1. Responsavel pelo Tratamento
A plataforma Bancada e operada por Pedro Rosa, empresario em nome individual, com sede em Portugal.
Para efeitos do RGPD, existem dois niveis de responsabilidade:
- Dados da plataforma (contas de administradores, dados de faturacao da subscricao): o Bancada e o responsavel pelo tratamento (data controller).
- Dados dos socios (introduzidos pelos clubes): o clube e o responsavel pelo tratamento e o Bancada atua como subcontratante (data processor) nos termos do artigo 28.o do RGPD.
Contacto do responsavel: [email protected]
2. Dados Pessoais Recolhidos
2.1 Dados dos administradores do clube (data controller)
- Nome, email, funcao (role)
- Dados de autenticacao (hash da password, tokens de sessao, codigos 2FA)
- Endereco IP e logs de acesso
2.2 Dados do clube (data controller)
- Nome, NIF, morada, contactos (email, telefone)
- Logotipo
- Plano de subscricao e dados de faturacao
- Configuracoes da plataforma
2.3 Dados dos socios (data processor — por conta do clube)
- Nome, email, telefone, morada
- NIF, data de nascimento, genero
- Fotografia
- Numero de socio, categoria, estado
- Historico de quotas e pagamentos
2.4 Dados desportivos (data processor)
- Dados de jogadores (posicao, numero, pe dominante, altura, peso)
- Dados de treinos e jogos (presencas, resultados, estatisticas)
- Dados de saude (categoria especial — artigo 9.o do RGPD): fichas medicas, exames, lesoes, tratamentos
2.5 Dados de utilizacao
- Logs de acesso (IP, user-agent, timestamp, acoes realizadas)
- Registos de auditoria (audit log)
- Dados de sessao (cookies funcionais)
2.6 Dados do site publico
- Formulario de contacto: nome, email, mensagem
- Google Analytics 4: dados anonimizados de navegacao (apenas com consentimento)
3. Finalidades e Base Legal
| Finalidade | Base legal (RGPD) |
|---|---|
| Prestacao do servico (gestao de socios, quotas, equipas) | Execucao do contrato — art. 6.o(1)(b) |
| Processamento de pagamentos da subscricao | Execucao do contrato — art. 6.o(1)(b) |
| Faturacao e obrigacoes fiscais | Obrigacao legal — art. 6.o(1)(c) |
| Comunicacoes do servico (alertas, notificacoes) | Interesse legitimo — art. 6.o(1)(f) |
| Seguranca e prevencao de fraude | Interesse legitimo — art. 6.o(1)(f) |
| Dados de saude (modulo medico) | Consentimento explicito — art. 9.o(2)(a) |
| Analise de trafego do site (GA4) | Consentimento — art. 6.o(1)(a) |
4. Sub-processadores
O Bancada utiliza os seguintes sub-processadores para prestacao do Servico. O Cliente e notificado com 30 dias de antecedencia em caso de alteracoes a esta lista.
| Sub-processador | Finalidade | Localizacao | Garantias |
|---|---|---|---|
| Fly.io | Alojamento de servidores e base de dados | Paris, Franca (UE) | Dados na UE |
| Stripe | Processamento de pagamentos de subscricoes | Irlanda (UE) / EUA | SCCs, certificacao PCI DSS |
| Resend | Envio de emails transacionais | EUA | SCCs (Clausulas Contratuais Tipo) |
| IfThenPay | Pagamentos Multibanco/MB WAY (quotas dos socios) | Portugal (UE) | Dados na UE |
| EuPago | Pagamentos Multibanco/MB WAY (quotas dos socios) | Portugal (UE) | Dados na UE |
| Google Analytics 4 | Analise de trafego do site publico | UE (configuracao regional) | Consentimento previo, dados anonimizados |
5. Transferencias Internacionais
Alguns sub-processadores (Stripe, Resend) podem transferir dados para os Estados Unidos. Estas transferencias sao efetuadas com base em:
- Clausulas Contratuais Tipo (SCCs) aprovadas pela Comissao Europeia (Decisao de Execucao 2021/914)
- Medidas suplementares de protecao (encriptacao em transito e em repouso)
Os servidores de aplicacao e base de dados do Bancada estao localizados na Uniao Europeia (Paris, Franca) e os dados dos socios nao saem da UE.
6. Isolamento de Dados (Multi-Tenancy)
Cada clube tem os seus dados completamente isolados. O isolamento e garantido ao nivel da base de dados — cada consulta e automaticamente filtrada pela associacao do utilizador. Os dados de um clube nunca sao acessiveis a outro clube, administrador nao autorizado ou socio.
7. Retencao de Dados
| Tipo de dados | Periodo de retencao | Fundamentacao |
|---|---|---|
| Dados do clube e socios | Enquanto a conta estiver ativa + 30 dias apos cancelamento | Execucao do contrato |
| Dados de faturacao e recibos | 10 anos | Art. 123.o do CIRC, art. 52.o do CIVA |
| Logs de acesso | 1 ano | Lei n.o 46/2012 |
| Audit log (acoes de administradores) | 2 anos | Interesse legitimo (seguranca) |
| Dados de saude | Enquanto a conta estiver ativa (eliminacao imediata apos cancelamento) | Consentimento |
| Formularios de contacto | 6 meses | Interesse legitimo |
8. Direitos dos Titulares
De acordo com o RGPD (artigos 15.o a 22.o), os titulares dos dados tem direito a:
- Acesso — obter confirmacao e copia dos dados pessoais tratados
- Retificacao — corrigir dados pessoais inexatos ou incompletos
- Eliminacao — solicitar a eliminacao dos dados ("direito ao esquecimento"), quando aplicavel
- Portabilidade — receber os dados num formato estruturado e de uso corrente (CSV)
- Oposicao — opor-se ao tratamento com base em interesse legitimo
- Limitacao — solicitar a restricao do tratamento em determinadas circunstancias
- Retirar consentimento — a qualquer momento, sem afetar a licitude do tratamento anterior
Como exercer os seus direitos
Socios dos clubes: devem contactar diretamente o seu clube (responsavel pelo tratamento). O clube pode exercer estas operacoes atraves da plataforma Bancada. O Bancada auxiliara o clube no cumprimento dos pedidos.
Administradores e clubes: podem exercer os seus direitos contactando [email protected]. Os pedidos serao respondidos no prazo maximo de 30 dias.
9. Seguranca
O Bancada implementa medidas tecnicas e organizativas adequadas para proteger os dados pessoais, incluindo:
- Encriptacao em transito — HTTPS/TLS em todas as comunicacoes
- Encriptacao em repouso — base de dados encriptada ao nivel do disco
- Isolamento multi-tenant — separacao logica dos dados de cada clube
- Controlo de acesso (RBAC) — funcoes diferenciadas (super_admin, owner, admin, viewer)
- Autenticacao forte — autenticacao de dois fatores (2FA) disponivel
- Audit log — registo de todas as acoes administrativas
- Backups — backups automaticos diarios com retencao de 7 dias
- Hashing de passwords — bcrypt com salt
10. Violacoes de Dados
Em caso de violacao de dados pessoais, o Bancada:
- Notifica os clubes afetados sem demora injustificada e no maximo em 48 horas apos tomar conhecimento da violacao
- Notifica a CNPD no prazo de 72 horas quando a violacao seja suscetivel de resultar num risco para os direitos e liberdades dos titulares (artigo 33.o do RGPD)
- Documenta internamente todas as violacoes e medidas corretivas adotadas
11. Cookies
11.1 Cookies essenciais (sem consentimento)
| Cookie | Finalidade | Duracao |
|---|---|---|
_bancada_key |
Sessao de autenticacao | 14 dias |
_csrf_token |
Protecao contra ataques CSRF | Sessao |
11.2 Cookies de analise (com consentimento)
| Cookie | Finalidade | Duracao |
|---|---|---|
_ga / _ga_* |
Google Analytics 4 — analise de trafego do site publico | 2 anos |
cookie_consent |
Registo da escolha de consentimento | 1 ano |
Os cookies de analise so sao ativados apos consentimento explicito do utilizador atraves do banner de cookies. O consentimento pode ser retirado a qualquer momento limpando os cookies do navegador.
12. Menores
A plataforma Bancada nao se destina diretamente a menores de 16 anos. Os dados de jogadores menores sao introduzidos pelo clube sob responsabilidade do responsavel legal, que deve garantir o consentimento adequado nos termos do artigo 8.o do RGPD e do artigo 16.o da Lei n.o 58/2019 (idade de consentimento digital em Portugal: 13 anos).
13. Alteracoes a Politica
Esta Politica pode ser atualizada periodicamente. Alteracoes significativas serao comunicadas por email com antecedencia de 30 dias e publicadas nesta pagina com indicacao da data de atualizacao.
14. Contacto e Reclamacoes
Para questoes sobre privacidade e protecao de dados:
- Email: [email protected]
- Suporte geral: [email protected]
Se considerar que os seus direitos de protecao de dados nao foram respeitados, pode apresentar reclamacao junto da:
-
Comissao Nacional de Protecao de Dados (CNPD)
Rua de Sao Bento, 148-3.o, 1200-821 Lisboa
www.cnpd.pt