Política de Privacidade

1. Identificação do responsável pelo tratamento

A entidade responsável pelo tratamento dos dados pessoais é Spolio, com sede em Amora, Setúbal, Portugal. Para qualquer questão relativa a proteção de dados, contacta:

• Email do encarregado de proteção de dados (DPO): dpo@spolio.app
• Email geral RGPD: rgpd@spolio.app

2. Categorias de dados pessoais tratados

Em função do papel do utilizador (director, treinador, encarregado de educação, atleta), tratamos:

2.1. Dados de identificação

• Nome próprio e apelido
• Email e número de telefone
• Morada (apenas quando exigida por federação)
• Data de nascimento e número de cartão de cidadão (apenas para atletas, para fins federativos)

2.2. Dados de saúde e desportivos

• Número de utente do SNS
• Exame médico-desportivo (data de validade)
• Registo de lesões durante a actividade
• Histórico de presenças em treinos e jogos
• Avaliações técnicas pelos treinadores

2.3. Dados de pagamento

• Histórico de mensalidades e datas de pagamento
• Método de pagamento (MB Way, Multibanco, transferência) — sem armazenamento de dados de cartão
• Os dados de cartão de crédito são processados directamente pelo Stripe e Eupago e nunca passam pelos nossos servidores

2.4. Dados técnicos

• Endereço IP, tipo de dispositivo e browser (logs de segurança)
• Cookies estritamente necessários (autenticação, preferências)

3. Tratamento de dados de menores (atletas Sub-8 a Sub-18)

Reconhecemos a sensibilidade do tratamento de dados de menores. Aplicamos as seguintes salvaguardas:

• Consentimento parental obrigatório: a inscrição de qualquer atleta menor de 16 anos exige confirmação expressa do encarregado de educação no formulário de inscrição.
• Direitos de imagem: a publicação de fotografias ou vídeos do menor em qualquer canal do clube exige consentimento separado, revogável a qualquer momento.
• Acesso restrito: apenas o director do clube, o(s) treinador(es) atribuído(s) ao escalão do menor, e os encarregados de educação vinculados podem ver os dados do menor.
• Sem perfil comercial: os dados de menores nunca são usados para qualquer finalidade comercial nem partilhados com terceiros que não sejam estritamente necessários ao funcionamento do clube (ex: federação).

4. Base legal e finalidade

O tratamento dos dados está suportado em:

• Execução de contrato entre o clube e o atleta / encarregado (alínea b do artigo 6.º RGPD)
• Cumprimento de obrigações legais federativas e fiscais (alínea c do artigo 6.º)
• Consentimento explícito para fotografia, comunicação por email/push e tratamento de dados de saúde (artigos 6.º/1/a e 9.º/2/a)
• Interesse legítimo da Spolio em melhorar a plataforma (com salvaguarda do direito de oposição)

5. Onde guardamos os dados

Todos os dados são armazenados em servidores na União Europeia (Frankfurt, Alemanha), na infra-estrutura do Supabase / AWS. Os pagamentos via MB Way e Multibanco são processados em Portugal pela Eupago. Os pagamentos da licença Spolio são processados na Irlanda pela Stripe Payments Europe.

Não há transferências de dados para fora do EEE em situações habituais. Excepções pontuais (ex: suporte técnico do Supabase) ocorrem apenas com Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.

6. Prazos de conservação

• Dados de atletas activos: enquanto durar a inscrição
• Atletas inactivos: arquivados 5 anos após a saída do clube
• Mensalidades e facturas: 10 anos (obrigação fiscal)
• Logs de segurança: 12 meses
• Conta de utilizador: apagada a pedido em 30 dias

7. Os teus direitos (RGPD artigos 15.º a 22.º)

Em qualquer momento podes exercer os seguintes direitos:

• Acesso aos dados que tratamos sobre ti (e sobre o teu educando, no caso de encarregados)
• Rectificação de dados incorrectos
• Apagamento ("direito ao esquecimento")
• Limitação do tratamento
• Portabilidade — exportação em formato JSON ou CSV
• Oposição a tratamentos baseados em interesse legítimo
• Não estar sujeito a decisões automáticas com efeitos significativos
• Reclamação à CNPD — Comissão Nacional de Proteção de Dados ( www.cnpd.pt)

Para exercer qualquer direito, envia email para rgpd@spolio.app. Respondemos em até 30 dias.

8. Subcontratantes

Recorremos aos seguintes subcontratantes, todos com Data Processing Agreements em vigor:

• Supabase Inc. (Estados Unidos / EU subprocessors) — base de dados e autenticação
• AWS Frankfurt — infra-estrutura cloud
• Vercel Inc. — alojamento da aplicação
• Resend — envio de emails transacionais
• Eupago — pagamentos MB Way / Multibanco (Portugal)
• Stripe Payments Europe — pagamentos da licença Spolio (Irlanda)

9. Segurança

• Encriptação TLS em trânsito (HTTPS) e at-rest (AES-256)
• Row-Level Security (RLS) na base de dados — isolamento por clube
• Autenticação com password hash (bcrypt) e tokens JWT
• Audit log de eventos críticos (alterações, acessos de suporte)
• Backups diários automatizados com retenção de 30 dias
• Procedimento de notificação de violação de dados em 72 horas (artigo 33.º RGPD)

10. Cookies

Usamos apenas cookies estritamente necessários ao funcionamento da app:

• sb-access-token, sb-refresh-token — autenticação Supabase
• spolio-theme — preferência de tema (claro/escuro)

Não usamos cookies de tracking publicitário, analytics de terceiros nem píxeis de redes sociais.

11. Alterações à presente política

Esta política pode ser actualizada para reflectir alterações legais ou de funcionalidades. Alterações substanciais são notificadas com 30 dias de antecedência por email aos utilizadores activos. A versão em vigor está sempre disponível em spolio.app/privacy.