mail do destinatário, conteúdo do e-mail (SMTP Infomaniak Mail)
PagamentosStripe Inc.Estados Unidos / IrlandaMontantes, identificador do utilizador, dados de cartão (diretamente à Stripe)
CartografiaMapbox Inc.Estados UnidosCoordenadas GPS para exibição de mapa (sem dados pessoais)
Verificação de palavras-passeHIBP (Troy Hunt)Austrália5 primeiros caracteres do hash SHA-1 da palavra-passe (k-anonymity, nenhuma palavra-passe transmitida)

8. Conservação dos dados

Conservamos os seus dados apenas durante o tempo necessário às finalidades descritas, ou para cumprir uma obrigação legal:

DadoPeríodo de conservação
Conta e perfilDuração da conta + 30 dias de período de graça após pedido de eliminação
Documentos e dados KYC3 anos após o encerramento da conta (interesse legítimo na prevenção de fraudes)
Mensagens e conteúdoDuração da conta + 30 dias de período de graça
Dados contabilísticos e transações10 anos (obrigação CO Art. 958f)
Registos de segurança (access logs)90 dias
Sessões de autenticação7 dias (padrão) ou 30 dias (ligação persistente)
Stories24 horas (eliminação automática)
Métricas do sistema7 dias (bruto), 90 dias (horário), 1 ano (diário) — sem dados pessoais

9. Cookies e tecnologias similares

A IntimX utiliza exclusivamente cookies essenciais ao funcionamento do serviço. Não utilizamos qualquer cookie publicitário, de rastreamento, nem de análise de terceiros.

NomeFinalidadeDuraçãoTipo
ix_accessToken de autenticação JWT (acesso)1hEssencial
ix_refreshToken de renovação de sessão7-30jEssencial
age_confirmedConfirmação de maioridade (18+)30jEssencial

Os cookies ix_access e ix_refresh são protegidos pelos atributos HttpOnly e Secure (em produção), impedindo qualquer acesso por JavaScript. Utilizamos também o localStorage para armazenar um indicador de confirmação de idade (ageConfirmed) e um estado de navegação temporário (listing-slugs) — sem dados pessoais.

Nenhum banner de consentimento de cookies é necessário porque utilizamos apenas cookies estritamente necessários ao funcionamento do serviço, isentos de consentimento nos termos da nLPD e da diretiva ePrivacy.

10. Segurança

Medidas técnicas

  • Cifra em trânsito: HTTPS/TLS 1.3 em toda a plataforma
  • Arquitetura vault zero-trust: todos os dados de identidade (nome, apelido, data de nascimento, telefone, morada, IBAN) são cifrados com AES-256-GCM ao nível aplicacional numa base de dados separada. A base de dados apenas vê texto cifrado.
  • Hashing de palavras-passe: Argon2id (64 MiB de memória, 3 iterações) — norma recomendada pela OWASP
  • Tokens e segredos: nunca armazenados em texto simples, sempre com hash SHA-256
  • Isolamento de dados: Row Level Security (RLS) em todas as tabelas com separação rigorosa entre utilizadores
  • Proteção contra injeções: Content Security Policy (CSP) rigorosa com nonce, sem scripts inline

Medidas organizacionais

  • Princípio do menor privilégio: acesso aos dados limitado ao estritamente necessário, registo de auditoria imutável para qualquer ação administrativa
  • Registos de auditoria: toda a ação administrativa (moderação, KYC, alteração de estado) é registada de forma imutável com marca temporal e identidade do agente
  • Monitorização contínua: métricas de segurança em tempo real (tentativas falhadas, bloqueios, anomalias GeoIP)
  • Procedimento de incidentes: protocolo definido para a deteção, avaliação e notificação de violações de dados

Alojamento

Toda a infraestrutura está alojada na Suíça pela Infomaniak Network SA (servidores situados na Suíça). Os dados não saem do território suíço exceto para os subcontratantes listados na secção 7.

11. Os seus direitos

Em conformidade com a nLPD e o RGPD, dispõe dos seguintes direitos sobre os seus dados pessoais:

  • Direito de acessoPode solicitar uma cópia da totalidade dos seus dados pessoais. Uma função de exportação está disponível nas definições da sua conta (reautenticação por palavra-passe necessária).
  • Direito de retificaçãoPode modificar os seus dados de perfil a qualquer momento. Para os dados KYC, contacte o suporte.
  • Direito ao apagamentoPode eliminar a sua conta a partir das definições. Um período de graça de 30 dias permite-lhe cancelar o pedido. Após esse prazo, os seus dados são eliminados de forma irreversível, com exceção dos dados sujeitos a uma obrigação legal de conservação (dados contabilísticos 10 anos) e dos dados KYC conservados 3 anos para a prevenção de fraudes (interesse legítimo).
  • Direito à portabilidadeA exportação dos seus dados está disponível em formato JSON a partir das definições da sua conta, abrangendo 10 categorias de dados.
  • Direito de oposiçãoPode configurar as suas definições de privacidade (visibilidade do perfil, estado online, confirmações de leitura, bloqueio de países) e bloquear utilizadores individualmente.
  • Retirada do consentimentoPode retirar o seu consentimento a qualquer momento eliminando os dados em causa do seu perfil ou eliminando a sua conta.

Como exercer os seus direitos

Para qualquer pedido relativo aos seus direitos, envie um e-mail para support@intimx.ch indicando a sua identidade e o direito que deseja exercer. Responderemos num prazo de 30 dias. Se o pedido for complexo, este prazo pode ser prolongado por 60 dias com notificação.

Autoridade de recurso

Se considerar que o tratamento dos seus dados viola os seus direitos, pode apresentar uma reclamação junto do Encarregado Federal da Proteção de Dados e da Transparência (PFPDT): edoeb.admin.ch.

12. Transferências internacionais

Os seus dados estão alojados na Suíça. Alguns subcontratantes (Stripe, Mapbox, MaxMind, HIBP) estão sediados nos Estados Unidos ou na Austrália. Estas transferências são enquadradas por cláusulas contratuais-tipo (CCT) e medidas de segurança adicionais em conformidade com as exigências da nLPD.

O serviço de verificação de palavras-passe (HIBP) recebe apenas os 5 primeiros caracteres de um hash SHA-1 (k-anonymity) — nenhuma palavra-passe nem dado identificador é transmitido. A resolução GeoIP é efetuada localmente através de uma base de dados incorporada, sem chamada externa.

13. Proteção de menores

A IntimX é um serviço exclusivamente reservado a pessoas maiores de idade (18 anos ou mais). Um portal de verificação de idade é apresentado a cada novo acesso. Os prestadores e criadores devem submeter-se a uma verificação de identidade (KYC) incluindo a verificação da idade.

A IntimX aplica uma tolerância zero relativamente a qualquer conteúdo de exploração de menores (CSAM). Todo o conteúdo suspeito é imediatamente eliminado e denunciado às autoridades competentes em conformidade com o Art. 197 do Código Penal suíço. A conta em causa é suspensa sem aviso prévio.

14. Decisões automatizadas e definição de perfis

A IntimX utiliza tratamentos automatizados nos seguintes domínios: deteção de fraude (bloqueio de conta após tentativas falhadas), verificação de palavras-passe comprometidas (HIBP), moderação de conteúdo denunciado, e recomendações baseadas nos parâmetros de pesquisa.

Nenhuma decisão que produza efeitos jurídicos ou significativos é tomada de forma inteiramente automatizada sem intervenção humana. Tem o direito de contestar qualquer decisão automatizada contactando o suporte.

15. Notificação de violação de dados

Em caso de violação de dados suscetível de gerar um risco elevado para os seus direitos, notificaremos o PFPDT nas 72 horas seguintes ao conhecimento do incidente, em conformidade com o Art. 24 nLPD. Se a violação apresentar um risco elevado para si, será igualmente informado diretamente no mais breve prazo.

Cada incidente é documentado num registo interno que inclui a natureza da violação, os dados afetados, as medidas tomadas e as pessoas afetadas.

16. Alterações à política

Reservamo-nos o direito de modificar a presente política. Em caso de alteração substancial, informá-lo-emos com pelo menos 30 dias de antecedência antes da sua entrada em vigor por e-mail ou notificação na aplicação. A data da última atualização é indicada no topo deste documento. As alterações menores (reformulações, correções tipográficas) não são objeto de notificação.

17. Contacto

Para qualquer questão relativa à proteção dos seus dados ou à presente política:

Artenic_ GmbH — Proteção de dados

E-mail : support@intimx.ch

Site : intimx.ch

Prazo de resposta: 30 dias