Política de privacidade

para a aplicação web interna « YT Stream » (https://fast.imh-group.us) — Vigente desde: junho de 2025

1. Responsável pelo tratamento

O responsável pelo tratamento no sentido do Regulamento Geral sobre a Proteção de Dados (RGPD) é:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Authorized representative: Christian Aberle
Contacto geral: info@imh-group.us, Telefone: +1 (302) 212-0640

Pedidos de privacidade (acesso, eliminação, retificação, oposição): info@imh-group.us

Os dados da empresa também estão disponíveis no Aviso legal ou Imprint – IMH Group Inc.

2. Finalidade da aplicação

YT Stream é uma ferramenta de administração interna da IMH Group, Inc. para gerir streams ao vivo no YouTube (canais, playlists, agendamentos, media). O acesso está restrito ao pessoal e administradores autorizados. Não são utilizados cookies de rastreio de visitantes, marketing ou analítica.

3. Dados tratados

  • Contas de utilizador: Nome de utilizador, hash de palavra-passe (bcrypt), função (administrador/pessoal), estado de ativação, timestamp de criação.
  • Cookie de sessão: tecnicamente necessário para início de sessão e autorização (ver secção 4).
  • Configuração de canais e streams: Nomes de canais, slugs, agendamentos, entradas de playlist (caminhos/títulos de ficheiros), definições do codificador.
  • Chaves de stream e tokens OAuth: armazenados encriptados na base de dados (Fernet, derivado do segredo da aplicação).
  • Registo de auditoria: Timestamp, nome de utilizador com sessão iniciada, ação (ex. criar, editar, iniciar/parar), ID de canal opcional e detalhe breve (ex. nome do canal) — sem palavras-passe ou chaves de stream em texto simples.
  • Segurança / limitação de taxa: Endereço IP em tentativas de início de sessão falhadas, temporariamente em memória (máx. 15 minutos, não armazenado permanentemente).
  • Registos operacionais e de erro: registos técnicos no servidor (Plesk EU), conteúdo conforme a configuração do servidor.

As funções de pessoal não podem ver chaves de stream em texto simples; os administradores podem gerir chaves. A interface evita deliberadamente mostrar dados pessoais desnecessários nas mensagens.

4. Cookies

Apenas é definido um cookie de sessão (tipicamente denominado session). Este cookie é estritamente necessário para o início de sessão e não requer consentimento nos termos do artigo 25 TTDSG em conjunção com o considerando 28 do RGPD.

  • HttpOnly: sim — sem acesso via JavaScript no navegador.
  • SameSite: Lax (Starlette SessionMiddleware).
  • Secure: em produção com HTTPS ou quando PUBLIC_BASE_URL usa https:// ou cabeçalhos de proxy de confiança estão ativados.

A página de início de sessão indica que ao iniciar sessão este cookie é definido. Não há banner de cookies para marketing ou analítica porque nenhum é utilizado.

5. Bases jurídicas (Art. 6.º RGPD)

  • Art. 6(1)(b): Tratamento para executar a relação de utilização ou prestar o serviço interno a utilizadores autorizados.
  • Art. 6(1)(f): interesse legítimo na segurança informática, rastreabilidade de alterações (registo de auditoria), prevenção de abusos (limitação de taxa de início de sessão).

6. Retenção

  • Contas de utilizador: até desativação ou eliminação por um administrador ou mediante pedido escrito a info@imh-group.us.
  • Sessão: até terminar sessão ou fim da sessão do navegador.
  • Registo de auditoria: até limpeza manual ou eliminação da base de dados; tipicamente conservado por um período mais longo para rastreabilidade operacional. Entradas relativas a um utilizador podem ser tratadas a pedido.
  • Limitação de taxa de início de sessão (IP): máximo 15 minutos em memória, depois eliminação automática.
  • Registos do servidor: conforme a política de retenção do fornecedor de alojamento (Plesk EU).

7. Destinatários e terceiros

Os dados não são partilhados com serviços publicitários ou analíticos. YT Stream não inclui rastreio integrado (ex. Google Analytics).

Quando funcionalidades opcionais são utilizadas, os dados podem ser transmitidos a:

  • YouTube / Google: ao usar OAuth ou a API, sujeito às políticas de privacidade da Google.
  • Jellyfin: apenas se configurado (consultas de metadados).
  • Alojamento (Plesk EU): operação do servidor no âmbito de um acordo de tratamento de dados com o fornecedor.

Recursos CDN externos (Tailwind, htmx) são carregados para a interface; endereços IP podem ser tecnicamente processados pelo fornecedor CDN. Podem ser usados ficheiros estáticos locais.

8. Medidas técnicas e organizacionais

  • As palavras-passe são hasheadas com bcrypt, não armazenadas em texto simples.
  • Chaves de stream e tokens OAuth refresh são armazenados com encriptação Fernet na base de dados.
  • HTTPS está previsto em produção; cookies de sessão recebem o flag Secure quando configurado.
  • Dados da aplicação (DATA_DIR: base de dados, registos, cache) estão fora da raiz web pública ou protegidos por regras do servidor.
  • Acesso apenas após autenticação; restrições baseadas em funções para o pessoal.
  • Proteção CSRF para ações baseadas em formulários.

9. Os seus direitos

Tem, entre outros, os seguintes direitos perante o responsável pelo tratamento:

  • Acesso (Art. 15.º RGPD)
  • Retificação (Art. 16.º RGPD)
  • Eliminação (Art. 17.º RGPD)
  • Limitação do tratamento (Art. 18.º RGPD)
  • Oposição ao tratamento baseado em interesses legítimos (Art. 21.º RGPD)
  • Portabilidade dos dados, quando aplicável (Art. 20.º RGPD)
  • Apresentar reclamação a uma autoridade de controlo (Art. 77.º RGPD)

Eliminação de contas de pessoal: Os administradores podem desativar contas na gestão de utilizadores ou eliminar completamente contas de pessoal. Para outros pedidos, contacte info@imh-group.us.

10. Sem obrigação de fornecer dados

A utilização do YT Stream requer autorização interna. Sem fornecer os dados necessários para o início de sessão, a utilização não é possível.

Aviso legal