Documento legal · RGPD

Política de Privacidade

Que dados recolhemos, porquê, com quem partilhamos e os teus direitos sobre eles. Conforme o Regulamento Geral de Protecção de Dados (UE 2016/679) e a Lei n.º 58/2019.

Última atualização · 25 de Maio de 2026

Índice

  1. Quem é o responsável
  2. Que dados recolhemos
  3. Para que usamos os dados
  4. Leads e marcações: PII de terceiros
  5. Com quem partilhamos (subcontratantes)
  6. Transferências internacionais
  7. Tempo de conservação
  8. Os teus direitos
  9. Como protegemos os dados
  10. Violações de dados
  11. Cookies
  12. Alterações à política
  13. Contacto e reclamações

01Quem é o responsável pelo tratamento

O responsável pelo tratamento dos teus dados pessoais é a Cardfy (a partir daqui, "Cardfy", "nós"):

Não estamos obrigados a designar um Encarregado de Protecção de Dados (DPO), mas se o âmbito de tratamento crescer reservamo-nos o direito de o fazer e comunicar aqui.

02Que dados recolhemos

Dados que tu fornecess

CategoriaExemplos
ContaNome, email, NIF (opcional), nome do negócio, subdomínio
Conteúdo do cartãoFoto de perfil, biografia, contactos (WhatsApp, telefone, email, morada), links de redes sociais, items em destaque, serviços de marcação
PagamentoNão recolhemos dados do cartão · geridos pela Stripe (ver secção 05). Guardamos referências (id Stripe, últimos 4 dígitos)

Dados recolhidos automaticamente

CategoriaExemplos · Base legal
Logs técnicosIP anonimizado (hash), user-agent, timestamps de acesso. Interesse legítimo (segurança, prevenção de fraude)
Estatísticas do cartãoCliques em botões, leads recebidos, marcações. Execução do contrato
Cookies essenciaisSessão, CSRF, preferência de língua. Sem cookies de terceiros para tracking. Ver secção 11

Dados de terceiros (visitantes do teu cartão)

Quando um visitante preenche um formulário de lead, marca uma consulta ou clica em botões do teu cartão, podemos recolher o nome, email, telefone, mensagem e fonte do contacto. Estes dados são tratados em nome do tenant (ver secção 04).

03Para que usamos os dados

FinalidadeBase legal (RGPD art. 6)
Criar e manter a tua contaExecução de contrato · alínea b)
Cobrar a assinatura, emitir faturaExecução de contrato + obrigação legal · alíneas b) e c)
Enviar comunicações transacionais (D-1 trial, recibos, lembretes de renovação)Execução de contrato · alínea b)
Detectar fraude, proteger o serviçoInteresse legítimo · alínea f)
Cumprir obrigações fiscais (e-fatura, retenção 10 anos)Obrigação legal · alínea c)
Comunicações de produto (novidades, dicas)Consentimento (opt-in com unsubscribe) · alínea a)

Não usamos os teus dados para: treinar modelos de IA, vender a anunciantes, perfilação automática com efeitos jurídicos.

04Leads e marcações: PII de terceiros

Esta secção é importante e merece atenção dedicada.

Quando um visitante deixa contacto no teu cartão, tu (o tenant) és o responsável pelo tratamento; a Cardfy é o subcontratante. Significa que a base legal para recolher esses dados é da tua responsabilidade.

Concretamente:

Ao usares o serviço, aceitas estas responsabilidades. A Cardfy fornece as ferramentas (encriptação at-rest, exportação de dados, eliminação por pedido, RGPD-friendly defaults) para que possas cumprir as tuas obrigações.

Como protegemos os leads (medidas técnicas)

05Com quem partilhamos os dados (subcontratantes)

Trabalhamos com os seguintes prestadores de serviços, contratados ao abrigo de acordos de processamento de dados (DPA) compatíveis com o RGPD:

PrestadorFinalidade · Localização
Stripe Payments Europe Ltd.Processamento de pagamentos. Dublin (Irlanda). Conforme PCI-DSS Level 1
Hostinger International Ltd.Alojamento da aplicação e base de dados. UE
[Provedor de email transacional]Envio de emails transacionais (links mágicos, recibos, lembretes). UE/EUA

Não vendemos os teus dados. Nunca o fizemos, nunca o faremos.

06Transferências internacionais

Sempre que um subcontratante processe dados fora do Espaço Económico Europeu (EEE), garantimos um nível de protecção adequado através de:

07Tempo de conservação

DadoRetenção
Dados da conta (nome, email, NIF)Enquanto a conta estiver ativa + 30 dias após eliminação
Conteúdo do cartãoEnquanto a conta estiver ativa + 30 dias após eliminação
Leads e marcaçõesIdem (controlado pelo tenant)
Faturas e recibos10 anos (obrigação fiscal portuguesa · Lei Geral Tributária art. 130.º-A)
Logs técnicos / segurança90 dias
Tokens de sessão14 dias rolling
Tokens de link mágico20 minutos (utilização única)

08Os teus direitos

Ao abrigo do RGPD tens os seguintes direitos:

Como exercer estes direitos:

09Como protegemos os dados

As medidas técnicas e organizativas que aplicamos:

10Violações de dados

Em caso de violação de dados pessoais que represente risco para os teus direitos e liberdades, notificamos a Comissão Nacional de Protecção de Dados (CNPD) num prazo de 72 horas após termos conhecimento, conforme o art. 33.º do RGPD.

Se o risco for elevado, notificamos-te directamente e em linguagem clara, sem demora indevida (art. 34.º).

11Cookies

Usamos um conjunto minimalista de cookies, apenas os essenciais para o serviço funcionar:

CookieFinalidade · Duração
cardly.sidSessão autenticada · 14 dias (renova com uso)
cardly.csrfProtecção contra CSRF · sessão
cardly_langPreferência de língua (PT/EN) · 1 ano
cardly_railPreferência de UI (barra lateral colapsada) · 1 ano

Não usamos cookies de terceiros para tracking, publicidade, Google Analytics ou redes sociais. Não há banner de cookies porque não há consentimento exigido · todos os cookies são estritamente necessários (art. 5.º, n.º 3 da Diretiva ePrivacy).

12Alterações à política

Esta política evolui à medida que o serviço evolui. Alterações materiais são notificadas por email com 30 dias de antecedência. Versões anteriores ficam disponíveis a pedido.

13Contacto e reclamações

Para qualquer questão sobre privacidade, envia email para support@cardfy.biz.

Tens também o direito de apresentar reclamação à autoridade nacional de controlo:

← Voltar à página inicial