Política de Privacidade

O responsável pelo tratamento dos teus dados pessoais é a GrowKind World, entidade gestora do site growkindworld.com.

Para qualquer questão relacionada com protecção de dados, podes contactar-nos através do email contacto@growkindworld.com.

Recolhemos apenas os dados estritamente necessários para te prestar os nossos serviços. Em concreto, tratamos as seguintes categorias de dados:

• Dados de identificação e contacto: nome, apelido, endereço de email — fornecidos por ti ao criar conta ou ao efectuar uma compra.
• Dados de autenticação: palavra-passe armazenada de forma cifrada (nunca acedemos à palavra-passe em texto legível).
• Dados de compra: registo das tuas aquisições, data da transacção, produto adquirido e estado do pedido. Os dados de pagamento (número de cartão, etc.) são tratados exclusivamente pelo Stripe e nunca chegam aos nossos servidores.
• Dados técnicos: endereço IP, tipo de navegador, sistema operativo e páginas visitadas — recolhidos através de cookies estritamente necessários para o funcionamento do site.
• Comunicações: conteúdo das mensagens que nos envias por email ou formulário de contacto.

Utilizamos os teus dados pessoais exclusivamente para as finalidades abaixo, sempre com base legal adequada nos termos do RGPD, UK GDPR e LGPD:

• Execução do contrato: criar e gerir a tua conta, processar compras, entregar conteúdo digital adquirido e prestar suporte (art. 6.º n.º 1 alínea b RGPD).
• Obrigações legais: cumprir obrigações fiscais, contabilísticas e de combate à fraude (art. 6.º n.º 1 alínea c RGPD).
• Interesse legítimo: garantir a segurança do site, prevenir abusos e melhorar a nossa prestação de serviço (art. 6.º n.º 1 alínea f RGPD).
• Consentimento: envio de newsletter ou comunicações promocionais, quando tenhas manifestado expressamente esse desejo (art. 6.º n.º 1 alínea a RGPD). Podes retirar o consentimento a qualquer momento.

Não vendemos, alugamos nem cedemos os teus dados pessoais a terceiros para fins de marketing. Recorremos a prestadores de serviços (subcontratantes, nos termos do art. 28.º RGPD) estritamente necessários ao funcionamento do site, vinculados por contrato a garantir o mesmo nível de protecção que aplicamos:

• Stripe (Stripe Payments Europe Ltd., Irlanda) — processamento de pagamentos. Certificado PCI DSS nível 1.
• Vercel Inc. (EUA) — alojamento do site. Transferências abrangidas por Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia.
• MongoDB Atlas (MongoDB Inc., EUA/UE) — base de dados. Servidores localizados na União Europeia sempre que possível.
• Resend (Resend Inc., EUA) — envio de emails transaccionais (confirmação de compra, recuperação de palavra-passe). Transferências abrangidas por Cláusulas Contratuais Tipo.
• Cloudinary — alojamento de imagens e conteúdo multimédia.

Alguns dos nossos subcontratantes estão sediados fora do Espaço Económico Europeu (EEE). Nestes casos, asseguramos que a transferência ocorre apenas para países com decisão de adequação da Comissão Europeia ou ao abrigo de Cláusulas Contratuais Tipo (Standard Contractual Clauses) que garantem um nível de protecção equivalente ao exigido pelo RGPD.

Para utilizadores no Reino Unido, aplicam-se as International Data Transfer Agreements (IDTA) ou o UK Addendum às Cláusulas Contratuais Tipo da UE. Para utilizadores no Brasil, as transferências são efectuadas nos termos do Capítulo V da LGPD.

Conservamos os teus dados apenas pelo tempo necessário às finalidades para que foram recolhidos ou pelo tempo exigido por lei:

• Conta de utilizador: enquanto a conta estiver activa. Podes solicitar o encerramento a qualquer momento.
• Registos de compra: 10 anos, em cumprimento de obrigações fiscais e contabilísticas (Código Comercial e Código do IVA).
• Dados técnicos e logs: até 12 meses para fins de segurança.
• Comunicações de suporte: até 3 anos após a última interacção.

Tens, em qualquer momento, os seguintes direitos sobre os teus dados pessoais, nos termos do RGPD, UK GDPR e LGPD:

• Direito de acesso — saber que dados teus tratamos.
• Direito de rectificação — corrigir dados incorrectos ou desactualizados.
• Direito ao apagamento ("direito a ser esquecido") — pedir a eliminação dos teus dados, salvo quando exista obrigação legal de conservação.
• Direito à limitação do tratamento — suspender temporariamente o tratamento.
• Direito de portabilidade — receber os teus dados num formato estruturado e de uso corrente.
• Direito de oposição — opor-te a tratamentos baseados em interesse legítimo ou marketing directo.
• Direito de retirar o consentimento — a qualquer momento, quando o tratamento se baseie em consentimento.
• Direito de não ser sujeito a decisões automatizadas com efeitos significativos.

Para exercer qualquer destes direitos, envia-nos um email para contacto@growkindworld.com com a identificação do direito que pretendes exercer. Responderemos no prazo máximo de 30 dias, podendo este prazo ser prorrogado por mais 60 dias em casos de especial complexidade, nos termos do art. 12.º n.º 3 do RGPD.

Se considerares que os teus direitos não foram respeitados, podes apresentar reclamação junto da autoridade de controlo competente:

• Portugal: Comissão Nacional de Protecção de Dados (CNPD) — www.cnpd.pt
• Brasil: Autoridade Nacional de Protecção de Dados (ANPD) — www.gov.br/anpd
• Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk
• Outros países da UE: autoridade de controlo do teu país de residência ou de trabalho.

Aplicamos medidas técnicas e organizativas adequadas para proteger os teus dados contra acesso não autorizado, perda, destruição ou alteração. Entre outras:

• Ligações cifradas (HTTPS/TLS) em todas as páginas do site.
• Palavras-passe armazenadas com hash bcrypt (nunca em texto legível).
• Acesso restrito aos dados por pessoal autorizado e sob dever de confidencialidade.
• Revisões periódicas de segurança e actualizações do software.

Os nossos serviços destinam-se a adultos (pais, educadores, profissionais). Não recolhemos conscientemente dados pessoais de menores de 16 anos. Se tomares conhecimento de que um menor nos forneceu dados sem autorização dos pais ou tutores, contacta-nos imediatamente para procedermos à sua eliminação.

Esta Política de Privacidade pode ser actualizada periodicamente. A data da última actualização está indicada no início do documento. Alterações materiais serão comunicadas de forma destacada no site ou por email, consoante o impacto.