Política de Privacidade
Última atualização: 2026-05-03 Versão: 1.0
1. Quem somos e como nos contactar
O responsável pelo tratamento dos seus dados pessoais é:
- Nome / Denominação: Ponto de Amor
- NIF:
- Morada:
- Email de privacidade: [email protected]
- Website: https://www.pontodeamor.net
A Ponto de Amor é uma loja online de artesanato em crochet, de cariz familiar, que vende peças feitas à mão em Portugal e que expede para toda a União Europeia.
Encarregado de Proteção de Dados (DPO)
A Ponto de Amor não está obrigada a designar um Encarregado de Proteção de Dados nos termos do Artigo 37.º do RGPD, dado o volume e a natureza dos tratamentos realizados. Para qualquer questão relacionada com a proteção dos seus dados pessoais, pode contactar-nos diretamente pelo endereço acima indicado.
2. Que dados pessoais recolhemos e porquê
Recolhemos apenas os dados necessários para cada finalidade. A tabela abaixo resume as categorias, a origem e os prazos de retenção:
| Categoria de dados | Pessoais? | Origem | Prazo de retenção |
|---|---|---|---|
| Endereço de email | Sim | Checkout / newsletter | Duração da conta + 5 anos (prova fiscal) |
| Nome e morada de envio / faturação | Sim | Checkout | 10 anos (obrigação fiscal) |
| NIF (opcional, para fatura com NIF) | Sim | Checkout | 10 anos (obrigação fiscal) |
| Número de telefone (opcional, para transportadora) | Sim | Checkout | Conclusão da encomenda + 1 ano |
| Endereço IP, user-agent, dados de sessão | Sim | Visita ao site | 6 meses (máximo) |
| Histórico de encomendas | Sim | Base de dados | 10 anos (obrigação fiscal) |
| Conteúdo gerado por utilizadores (reviews / fotos) | Sim | Submissão voluntária | Até pedido de remoção |
| Dados de pagamento (cartão, telefone MB Way) | Não armazenados | Delegados ao PSP (IfthenPay) | Não aplicável — nunca armazenados por nós |
Finalidades e bases legais (RGPD Artigo 6.º)
| Finalidade | Base legal | Artigo RGPD |
|---|---|---|
| Processar e cumprir encomendas (envio, fatura, retorno) | Execução de contrato | 6.1.b |
| Criação e gestão de conta de cliente | Execução de contrato | 6.1.b |
| Emissão de fatura e arquivo fiscal | Obrigação legal | 6.1.c |
| Prevenção de fraude e segurança dos sistemas | Interesse legítimo | 6.1.f |
| Análise estatística anónima do site (Plausible — sem cookies) | Interesse legítimo | 6.1.f |
| Envio de comunicações de marketing por email / SMS | Consentimento | 6.1.a |
| Cookies não essenciais | Consentimento | 6.1.a |
| Publicação de reviews e fotos de clientes no site | Consentimento | 6.1.a |
Quando o tratamento se baseia no seu consentimento, tem o direito de o retirar a qualquer momento, sem que isso afete a licitude do tratamento realizado antes da retirada.
Quando invocamos interesse legítimo (Artigo 6.1.f), realizamos uma avaliação de balanceamento de interesses para garantir que o nosso interesse não prevalece injustificadamente sobre os seus direitos e liberdades fundamentais. Pode solicitar a documentação desta avaliação enviando um email para [email protected].
3. Com quem partilhamos os seus dados — subcontratantes
Partilhamos os seus dados pessoais apenas com os subcontratantes necessários à prestação do serviço. Em todos os casos, exigimos garantias contratuais adequadas (DPA — Acordo de Subcontratação de Dados, nos termos do Artigo 28.º do RGPD):
| Subcontratante / Entidade | Finalidade | Localização | Transferência internacional |
|---|---|---|---|
| ** / CloudPanel** | Alojamento web e base de dados | Não (UE) | |
| IfthenPay | Processamento de pagamentos (MB Way, Multibanco) | Portugal | Não |
| InvoiceXpress | Emissão de faturas certificadas AT | Portugal | Não |
| Brevo (SMTP transacional) | Envio de emails transacionais | UE (França) | Não |
| Plausible Analytics | Estatísticas de visitas — sem cookies, sem PII | UE (Alemanha/Estónia) | Não |
| Cloudflare (Turnstile) | Proteção anti-bot em formulários | EUA (com SCCs) | Sim — ver abaixo |
| CTT — Correios de Portugal | Transporte e entrega (PT) | Portugal | Não |
| DPD / GLS | Transporte e entrega (UE) | UE | Não |
Transferências para países terceiros
O serviço Cloudflare Turnstile é operado pela Cloudflare, Inc., empresa com sede nos Estados Unidos da América. A transferência de dados para os EUA é efetuada com base nas Cláusulas Contratuais Tipo (SCCs — Decisão de Execução (UE) 2021/914 da Comissão Europeia) e, onde aplicável, no quadro do EU-U.S. Data Privacy Framework. Realizamos e documentamos uma Avaliação de Impacto da Transferência (TIA) para esta transferência.
Não partilhamos os seus dados pessoais com terceiros para fins de marketing sem o seu consentimento explícito.
4. Quanto tempo guardamos os seus dados
| Categoria | Prazo de retenção | Fundamento |
|---|---|---|
| Dados fiscais (fatura, encomenda, dados de faturação) | 10 anos | Artigo 40.º do Código Comercial + CIVA |
| Dados de conta de cliente | Duração da conta activa + 1 ano após inactividade, depois anonimização | Contrato + interesse legítimo |
| Logs de acesso (IP, user-agent) | 6 meses | Interesse legítimo (segurança) |
| Consentimentos de marketing | Duração da subscrição + 5 anos (prova) | Obrigação legal / interesse legítimo |
| Telefone (transportadora) | Conclusão da encomenda + 1 ano | Contrato |
| Conteúdo gerado por utilizadores | Até pedido de remoção | Consentimento |
Após o término dos prazos acima, os dados são anonimizados ou eliminados de forma segura. Os dados fiscais são sujeitos a anonimização das informações não obrigatoriamente identificativas após o prazo legal.
5. Os seus direitos
Ao abrigo do RGPD e da Lei n.º 58/2019 de 8 de agosto (lei de execução PT), tem os seguintes direitos:
- Direito de acesso (Art. 15.º RGPD): saber que dados temos sobre si.
- Direito de retificação (Art. 16.º RGPD): corrigir dados inexatos ou incompletos.
- Direito ao apagamento ("direito a ser esquecido", Art. 17.º RGPD): solicitar a eliminação dos seus dados, salvo quando existam obrigações legais que o impeçam.
- Direito à limitação do tratamento (Art. 18.º RGPD): pedir que o tratamento seja suspenso em certas circunstâncias.
- Direito à portabilidade (Art. 20.º RGPD): receber os seus dados num formato estruturado e de leitura automática.
- Direito de oposição (Art. 21.º RGPD): opor-se ao tratamento baseado em interesse legítimo ou para fins de marketing direto.
- Direito de retirar o consentimento a qualquer momento, sem efeito retroativo.
Como exercer os seus direitos
Pode exercer os seus direitos das seguintes formas:
- Área de cliente: aceda a /conta/dados para exportar, retificar ou eliminar os seus dados diretamente.
- Por email: envie um pedido para [email protected], identificando-se e descrevendo o pedido.
Respondemos no prazo de 30 dias a contar da receção do pedido (Artigo 12.3 do RGPD). Em casos de maior complexidade, este prazo pode ser prorrogado por mais dois meses, com comunicação prévia.
6. Direito de reclamação junto da autoridade de controlo
Se considerar que o tratamento dos seus dados pessoais viola o RGPD ou a legislação portuguesa aplicável, tem o direito de apresentar uma reclamação junto da autoridade de controlo competente:
Comissão Nacional de Proteção de Dados (CNPD) Rua de São Bento, 148-3.º 1200-821 Lisboa Tel.: +351 213 928 400 Email: [email protected] Website: https://www.cnpd.pt
7. Cookies e tecnologias similares
Utilizamos cookies e tecnologias similares no nosso site. Para informação detalhada sobre os tipos de cookies utilizados, as suas finalidades e como os pode gerir, consulte a nossa Política de Cookies.
8. Menores de idade
O nosso site não se destina a menores de 16 anos (Artigo 8.º do RGPD + Art. 16.º Lei 58/2019). Não recolhemos intencionalmente dados pessoais de menores sem consentimento parental verificável. Se tiver conhecimento de que um menor nos forneceu dados pessoais sem autorização dos pais ou tutores, agradecemos que nos contacte através de [email protected] para que possamos eliminar esses dados.
9. Segurança dos dados
Adotamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais contra acesso não autorizado, perda, destruição ou divulgação, incluindo:
- Transmissão cifrada via HTTPS / TLS.
- Armazenamento de dados pessoais em servidores localizados na União Europeia.
- Controlo de acessos internos baseado no princípio do mínimo privilégio.
- Backups encriptados com rotação periódica de chaves.
- Nunca armazenamos dados de cartões de pagamento — delegamos integralmente para o processador de pagamentos certificado (IfthenPay).
10. Alterações a esta política
Podemos atualizar esta Política de Privacidade sempre que necessário. Sempre que realizarmos alterações materiais, notificamo-lo por email (se tiver conta) e/ou através de um aviso visível no site. A data de "última atualização" no topo deste documento reflete sempre a versão mais recente.
Contacto
Para questões sobre privacidade e proteção de dados:
- Email: [email protected]
- Formulário de contacto: /contacto
- Morada:
Histórico de versões
- v1.0 — 2026-05-03 — versão inicial