Política de Privacidade

Última atualização: 18 de março de 2026

Este documento foi elaborado em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) — Regulamento (UE) 2016/679 — e com a Lei n.º 58/2019 de 8 de agosto, que assegura a execução do RGPD na ordem jurídica portuguesa.

1. Responsável pelo Tratamento

O responsável pelo tratamento dos dados pessoais recolhidos através da plataforma Carimbus (carimbus.online) é:

Designação: Carimbus

Website: https://carimbus.online

Email de contacto (privacidade): privacidade@carimbus.online

2. Dados Pessoais Recolhidos

A Carimbus recolhe e trata as seguintes categorias de dados pessoais, consoante o tipo de utilizador:

Clientes (utilizadores finais)

  • Endereço de e-mail (para autenticação via código OTP)
  • Nome (opcional, fornecido voluntariamente)
  • Histórico de transações (pontos acumulados e prémios resgatados)
  • Dados de utilização da aplicação (sessões autenticadas)

Negócios (utilizadores empresariais)

  • Endereço de e-mail (para autenticação via código OTP)
  • Nome do negócio e cidade
  • Dados de faturação e subscrição (processados pela Stripe)
  • ID de cliente Stripe e ID de subscrição
  • Histórico de transações emitidas e prémios validados
  • Configurações do cartão de fidelização e campanhas criadas

Funcionários (staff dos negócios)

  • Endereço de e-mail (para autenticação)
  • Nome (opcional)
  • Associação ao negócio e histórico de operações realizadas

A Carimbus não recolhe dados de categorias especiais (artigo 9.º do RGPD), nomeadamente dados de saúde, origem racial ou étnica, opiniões políticas, crenças religiosas ou dados biométricos.

3. Finalidades e Base Legal do Tratamento

FinalidadeBase Legal (RGPD)
Autenticação e gestão de contaExecução de contrato — art. 6.º, n.º 1, al. b)
Funcionamento do programa de fidelização (acumulação de pontos e resgate de prémios)Execução de contrato — art. 6.º, n.º 1, al. b)
Processamento de pagamentos e subscriçõesExecução de contrato — art. 6.º, n.º 1, al. b)
Cumprimento de obrigações legais (faturação, contabilidade)Obrigação legal — art. 6.º, n.º 1, al. c)
Melhoria e segurança da plataformaInteresse legítimo — art. 6.º, n.º 1, al. f)
Envio de notificações push (se consentido)Consentimento — art. 6.º, n.º 1, al. a)

4. Subcontratantes e Transferências

Para prestar o serviço, a Carimbus recorre a subcontratantes que tratam dados pessoais em seu nome, todos com garantias adequadas ao abrigo do RGPD:

Supabase, Inc.

Base de dados, autenticação e armazenamento

EUA — cláusulas contratuais-tipo (SCCs)

Política de privacidade →

Stripe, Inc.

Processamento de pagamentos e subscrições

EUA — cláusulas contratuais-tipo (SCCs)

Política de privacidade →

Vercel, Inc.

Alojamento e distribuição da aplicação web

EUA — cláusulas contratuais-tipo (SCCs)

Política de privacidade →

As transferências para países terceiros (EUA) realizam-se ao abrigo das Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia, nos termos do artigo 46.º do RGPD.

5. Prazo de Conservação

DadosPrazo
Dados de conta (e-mail, nome)Enquanto a conta estiver ativa; eliminados 30 dias após pedido de apagamento
Histórico de transaçõesEnquanto a conta estiver ativa ou até expiração dos pontos
Dados de faturação10 anos (obrigação legal — art. 52.º do CIVA e legislação fiscal portuguesa)
Registos de autenticação e segurança90 dias

6. Os Seus Direitos

Ao abrigo do RGPD e da Lei n.º 58/2019, tem os seguintes direitos relativamente aos seus dados pessoais:

Acesso

Obter confirmação sobre se os seus dados são tratados e aceder a uma cópia (art. 15.º).

Retificação

Corrigir dados inexatos ou incompletos (art. 16.º).

Apagamento

Solicitar a eliminação dos seus dados ("direito a ser esquecido") (art. 17.º).

Limitação

Restringir o tratamento em determinadas circunstâncias (art. 18.º).

Portabilidade

Receber os seus dados num formato estruturado e legível por máquina (art. 20.º).

Oposição

Opor-se ao tratamento baseado em interesse legítimo (art. 21.º).

Retirar consentimento

Retirar o consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.

Reclamação

Apresentar reclamação à CNPD (Comissão Nacional de Proteção de Dados): www.cnpd.pt.

Para exercer qualquer um destes direitos, contacte-nos por e-mail para privacidade@carimbus.online. Responderemos no prazo máximo de 30 dias, conforme exigido pelo artigo 12.º do RGPD.

7. Segurança dos Dados

A Carimbus adota medidas técnicas e organizativas adequadas para proteger os dados pessoais contra acesso não autorizado, perda, destruição ou divulgação acidental, nomeadamente:

  • Comunicações cifradas via HTTPS/TLS em todas as trocas de dados
  • Autenticação sem palavra-passe (código OTP por e-mail), eliminando o risco de roubo de credenciais
  • Políticas de segurança a nível de linha (Row Level Security) na base de dados
  • Tokens de sessão com prazo de validade limitado
  • Acesso restrito aos dados com base no papel do utilizador (cliente, negócio, staff)
  • Infraestrutura gerida por subcontratantes certificados (SOC 2)

8. Cookies e Armazenamento Local

A Carimbus utiliza cookies estritamente necessários para manter a sessão autenticada do utilizador. Não são utilizados cookies de rastreamento, publicidade ou análise de terceiros.

São também utilizados mecanismos de armazenamento local (localStorage / sessionStorage) para melhorar a experiência de utilização da aplicação progressiva (PWA), nomeadamente para funcionalidade offline. Estes dados são estritamente funcionais e não são transmitidos a terceiros.

9. Notificações Push

A aplicação pode solicitar autorização para enviar notificações push ao dispositivo do utilizador. Esta funcionalidade é estritamente opt-in — apenas é ativada mediante consentimento explícito do utilizador, que pode ser revogado a qualquer momento nas definições do browser ou do dispositivo.

10. Menores de Idade

A plataforma Carimbus não se destina a menores de 16 anos. Nos termos do artigo 8.º do RGPD e do artigo 16.º da Lei n.º 58/2019, não recolhemos intencionalmente dados de menores. Se tomarmos conhecimento de que dados de menores de 16 anos foram recolhidos sem o consentimento dos respetivos titulares da responsabilidade parental, procederemos à sua eliminação imediata.

11. Violações de Dados

Em caso de violação de dados pessoais que implique risco elevado para os direitos e liberdades dos titulares, a Carimbus compromete-se a notificar a CNPD no prazo de 72 horas (artigo 33.º do RGPD) e a informar os titulares afetados sem demora injustificada (artigo 34.º do RGPD).

12. Alterações a Esta Política

Esta política pode ser atualizada periodicamente para refletir alterações na lei aplicável ou nos serviços prestados. A data da última atualização é indicada no topo do documento. Em caso de alterações materiais, os utilizadores registados serão notificados por e-mail com antecedência mínima de 15 dias.

13. Contacto e Autoridade de Controlo

Contacto Carimbus

Para questões relativas à privacidade ou para exercer os seus direitos:

privacidade@carimbus.online

Autoridade de Controlo

Comissão Nacional de Proteção de Dados (CNPD)

www.cnpd.pt →