⚠️ Versão draft beta. Este documento será revisto por advogado antes do lançamento comercial.
1. Controlador de Dados
Shiftera é o controlador de dados responsável pelo processamento dos seus dados pessoais em conformidade com o Regulamento Geral de Proteção de Dados (RGPD - Regulamento UE 2016/679) e legislação portuguesa de proteção de dados.
2. Dados Recolhidos
Recolhemos e processamos dados pessoais nas seguintes categorias:
2.1 Dados de Conta:
- Nome completo
- Email e número de telefone (opcional)
- Dados da organização (nome, morada, setor de atividade)
- Password (encriptada com bcrypt)
2.2 Dados de Utilização:
- Dados de turnos e escalas
- Disponibilidades de colaboradores
- Pedidos de folgas e trocas de turnos
- Logs de atividade e timestamps de acesso
- Endereço IP e informações de navegador (user agent)
2.3 Dados Técnicos:
- Cookies de sessão e autenticação
- Identificadores de dispositivo
- Dados de acesso à plataforma (frequência, duração)
3. Base Legal para Processamento (RGPD Art. 6)
3.1 Consentimento (Art. 6.1.a): Recolhemos dados de conta e preferências de comunicação com base no consentimento que fornece ao registar-se.
3.2 Contrato (Art. 6.1.b): Processamos dados necessários para prestar o Serviço (escalas, turnos, dados de equipa) conforme o acordo de subscrição.
3.3 Obrigação Legal (Art. 6.1.c): Retenção de registos conforme legislação laboral portuguesa (conformidade legal).
3.4 Interesses Legítimos (Art. 6.1.f): Segurança da plataforma, prevenção de fraude, detecção de abusos e melhoria contínua do Serviço.
4. Utilização de Dados
Utilizamos os seus dados para:
- Prestar e melhorar o Serviço
- Validar conformidade com legislação laboral
- Enviar notificações e atualizações sobre a conta
- Contacto para suporte técnico e administrativo
- Análise agregada para melhorar funcionalidades
- Segurança, prevenção de fraude e conformidade legal
5. Partilha de Dados e Subprocessadores
Não vendemos nem alugamos seus dados pessoais. Partilhamos dados apenas com os seguintes prestadores de serviço (subprocessadores):
5.1 Prestadores de Serviço Essenciais:
- Supabase - Base de dados PostgreSQL, autenticação e armazenamento. Localização: Frankfurt, EU. (Sujeito a DPA GDPR)
- Vercel - Hospedagem de aplicação e CDN edge. Localização: EU region. (Sujeito a DPA GDPR)
5.2 Prestadores de Serviço Operacionais:
- Resend - Serviço de email transacional (notificações, recuperação de password)
- Sentry - Rastreamento de erros e monitoramento de desempenho (dados técnicos anónimos)
5.3 Requisitos Legais: Partilharemos dados se obrigados por lei, mandado judicial ou solicitação governamental legalmente válida.
6. Retenção de Dados
Dados de Conta: Mantidos enquanto a conta estiver ativa. Após cancelamento, retidos por 30 dias antes de eliminação segura.
Dados de Escalas e Turnos: Mantidos durante a subscrição ativa. Após cancelamento, retidos por 1 ano para conformidade com legislação laboral portuguesa, depois eliminados permanentemente.
Logs de Atividade e Segurança: Retidos por 12 meses para fins de segurança, auditoria e conformidade legal.
Dados de Cookies: Conforme definições de privacidade do navegador (tipicamente 12 meses).
7. Seus Direitos (RGPD Arts. 12-22)
7.1 Direito de Acesso (Art. 15): Pode solicitar uma cópia de todos os seus dados pessoais processados.
7.2 Direito de Retificação (Art. 16): Pode corrigir dados inexatos ou incompletos através das definições da conta.
7.3 Direito ao Esquecimento (Art. 17): Pode solicitar eliminação dos seus dados (sujeito a limitações legais de retenção).
7.4 Direito à Portabilidade (Art. 20): Pode solicitar seus dados em formato estruturado, comum e legível por máquina (ex: JSON, CSV).
7.5 Direito à Restrição (Art. 18): Pode limitar o processamento de seus dados em determinadas circunstâncias.
7.6 Direito de Oposição (Art. 21): Pode objetar ao processamento para fins específicos (ex: marketing, interesses legítimos).
Para exercer estes direitos: Contacte dpo@shiftera.app com identificação válida. Responderemos em 30 dias.
8. Segurança de Dados
Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados:
- Encriptação SSL/TLS em trânsito (HTTPS obrigatório)
- Passwords encriptadas com bcrypt (irreversível)
- Encriptação at-rest dos dados pela Supabase
- Row-Level Security (RLS) no PostgreSQL para isolamento de dados
- Acesso limitado aos dados (princípio do menor privilégio)
- Firewalls e proteção de rede
- Monitoramento contínuo de segurança via Sentry
- Backups regulares com testes de recuperação
Embora implementemos medidas robustas, nenhuma transmissão pela internet é 100% segura. Não garantimos proteção absoluta contra ataques sofisticados.
9. Cookies
9.1 Tipos de Cookies Utilizados:
- Essenciais: Autenticação Supabase, CSRF tokens, sessão (necessários para funcionar; sem consentimento prévio)
- Funcionais: NEXT_LOCALE para lembrar idioma escolhido (sem consentimento prévio)
- Analíticos: Plausible ou PostHog quando configurados (requer consentimento explícito)
- Performance: Sentry para erros (dados técnicos anónimos; requer consentimento)
9.2 Gestão de Cookies: Pode desativar cookies não essenciais nas definições de privacidade do seu navegador. Cookies essenciais são necessários para o Serviço funcionar.
Para mais detalhes, consulte a nossa Política de Cookies.
10. Transferências Internacionais
Por padrão, processamos dados dentro da UE/EEA (Supabase em Frankfurt, Vercel em EU regions). Se implementarmos subprocessadores fora do EEA no futuro, utilizaremos Standard Contractual Clauses (SCC) ou outras salvaguardas conformes ao RGPD.
11. Menores
O Serviço é destinado a representantes de organizações (16+ anos). Não recolhemos intencionalmente dados pessoais de menores de 16 anos. Se descobrir que recolhemos dados de um menor, contacte-nos imediatamente para eliminação.
12. Notificação de Violações de Dados
Em caso de violação de dados pessoais que constitua risco para os direitos e liberdades, notificaremos as autoridades relevantes (CNPD) sem demora desnecessária e de forma coerente com o RGPD Artigo 33. Se relevante, também notificaremos os titulares de dados afetados.
13. Alterações a Esta Política
Podemos atualizar esta Política periodicamente para refletir mudanças nos processos ou requisitos legais. Notificaremos sobre mudanças substanciais por email ou aviso prominente na plataforma. O uso continuado implica aceitação das alterações.
14. Lei Aplicável e Autoridade de Proteção
Esta Política é regida pelas leis de Portugal e pelo RGPD. Qualquer reclamação sobre privacidade pode ser apresentada à Comissão Nacional de Proteção de Dados (CNPD), entidade de supervisão portuguesa.
CNPD - Comissão Nacional de Proteção de Dados
Rua de São Bento, 148-3
1200-821 Lisboa, Portugal
Website: www.cnpd.pt
15. Contacto
Para questões sobre privacidade, exercer direitos RGPD ou reportar violações:
Tempo de Resposta: Comprometemo-nos a responder a todas as solicitações sobre dados pessoais dentro de 30 dias (conforme RGPD). Se o pedido for complexo, podemos solicitar extensão de 60 dias adicionais.