Política de Privacidade

1. Responsável pelo tratamento

O responsável pelo tratamento dos seus dados pessoais é:

Para exercer os seus direitos ou colocar questões relativas à privacidade, utilize o contacto acima indicado ou consulte a secção 10. Contacto e reclamações.

2. Que dados recolhemos

Doadores

• Nome completo
• Endereço de email
• Número de telemóvel
• NIF (opcional, apenas se solicitado recibo de donativo)
• Valor doado e método de pagamento

Membros da comissão

• Nome completo
• Endereço de email
• Número de telemóvel
• NIF
• Morada, código postal e cidade
• Data de nascimento
• Notas administrativas (introduzidas pela secretaria)

Participantes em eventos

• Nome completo
• Identificação do membro (quando aplicável)

Registos de consentimento

Para cada consentimento dado, registamos: a fonte do formulário, o endereço IP, o agente de utilizador do browser (até 500 caracteres), a data e hora exactas, e a versão da política aceite. Estes dados servem exclusivamente para prova de consentimento em caso de auditoria.

3. Finalidades do tratamento

Tratamos os seus dados para as seguintes finalidades. As marcadas como obrigatório são necessárias para processar o seu donativo; as marcadas como opcional dependem do seu consentimento explícito.

Processamento do donativo obrigatório

Emissão do recibo, reconciliação contabilística e comunicação com o processador de pagamentos (Ifthenpay). Sem este tratamento não é possível registar o donativo.
Finalidade interna: donation_processing

Ranking público de doadores opcional

Publicação do seu nome numa lista pública de doadores no sítio da comissão. Só activado se seleccionou "Publicar no ranking de doadores".
Finalidade interna: public_ranking

Comunicações por email opcional

Envio de newsletters e informações sobre actividades da comissão. Só activado mediante consentimento expresso.
Finalidade interna: marketing_email

Fotografia e vídeo em eventos opcional

Utilização de imagens captadas em eventos da comissão em que participa. Só activado mediante consentimento expresso.
Finalidade interna: event_photos

Notificações via WhatsApp opcional — não activo

Envio de mensagens transaccionais via WhatsApp (por exemplo, confirmação de eventos). Esta funcionalidade ainda não está activa; o consentimento pode ser solicitado no futuro.
Finalidade interna: whatsapp_notifications

4. Base legal

Execução de contrato (Art. 6.º, n.º 1, al. b) do RGPD)

Tratamento dos dados de donativos necessário para cumprir a relação entre o doador e a comissão (emissão de recibo, registo contabilístico).

Consentimento explícito (Art. 6.º, n.º 1, al. a) do RGPD)

Rankings públicos, comunicações de marketing por email, fotografia/vídeo em eventos e notificações WhatsApp — cada finalidade requer um consentimento separado, que pode ser retirado a qualquer momento.

Interesse legítimo (Art. 6.º, n.º 1, al. f) do RGPD)

Administração interna da comissão, segurança dos sistemas e prevenção de fraude.

Obrigação legal (Art. 6.º, n.º 1, al. c) do RGPD)

Retenção de registos contabilísticos e fiscais durante o prazo legal exigido pelo Código Comercial português (10 anos).

5. Período de conservação

• Donativos e eventos de pagamento: 10 anos a contar da data do donativo, por obrigação fiscal portuguesa (Código Comercial, Art. 40.º).
• Registos de consentimento: enquanto o titular tiver dados activos na plataforma, mais 10 anos após o apagamento dos dados pessoais, para prova retroactiva em caso de auditoria.
• Dados pessoais (membros e doadores): até pedido de apagamento por parte do titular, ou após inactividade superior a X anos [A actualizar antes de produção — o responsável deve definir o prazo de inactividade].

6. Os seus direitos

Nos termos do RGPD, tem os seguintes direitos relativamente aos seus dados pessoais. Para os exercer, contacte-nos através do email indicado na secção 1.

Direito de acesso (Art. 15.º)

Pode solicitar uma cópia de todos os dados pessoais que conservamos sobre si, incluindo finalidades, categorias de dados, destinatários e prazos de conservação.

Direito à portabilidade (Art. 20.º)

Pode receber os seus dados num formato estruturado, de uso corrente e leitura automática (JSON), e transmiti-los a outro responsável.

Direito ao apagamento (Art. 17.º)

Pode solicitar o apagamento dos seus dados pessoais. Quando existir obrigação legal de retenção (por exemplo, registos contabilísticos), os dados são anonimizados em vez de eliminados.

Direito de rectificação (Art. 16.º)

Pode solicitar a correcção de dados incorrectos ou incompletos.

Direito de oposição (Art. 21.º)

Pode opor-se ao tratamento baseado em interesse legítimo. Analisaremos o pedido e responderemos no prazo legal.

Retirada de consentimento

Pode retirar qualquer consentimento a qualquer momento, sem prejuízo da licitude do tratamento efectuado antes da retirada. A retirada é tão fácil quanto a concessão.

Pode exercer estes direitos através do formulário público de pedido de dados. A plataforma dispõe igualmente de endpoints de API para acesso, portabilidade e apagamento de dados (DSR).

Tem também o direito de apresentar reclamação à autoridade de controlo nacional:
CNPD — Comissão Nacional de Proteção de Dados
www.cnpd.pt

7. Comunicação dos dados

Os seus dados pessoais não são vendidos a terceiros. São partilhados apenas nas seguintes situações:

• Ifthenpay, Lda. — processador de pagamentos (MBWay e Multibanco), com sede em Portugal. Actua como subcontratante nos termos do Art. 28.º do RGPD. Os dados partilhados limitam-se ao necessário para processar o pagamento (valor, referência, número de telemóvel MBWay quando aplicável).
• Por obrigação legal: quando exigido por autoridade competente (por exemplo, Autoridade Tributária), nos termos legalmente previstos.

8. Transferências internacionais

A Ifthenpay opera exclusivamente em Portugal e na União Europeia. Não são efectuadas transferências de dados pessoais para países fora do Espaço Económico Europeu (EEE).

Se no futuro forem introduzidos fornecedores ou serviços fora do EEE, esta secção será actualizada e a versão da política será incrementada.

9. Cookies e armazenamento local

Formulário público de donativo

O formulário público de donativo não utiliza cookies nem rastreamento de terceiros. Não são carregados scripts de análise (Google Analytics ou semelhantes).

Aplicação de administração

A área de administração armazena os seguintes dados em localStorage do browser, exclusivamente no dispositivo do administrador autenticado:

• gildeinn:auth:tokens — token de acesso JWT e token de actualização, com data de expiração. Usados para autenticar os pedidos à API. Eliminados no logout.
• gildeinn:auth:user — nome, email e papel (role) do administrador autenticado, para exibição na interface. Eliminados no logout.

Estes dados não contêm informação de doadores ou membros e não são transmitidos a terceiros.

10. Contacto e reclamações

Para questões relacionadas com a privacidade, exercício de direitos ou reclamações, contacte:

Responderemos no prazo máximo de 30 dias após a recepção do pedido, conforme exigido pelo Art. 12.º do RGPD. Em casos de maior complexidade, o prazo pode ser prorrogado por mais dois meses, com notificação prévia.

Se considerar que o tratamento dos seus dados viola o RGPD, tem o direito de apresentar reclamação à CNPD: www.cnpd.pt.

11. Alterações à política

Qualquer alteração material a esta política resultará numa nova versão (por exemplo, v2, v3). A versão em vigor é identificada no cabeçalho desta página e é registada em cada consentimento capturado — os consentimentos obtidos sob versões anteriores ficam associados à versão vigente à data da sua concessão, mantendo a rastreabilidade do histórico.

Alterações não materiais (correcções tipográficas, clarificações sem impacto nos direitos dos titulares) podem ser efectuadas sem incrementar a versão.

Recomendamos que consulte esta página periodicamente. A data de entrada em vigor consta sempre no subtítulo da página.