Política de Privacidade

Última atualização: julho de 2026

Esta Política de Privacidade explica como a Ampliro AB (“Ampliro”, “nós”, “nosso” ou “nos”) coleta, utiliza, divulga e protege dados pessoais em conexão com a plataforma Diplino e os serviços disponíveis em diplino.com (o “Serviço”).

A Ampliro AB é uma empresa registrada na Suécia (n.º reg. 559488-1517), com endereço registrado em Warfvinges väg 31, 112 51 Stockholm, Sweden.

Esta Política de Privacidade aplica-se a:

  • Pessoas que criam e utilizam contas Diplino (por exemplo, administradores, instrutores, emissores),
  • Pessoas cujos dados constam de certificados ou credenciais emitidos por meio da Diplino (por exemplo, participantes de cursos, empregados),
  • Visitantes do nosso site e aplicações web relacionadas.

Para residentes da Califórnia, consulte também nosso Aviso de Privacidade da Califórnia separado.


1. Quem é responsável pelos seus dados?

A função da Ampliro e da sua organização pode variar dependendo de como você interage com a Diplino:

  • Clientes organizacionais (por exemplo, empresas, provedores de treinamento)
    Quando sua organização utiliza a Diplino para emitir certificados, sua organização é normalmente a responsável pelo tratamento dos dados pessoais relacionados a certificados. A Ampliro atua como subcontratante em nome da sua organização, de acordo com nosso Acordo de Tratamento de Dados (DPA).

  • Usuários da plataforma e visitantes do site
    Para determinados tipos de dados (por exemplo, faturamento, gestão de contas, registros de segurança, nossas próprias análises do serviço e comunicações), a Ampliro atua como responsável independente pelo tratamento.

Se você recebeu um certificado emitido por uma organização que utiliza a Diplino (por exemplo, seu empregador ou um provedor de treinamento), essa organização é geralmente o seu principal ponto de contato para dúvidas sobre como seus dados são utilizados em relação a esse certificado.


2. Informações que coletamos

Os dados pessoais exatos que coletamos dependem de como você utiliza o Serviço, mas podem incluir as seguintes categorias:

2.1 Informações da conta (Administradores, Instrutores, Emissores)

Quando você ou sua organização cria uma conta para utilizar a Diplino, podemos coletar:

  • Nome
  • Endereço de e-mail
  • Senha (armazenada apenas em forma de hash)
  • Nome da organização e função (por exemplo, admin, instrutor)
  • Idioma preferido e configurações
  • Atividade da conta e carimbos de data e hora de login

2.2 Dados de certificados e credenciais

Quando certificados ou credenciais são emitidos por meio da Diplino, podemos tratar:

  • Nome do destinatário do certificado
  • Endereço de e-mail do destinatário (se fornecido)
  • Nome da empresa/organização
  • Cargo ou função (se incluído no certificado)
  • Informações sobre curso, treinamento ou programa
  • Datas de emissão e expiração
  • Identificadores únicos de certificado e dados de verificação
  • Assinaturas criptográficas e hashes utilizados para verificar a autenticidade dos certificados

A extensão e o tipo de dados incluídos em um certificado são determinados pela organização emissora (a Responsável pelo Tratamento).

2.3 Dados de uso e técnicos

Quando você visita diplino.com ou utiliza o Serviço, coletamos automaticamente determinadas informações, tais como:

  • Endereço IP e localização aproximada (com base no IP)
  • Tipo e versão do navegador, tipo de dispositivo, sistema operacional
  • URLs de referência e páginas visualizadas
  • Data e hora de acesso
  • Arquivos de registro e dados de eventos (por exemplo, tentativas de login, alterações de configuração)
  • Informações sobre como você interage com o Serviço (por exemplo, funcionalidades utilizadas, cliques, padrões de navegação)

Essas informações nos ajudam a operar, proteger e melhorar o Serviço.

Utilizamos Plausible Analytics para compreender como os visitantes utilizam nosso site e para melhorar nosso conteúdo, estrutura, desempenho e experiência do usuário. Plausible Analytics fornece estatísticas agregadas do site que respeitam a privacidade, tais como visualizações de páginas, fontes de tráfego, páginas populares, tipo de dispositivo, navegador, país e padrões gerais de uso.

Plausible Analytics não utiliza cookies e não rastreia visitantes em diferentes sites. Utilizamos essas informações para avaliar e melhorar nosso site e nossos serviços com base em nosso interesse legítimo em manter e aprimorar nossa presença digital.

Dentro da aplicação web Diplino (app.diplino.com), também utilizamos PostHog para análises de produto, a fim de compreender como usuários autenticados interagem com o produto — por exemplo, progresso de integração, uso de funcionalidades, ativação e retenção — para que possamos melhorar o Serviço. Por meio do PostHog, podemos tratar um identificador de usuário pseudônimo e endereço de e-mail, o identificador da sua organização e eventos de uso do produto (como páginas visualizadas, ações realizadas como a emissão de um certificado, informações de dispositivo e navegador, e localização aproximada derivada do seu endereço IP). PostHog é hospedado na União Europeia (PostHog EU Cloud), e os dados de análise são armazenados na UE. Como o PostHog utiliza cookies e armazenamento local, nós o carregamos apenas quando você tiver concedido consentimento para cookies de análise; nossa base jurídica para esse tratamento é o seu consentimento, que você pode retirar a qualquer momento por meio das nossas configurações de cookies.

2.4 Dados de comunicação e suporte

Se você entrar em contato conosco (por exemplo, por e-mail ou por canais de suporte), podemos tratar:

  • Nome e dados de contato
  • Organização e função
  • Conteúdo da sua mensagem e qualquer acompanhamento
  • Metadados relacionados a casos de suporte (por exemplo, carimbos de data e hora, status)

2.5 Informações de pagamento e faturamento

Se você adquirir uma assinatura paga:

  • Podemos coletar dados de contato para faturamento (nome, e-mail, organização, endereço).
  • Os pagamentos são tratados por provedores terceiros de pagamento (por exemplo, processadores de cartões). Não armazenamos números completos de cartões de pagamento na Diplino. Identificadores limitados de transação e informações de status podem ser conservados para emissão de faturas e contabilidade.

Não coletamos intencionalmente dados pessoais sensíveis (por exemplo, informações de saúde, categorias especiais de dados) por meio da Diplino e solicitamos aos clientes que não carreguem tais dados no Serviço.


3. Como utilizamos suas informações

Utilizamos dados pessoais para as seguintes finalidades e com base nas bases jurídicas previstas no GDPR:

3.1 Para prestar e operar o Serviço

(Base jurídica: Execução de um contrato, artigo 6.º, n.º 1, alínea b); interesses legítimos, artigo 6.º, n.º 1, alínea f).)

  • Criar e gerenciar contas de usuário e organizações.
  • Emitir, armazenar e gerenciar certificados e credenciais.
  • Fornecer funcionalidade de verificação de certificados.
  • Permitir acesso baseado em funções e administração em nível de organização.

3.2 Para nos comunicarmos com você

(Base jurídica: Execução de um contrato; interesses legítimos.)

  • Enviar mensagens importantes relacionadas ao serviço (por exemplo, avisos de conta, alertas de segurança, atualizações operacionais).
  • Responder a solicitações de suporte, consultas e feedback.
  • Fornecer integração e informações relevantes para seu uso da Diplino.

Também podemos enviar atualizações opcionais de produto ou e-mails informativos. Quando exigido por lei, solicitaremos seu consentimento e você poderá cancelar a inscrição a qualquer momento.

3.3 Para manter a segurança e prevenir abusos

(Base jurídica: interesses legítimos; obrigações jurídicas.)

  • Proteger contas contra acesso não autorizado e abuso.
  • Implementar limitação de taxa e proteção contra força bruta.
  • Monitorar e registrar acessos para detectar atividade suspeita.
  • Responder a incidentes de segurança e investigá-los.

3.4 Para melhorar e desenvolver o Serviço

(Base jurídica: interesses legítimos.)

  • Analisar padrões de uso e desempenho para melhorar estabilidade e usabilidade.
  • Desenvolver novas funcionalidades e melhorar funcionalidades existentes.
  • Agregar e anonimizar dados para estatísticas internas e desenvolvimento de produto.

3.5 Para cumprir obrigações jurídicas e regulatórias

(Base jurídica: obrigações jurídicas, artigo 6.º, n.º 1, alínea c).)

  • Contabilidade, impostos e manutenção de registros societários.
  • Responder a solicitações lícitas de autoridades públicas.
  • Fazer cumprir nossos Termos de Serviço e outros direitos legais.

Quando nos baseamos em consentimento (por exemplo, determinados cookies ou comunicações de marketing, quando exigido), você pode retirar seu consentimento a qualquer momento utilizando os mecanismos descritos nesta política ou na interface relevante.


4. Cookies e tecnologias semelhantes

Utilizamos cookies e tecnologias semelhantes para operar e proteger o Serviço, lembrar suas preferências e compreender como nosso site é utilizado. Para informações detalhadas sobre os tipos de cookies que utilizamos e suas opções, consulte nossa Política de Cookies separada.


5. Como compartilhamos suas informações

Não vendemos seus dados pessoais.

Podemos compartilhar dados pessoais nas seguintes circunstâncias limitadas:

5.1 Provedores de serviços (Subcontratantes Ulteriores)

Contratamos provedores terceiros de serviços cuidadosamente selecionados para nos ajudar a operar a Diplino, tais como:

  • Provedores de hospedagem e infraestrutura em nuvem
  • Provedores de autenticação e bancos de dados (por exemplo, Supabase)
  • Provedores de segurança e CAPTCHA/antiabuso (por exemplo, Cloudflare Turnstile)
  • Processadores de pagamento e plataformas de faturamento
  • Ferramentas de registro, monitoramento e suporte

Esses provedores atuam como subcontratantes ou subcontratantes ulteriores e podem tratar dados pessoais apenas de acordo com nossas instruções documentadas, para as finalidades que especificamos e sob obrigações contratuais que assegurem proteção de dados e segurança adequadas.

Uma lista atualizada dos principais subcontratantes ulteriores é mantida em nossa Lista de Subcontratantes Ulteriores.

5.2 Sua organização e outros usuários

Se você utiliza a Diplino como parte de uma organização:

  • Outros usuários autorizados dentro dessa organização (por exemplo, administradores, instrutores) podem ver seu nome, endereço de e-mail e função no ambiente Diplino da organização.
  • Quando um certificado é emitido, determinadas informações (por exemplo, seu nome, detalhes do certificado) podem ficar visíveis para:
    • A organização emissora,
    • Você como destinatário, e
    • Terceiros que verifiquem o certificado, dependendo da configuração da organização.

5.3 Consultores profissionais e autoridades

Podemos divulgar dados pessoais a:

  • Consultores profissionais (por exemplo, advogados, contadores) quando necessário para fins empresariais legítimos.
  • Autoridades policiais, reguladores ou tribunais quando formos legalmente obrigados a fazê-lo ou quando a divulgação for necessária para proteger nossos direitos, propriedade ou segurança, ou os de nossos usuários ou terceiros.

5.4 Transferências empresariais

Em caso de fusão, aquisição, reestruturação ou venda de todo ou parte do nosso negócio, dados pessoais podem ser transferidos como parte dessa transação. Asseguraremos que qualquer destinatário desse tipo esteja vinculado a obrigações adequadas de confidencialidade e proteção de dados.


6. Transferências internacionais

Estamos sediados na Suécia, e muitos dos nossos sistemas são hospedados dentro da UE/EEE. Alguns dos nossos provedores de serviços podem tratar dados pessoais em países fora da UE/EEE ou do Reino Unido.

Quando dados pessoais são transferidos para um país que não oferece um nível adequado de proteção de dados, implementamos garantias adequadas, tais como:

  • As Cláusulas Contratuais-Tipo da Comissão Europeia (SCCs), e/ou
  • Mecanismos equivalentes de transferência reconhecidos pelas leis de proteção de dados aplicáveis.

Você pode entrar em contato conosco para obter mais informações sobre os mecanismos específicos de transferência nos quais nos baseamos.


7. Segurança dos dados

Levamos a segurança muito a sério e implementamos medidas técnicas e organizacionais adequadas para proteger dados pessoais contra acesso não autorizado, perda, uso indevido ou alteração. Essas medidas incluem, entre outras:

  • Criptografia

    • Criptografia de dados em trânsito (por exemplo, TLS 1.3 ou equivalente).
    • Criptografia de dados em repouso em bancos de dados e sistemas de armazenamento.
    • Uso de assinaturas criptográficas Ed25519 para integridade e verificação de certificados.
  • Controle de acesso

    • Controle de acesso baseado em funções (RBAC) e princípios de privilégio mínimo.
    • Autenticação forte para acesso administrativo.
    • Segregação entre ambientes (por exemplo, desenvolvimento, staging, produção).
  • Monitoramento e registro

    • Registro de auditoria de ações relevantes relacionadas a contas e certificados.
    • Mecanismos de limitação de taxa e proteção contra força bruta.
    • Sistemas de monitoramento de atividade incomum ou suspeita.
  • Medidas organizacionais

    • Obrigações de confidencialidade para equipe e contratados.
    • Treinamento em segurança e privacidade para pessoal relevante.
    • Políticas internas de resposta a incidentes, manuseio de dados e conservação.

Embora nos esforcemos para proteger seus dados pessoais utilizando práticas padrão do setor, nenhum sistema pode ser garantido como 100% seguro. Melhoramos continuamente nossos controles de segurança em conformidade com as melhores práticas e ameaças em evolução.


8. Conservação de dados

Conservamos dados pessoais apenas pelo tempo necessário para as finalidades descritas nesta Política ou conforme exigido por lei. Em geral:

  • Dados de conta e organização
    Conservados durante a vida útil da conta e por um período razoável posteriormente (por exemplo, para backup, resolução de disputas e fins de conformidade).

  • Dados de certificados e credenciais
    Normalmente conservados pelo período durante o qual os certificados possam precisar ser verificados, o que está vinculado à duração do uso da Diplino pela sua organização e a quaisquer requisitos legais ou contratuais aplicáveis. Os períodos exatos de conservação são determinados pela organização emissora e por nossos acordos com ela.

  • Registros de auditoria
    Conservados por aproximadamente 90 dias, salvo se for necessário um período mais longo por motivos de segurança, investigação de incidentes, legais ou de conformidade.

  • Dados de limitação de taxa e eventos de segurança
    Conservados por aproximadamente 7 dias, salvo se forem necessários por mais tempo para investigar ou mitigar atividade suspeita.

Podemos conservar dados anonimizados ou agregados (que não possam ser utilizados para identificar uma pessoa) por períodos mais longos para fins estatísticos e analíticos.


9. Seus direitos nos termos do GDPR e de outras leis

Se você estiver na UE/EEE, no Reino Unido ou em jurisdição semelhante, terá determinados direitos em relação aos seus dados pessoais nos termos das leis de proteção de dados aplicáveis, incluindo:

  • Direito de acesso
    Obter confirmação sobre se tratamos seus dados pessoais e, em caso afirmativo, acesso a esses dados e a determinadas informações.

  • Direito de retificação
    Ter dados pessoais inexatos ou incompletos corrigidos ou completados.

  • Direito ao apagamento (“direito a ser esquecido”)
    Solicitar o apagamento dos seus dados pessoais em determinadas circunstâncias, por exemplo, quando eles não forem mais necessários para as finalidades para as quais foram coletados.

  • Direito à limitação do tratamento
    Solicitar que limitemos o tratamento dos seus dados pessoais em determinadas situações.

  • Direito de portabilidade dos dados
    Receber os dados pessoais que você nos forneceu em formato estruturado, de uso corrente e de leitura automática, e transmitir esses dados a outro responsável pelo tratamento quando tecnicamente viável.

  • Direito de oposição
    Opor-se, por motivos relacionados à sua situação particular, ao tratamento baseado em nossos interesses legítimos (incluindo definição de perfis). Você também tem o direito de se opor a qualquer momento ao tratamento dos seus dados pessoais para marketing direto.

  • Direito de retirar o consentimento
    Quando nos baseamos em consentimento, você pode retirar esse consentimento a qualquer momento. Isso não afetará a licitude do tratamento baseado no consentimento antes de sua retirada.

Exercício dos seus direitos

Se você for administrador ou usuário da Diplino, poderá conseguir acessar e atualizar alguns dos seus dados pessoais diretamente nas configurações da sua conta.

Caso contrário, ou se você for destinatário de certificado, poderá exercer seus direitos entrando em contato com:

  • Sua organização (o emissor do certificado), quando ela atuar como responsável pelo tratamento; e/ou
  • Ampliro, utilizando os dados de contato na Seção 11.

Responderemos à sua solicitação de acordo com as leis aplicáveis e, quando necessário, em cooperação com sua organização.

Reclamações

Você também tem o direito de apresentar uma reclamação a uma autoridade de proteção de dados. Na Suécia, essa autoridade é:

Integritetsskyddsmyndigheten (IMY)
www.imy.se

Você também pode entrar em contato com a autoridade de controlo no seu país de residência ou local de trabalho.


10. Serviços de terceiros

Dependemos de serviços de terceiros para operar a Diplino, tais como:

  • Supabase – autenticação, banco de dados e infraestrutura backend.
  • Cloudflare Turnstile – funcionalidade de segurança e antiabuso (semelhante a CAPTCHA).
  • Processadores de pagamento – para tratar pagamentos de assinaturas e faturamento.
  • Outros provedores de hospedagem, registro e monitoramento, conforme listados em nossa Lista de Subcontratantes Ulteriores.

Esses provedores tratam dados pessoais apenas para as finalidades especificadas pela Ampliro e sob contrato. Suas próprias políticas de privacidade também podem ser aplicáveis quando atuam como responsáveis independentes pelo tratamento em determinadas atividades (por exemplo, processamento de pagamentos).

Incentivamos você a revisar as políticas de privacidade desses terceiros para obter mais detalhes sobre suas práticas de tratamento de dados.


11. Privacidade de crianças

O Serviço não é direcionado a crianças menores de 16 anos, e não coletamos conscientemente dados pessoais diretamente de crianças menores de 16 anos sem consentimento adequado de um dos pais, tutor ou organização responsável (como uma escola ou provedor de treinamento).

Se você acredita que coletamos dados pessoais de uma criança de forma não conforme com as leis aplicáveis, entre em contato conosco, e tomaremos medidas adequadas para investigar e, se necessário, excluir os dados.


12. Alterações a esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir alterações em:

  • Nosso Serviço ou práticas empresariais,
  • Os serviços de terceiros que utilizamos, ou
  • Requisitos legais ou regulatórios aplicáveis.

Quando fizermos alterações materiais, atualizaremos a data de “Última atualização” no topo desta página e poderemos fornecer aviso adicional (por exemplo, por meio do Serviço ou por e-mail, quando apropriado).

Incentivamos você a revisar esta Política de Privacidade periodicamente para se manter informado sobre como tratamos dados pessoais.


13. Contato

Se tiver dúvidas sobre esta Política de Privacidade, nossas práticas de dados ou seus direitos, você pode entrar em contato conosco em:

  • E-mail: privacy@diplino.com
  • Endereço postal:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden