Política de Privacidade

• FlowJersey, Lda. é Responsável pelo Tratamento dos dados dos Utilizadores/Lojistas (conta, subscrição, dashboard)
• Para dados de Clientes Finais das lojas, o Lojista é Responsável pelo Tratamento e a FlowJersey actua como Subcontratante (Art. 28.º) — ver DPA em /dpa
• Stripe actua como responsável independente relativamente aos pagamentos que processa directamente

Conta de utilizador (lojista)

• Nome, apelido, email, palavra-passe (hash via Supabase Auth)
• Metadados OAuth (Google) quando aplicável
• Data de aceitação dos Termos, versão e hash legal (`terms_accepted_at`, `terms_accepted_version`, `terms_accepted_hash`)
• Plano, subscrição, ciclo de facturação, montantes

Subscrição e billing

• Identificadores Stripe (customer, subscription, checkout session)
• Consentimentos legais de activação imediata e perda de livre resolução
• IP, User-Agent e timestamp de aceitação legal (auditoria)

Lojas e catálogo

• Nome, slug, cores, logótipo, Instagram, produtos, preços, imagens, configurações

Clientes finais das lojas

• Conta de cliente de loja (email, nome, sessão)
• Encomendas, totais, estado de pagamento, identificadores Stripe da loja
• Metadados de checkout

Pagamentos Stripe (lojista)

• Chaves Stripe encriptadas (publishable/secret/webhook) — nunca expostas em texto claro
• Modo test/live, estado de verificação, URL de webhook SaaS por loja

Segurança e logs

• Endereço IP (rate limiting, auditoria, consentimentos)
• User-Agent
• Registos de eventos Stripe (idempotência webhooks)
• Denúncias de abuso (formulário legal)

• Prestação do serviço SaaS e autenticação
• Gestão de lojas, produtos e encomendas
• Processamento de subscrições FlowJersey
• Segurança, anti-fraude e rate limiting
• Cumprimento de obrigações legais e resposta a autoridades
• Melhoria técnica (analytics apenas com consentimento, se activo)

• Art. 6.º(1)(b) RGPD — execução de contrato (serviço SaaS)
• Art. 6.º(1)(a) RGPD — consentimento (Termos, Privacidade, cookies analytics, waiver livre resolução)
• Art. 6.º(1)(f) RGPD — interesse legítimo (segurança, logs, prevenção de abuso)
• Art. 6.º(1)(c) RGPD — obrigação legal

Transferências internacionais apenas com garantias adequadas (SCCs, decisões de adequação).

• Conta activa: enquanto durar a relação contratual
• Após eliminação de conta: remoção de perfil, lojas, produtos e auth (Direito ao Apagamento)
• Consentimentos legais de subscrição: conservação permanente para prova (interesse legítimo/obrigação legal)
• Logs de segurança: até 90 dias, salvo investigação
• Facturação/contabilidade: prazos legais aplicáveis (até 10 anos quando exigido)

• Acesso (Art. 15.º)
• Rectificação (Art. 16.º)
• Apagamento (Art. 17.º)
• Limitação (Art. 18.º)
• Portabilidade (Art. 20.º)
• Oposição (Art. 21.º)
• Retirar consentimento quando aplicável

Clientes finais de lojas devem contactar primariamente o Lojista (responsável). A FlowJersey assiste o Lojista na medida do DPA.

Lojistas: exportação JSON em /profile; eliminação de conta na «Zona de Perigo» com confirmação.

Consulte a Política de Cookies.

• HTTPS, RLS multi-tenant, encriptação de secrets
• CSRF, rate limiting, validação server-side
• Auditoria de consentimentos e webhooks

Pode apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD): www.cnpd.pt. Contacte-nos primeiro em privacidade@flowjersey.com para resolver directamente.