Política de Privacidade
Última atualização: [DATA DO LANÇAMENTO] Versão: 1.0
1. Quem somos
Esta Política de Privacidade descreve como o Beach Info recolhe, utiliza, partilha e protege os dados pessoais dos seus utilizadores, em conformidade com o Regulamento Geral sobre a Protecção de Dados (Regulamento UE 2016/679 — RGPD) e a Lei n.º 58/2019 que assegura a sua execução na ordem jurídica nacional.
Responsável pelo tratamento
- Titular: [TEU NOME COMPLETO]
- NIF: [TEU NIF]
- Morada: [TUA MORADA COMPLETA]
- Email: suporte@beach-info.pt
Não dispomos actualmente de Encarregado de Protecção de Dados (DPO) designado, dado não ser exigível pela escala da actividade. Para todas as questões relativas a dados pessoais, contacte directamente o email acima.
2. Princípio fundamental — utilização anónima por defeito
O Beach Info foi desenhado para funcionar sem identificação do utilizador. Por defeito, ao utilizar a aplicação ou o sítio na internet:
- Não recolhemos nome, email, telefone ou qualquer dado que identifique pessoalmente o utilizador.
- É gerado apenas um identificador único do dispositivo (UUID), aleatório, que serve para manter consistência entre sessões mas não permite identificar a pessoa que está por trás do dispositivo.
A identificação só ocorre se o utilizador optar voluntariamente por fazer login (Apple, Google ou Magic Link) ou se for representante de um negócio com subscrição B2B.
3. Dados que recolhemos
3.1. Sempre (utilização anónima)
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| UUID anónimo do dispositivo | Manter sessão, evitar duplicação de reportes | Interesse legítimo (art. 6.º, n.º 1, al. f) RGPD) | Até desinstalação da app ou pedido de eliminação |
| Coordenadas GPS aproximadas (apenas no momento de submissão de bandeira/check-in) | Validar proximidade da praia, prevenir fraude | Interesse legítimo | Anonimizadas/agregadas após 90 dias |
| Praias consultadas, submissões feitas | Funcionamento do serviço, estatísticas agregadas | Interesse legítimo | Indefinidamente (anonimizado para estatísticas) |
| Dados técnicos do dispositivo (modelo, OS, versão da app) | Compatibilidade, depuração técnica | Interesse legítimo | 12 meses |
| Dados de erros e crashes (via Sentry) | Correção de bugs | Interesse legítimo | 90 dias |
3.2. Se fizer login (opcional)
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Identificação, comunicações transaccionais | Execução do contrato + consentimento | Até eliminação da conta | |
| Nome | Personalização da experiência | Execução do contrato | Até eliminação da conta |
| Identificador Apple/Google | Autenticação | Execução do contrato | Até eliminação da conta |
3.3. Se subscrever Pro na aplicação (IAP)
| Dado | Finalidade | Base legal |
|---|---|---|
| Estado da subscrição (activa/inactiva, data de expiração) | Conceder acesso a funcionalidades Pro | Execução do contrato |
| Identificador da transação RevenueCat | Validar compras, processar reembolsos via Apple/Google | Execução do contrato + obrigação legal (fiscal) |
Não recolhemos dados de cartão de crédito. Todos os pagamentos de IAP são processados pela Apple ou Google. Recebemos apenas confirmação da transacção via RevenueCat.
3.4. Se representar um negócio B2B
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| NIF, denominação social, morada do negócio | Faturação, validação fiscal | Obrigação legal (Código do IVA) | 10 anos após cessação (obrigação fiscal) |
| Email, telefone, contacto do representante | Comunicações operacionais e contratuais | Execução do contrato | Até cessação + 1 ano |
| Dados de pagamento Stripe (mascarados) | Cobrança da subscrição | Execução do contrato | Conforme política Stripe |
| Histórico de subscrições e pagamentos | Faturação, suporte | Obrigação legal | 10 anos |
Não armazenamos dados completos de cartão de crédito. Os pagamentos são processados pela Stripe, que é responsável pelo tratamento desses dados sob as suas próprias condições (https://stripe.com/privacy).
3.5. Conteúdo submetido por utilizadores
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Reportes de bandeira | Funcionamento do serviço comunitário | Interesse legítimo | Indefinidamente |
| Fotografias submetidas | Apresentação na ficha da praia/negócio | Interesse legítimo + consentimento (ao submeter) | Indefinidamente, ou até pedido de eliminação |
| Reviews e avaliações | Funcionamento do serviço comunitário | Interesse legítimo | Indefinidamente, ou até pedido de eliminação |
4. Como utilizamos os dados
Os dados recolhidos são utilizados exclusivamente para:
- Prestar o Serviço — apresentar informação de praias, processar submissões, gerir subscrições
- Comunicar com o utilizador — confirmações de subscrição, magic links de login, suporte técnico, avisos legais
- Melhorar o Serviço — análise agregada (sem identificação individual), correção de bugs
- Cumprir obrigações legais — faturação, declarações fiscais
- Prevenir fraude e abuso — detecção de spam, validação geográfica, moderação de conteúdos
Não utilizamos os dados para publicidade comportamental, perfilação para fins comerciais, ou venda a terceiros.
5. Partilha de dados com terceiros (subcontratantes)
Para prestar o Serviço, partilhamos dados com os seguintes subcontratantes, todos com cláusulas contratuais que asseguram a protecção dos dados nos termos do RGPD:
| Subcontratante | Finalidade | Localização | Mecanismo de transferência |
|---|---|---|---|
| Cloudflare (CDN, R2 storage) | Distribuição de conteúdo, armazenamento de fotos | UE / global | Cláusulas Contratuais Tipo (SCC) |
| RevenueCat | Validação de subscrições IAP | EUA | SCC + DPF |
| Stripe | Processamento de pagamentos B2B | UE / EUA | SCC + DPF |
| Resend | Envio de emails transaccionais | EUA | SCC + DPF |
| Sentry | Monitorização de erros e crashes | EUA | SCC + DPF |
| Apple e Google | Stores, IAP, autenticação | Global | SCC (transferências para fora da UE) |
| Servidor próprio em VPS Hetzner | Armazenamento da base de dados principal | Alemanha (UE) | N/A (UE) |
Não partilhamos dados com mais nenhum terceiro para fins de marketing, publicidade, ou comerciais.
6. Transferências internacionais
Sempre que existam transferências para fora do Espaço Económico Europeu (designadamente para os Estados Unidos), aplicamos:
- Cláusulas Contratuais Tipo (Standard Contractual Clauses — SCC) aprovadas pela Comissão Europeia
- Data Privacy Framework (DPF), quando o subcontratante seja certificado
A base de dados principal reside em servidor localizado na Alemanha (Hetzner) — território da União Europeia.
7. Segurança
Adoptamos medidas técnicas e organizativas razoáveis para proteger os dados pessoais, designadamente:
- Encriptação em trânsito (HTTPS/TLS em todas as comunicações)
- Encriptação de palavras-passe (bcrypt) — quando aplicável
- Acessos administrativos protegidos por autenticação forte
- Logs de auditoria de operações sensíveis
- Backups regulares com retenção limitada
- Política de "anonymous-first" — recolhemos o mínimo
Não obstante, nenhum sistema é 100% seguro. Em caso de violação de dados pessoais que represente risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo de 72 horas e os utilizadores afectados, conforme exigido pelo RGPD.
8. Direitos do titular dos dados
Nos termos do RGPD, o utilizador tem os seguintes direitos:
- Direito de acesso — saber quais os dados que detemos sobre si
- Direito de retificação — corrigir dados incorrectos ou desactualizados
- Direito ao apagamento ("direito a ser esquecido") — solicitar a eliminação dos seus dados, salvo nos casos em que tenhamos obrigação legal de os conservar (ex: dados fiscais)
- Direito à limitação do tratamento — em determinadas circunstâncias
- Direito de portabilidade — receber os seus dados em formato estruturado
- Direito de oposição — opor-se ao tratamento baseado em interesse legítimo
- Direito de retirar o consentimento — em qualquer momento, sem afectar a licitude do tratamento anterior
- Direito de não ser sujeito a decisões automatizadas — não tomamos decisões com base exclusivamente em tratamento automatizado que produzam efeitos jurídicos significativos
Como exercer estes direitos
Envie um pedido para suporte@beach-info.pt identificando claramente:
- O direito que pretende exercer
- O UUID do dispositivo (se utilização anónima) ou o email (se tem conta)
Responderemos no prazo máximo de 30 dias, prorrogável até 60 dias em casos complexos. Este serviço é gratuito, salvo em pedidos manifestamente infundados ou excessivos.
Direito de reclamação
O utilizador pode apresentar reclamação à Comissão Nacional de Protecção de Dados (CNPD), sediada em:
- Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
- Telefone: +351 213 928 400
- Site: https://www.cnpd.pt
9. Menores
A utilização do Serviço está reservada a utilizadores com idade igual ou superior a 13 anos.
Em conformidade com o artigo 16.º da Lei n.º 58/2019, o tratamento de dados pessoais de menores de 13 anos está vedado. Não recolhemos intencionalmente dados de crianças com menos de 13 anos.
Se for representante legal de um menor entre os 13 e os 16 anos que utilize o Serviço e pretender retirar consentimento ou solicitar eliminação dos dados, contacte-nos através de suporte@beach-info.pt.
10. Cookies e tecnologias semelhantes
Consulte a nossa Política de Cookies para informação detalhada sobre cookies utilizados no sítio na internet.
A aplicação móvel não utiliza cookies, mas guarda determinadas informações localmente no dispositivo (UUID anónimo, preferências, cache) através de mecanismos próprios do sistema operativo.
11. Alterações a esta Política
Esta Política de Privacidade pode ser actualizada periodicamente. Alterações materiais serão comunicadas por email (caso aplicável) e/ou notificação na aplicação, com pelo menos 30 dias de antecedência.
A versão actualizada está sempre disponível em https://beach-info.pt/privacidade.
12. Contacto
Para qualquer questão relativa a esta Política ou ao tratamento dos seus dados pessoais:
- Email: suporte@beach-info.pt
- Morada postal: [TUA MORADA COMPLETA]