Declaração de Conformidade RGPD

1. Princípios Fundamentais do RGPD

A Barbrz adota os seguintes princípios, em conformidade com os artigos 5.º e 6.º do RGPD:

1.1 Legalidade, Lealdade e Transparência

• Apenas recolhemos dados pessoais quando há consentimento explícito do utilizador ou quando tal é necessário para a execução do contrato de serviço.
• Todos os utilizadores são informados claramente sobre quais dados são recolhidos, para que finalidade e com que justificação legal.

1.2 Minimização de Dados

• Recolhemos apenas os dados estritamente necessários para a operação da Plataforma Barbrz.
• Não recolhemos dados excessivos ou desnecessários.

1.3 Integridade e Confidencialidade

• Todos os dados são tratados com segurança, utilizando medidas técnicas e organizacionais adequadas.
• O acesso é restrito a pessoal autorizado e apenas quando necessário.

1.4 Accountability (Prestação de Contas)

• A Barbrz documenta todas as operações de tratamento de dados.
• Está preparada para demonstrar conformidade com o RGPD a qualquer momento.

2. Categorias de Dados Tratados

2.1 Dados do Barbeiro/Cliente Direto

• Nome completo
• Email pessoal ou corporativo
• Número de telemóvel
• Informações da barbearia (nome, localização, NIF se aplicável)
• Dados de faturação (morada, dados bancários ou de cartão – processados via Stripe)
• Histórico de login e atividade na plataforma

2.2 Dados dos Clientes Finais (Processados em Nome do Barbeiro)

• Nomes dos clientes finais
• Números de telemóvel ou email
• Data e hora de agendamentos
• Histórico de serviços prestados
• Preferências de corte/serviço

Nota Importante: O Barbeiro insere manualmente os dados dos clientes finais na plataforma. A Barbrz processa estes dados em seu nome e sob sua responsabilidade.

2.3 Dados de Acesso e Segurança

• Endereços IP
• Data e hora de acesso
• Registos de tentativas de autenticação (para segurança)

3. Bases Legais para o Tratamento

3.1 Dados do Barbeiro

Base Legal: Artigo 6.º(1)(b) RGPD – Execução do Contrato de Serviço.

A Barbrz trata os dados do Barbeiro porque tal é necessário para prestar o serviço de agendamento e gestão de barbearia.

3.2 Dados dos Clientes Finais

Base Legal: Artigo 6.º(1)(b) RGPD – Consentimento implícito do cliente final através do Barbeiro.

O Barbeiro, ao utilizar a Barbrz, autoriza o tratamento dos dados dos seus clientes finais para fins de agendamento e gestão de serviços. A Barbrz não contacta diretamente os clientes finais; o Barbeiro é o intermediário.

3.3 Cumprimento de Obrigações Legais

Base Legal: Artigo 6.º(1)(c) RGPD – Obrigação Legal.

Os dados de faturação são mantidos por 10 anos para conformidade fiscal portuguesa (Lei 8/97, SAFT-PT).

4. Finalidades do Tratamento

A Barbrz trata dados pessoais exclusivamente para:

• Fornecimento do Serviço: Criar e gerir contas de utilizador, manter o funcionamento da plataforma de agendamento, processar sincronizações de dados offline para online.
• Pagamentos e Faturação: Processar subscrições mensais/anuais, cobrar comissões de 0,25€ por reserva paga (se ativado), emitir faturas legais em conformidade com a lei fiscal portuguesa.
• Segurança e Prevenção de Fraude: Autenticação via Google, Apple ou OTP (telemóvel), prevenção de abusos do sistema, registo de atividades para auditoria de segurança.
• Suporte Técnico: Contacto para resolução de problemas ou questões sobre o serviço, análise de incidentes técnicos.
• Conformidade Legal: Cumprimento de obrigações fiscais e administrativas em Portugal, resposta a pedidos legítimos de autoridades (com mandado judicial).

A Barbrz não utiliza dados para:

• Marketing, publicidade ou perfil comportamental.
• Venda ou partilha com terceiros (exceto prestadores de serviço essenciais).
• Análise preditiva ou tomada de decisão automatizada sobre o utilizador.

5. Partilha de Dados (Subcontratantes)

A Barbrz partilha dados apenas com prestadores de serviço técnico essenciais, sob cláusulas contratuais que garantem conformidade RGPD:

5.1 Google Firebase (Google Cloud Platform)

• Função: Alojamento de base de dados, autenticação e infraestrutura em cloud.
• Região: eur3 (Europa – União Europeia).
• Conformidade: Google está inscrita no EU-US DPF e cumpre o RGPD.

5.2 Stripe

• Função: Processamento de pagamentos e subscrições.
• Dados Partilhados: Dados de faturação, valores de transação, email e telemóvel.
• Conformidade: Stripe cumpre PCI-DSS e o RGPD. Não armazena dados de cartão nos nossos servidores.
• Segurança Adicional: Stripe tokeniza os cartões (a Barbrz nunca vê o número completo).

5.3 Entidades Governamentais

• Circunstância: Apenas mediante mandado judicial, ordem de tribunal ou obrigação legal explícita.
• Procedimento: A Barbrz notificará o utilizador, exceto se a lei expressamente o proibir.

6. Retenção de Dados

6.1 Dados Operacionais (Agendamentos, Perfis de Clientes)

Período: Até ao cancelamento voluntário da conta. Após cancelamento: apagados imediatamente e irreversivelmente.

6.2 Dados de Faturação e Faturas

Período: 10 anos após emissão. Justificação: Obrigação fiscal portuguesa (Código do IVA, Lei 8/97). Armazenados de forma segura e separada dos dados operacionais.

6.3 Registos de Segurança e Auditoria

Período: 90 dias (rotação automática).

6.4 Dados em Cache no Dispositivo (Modo Offline)

Período: Enquanto a app estiver instalada no dispositivo. Sincronizados com Firebase quando há conexão à internet. Se o dispositivo for danificado/perdido antes da sincronização, os dados não sincronizados perdem-se permanentemente (risco assumido pelo utilizador).

7. Direitos do Utilizador

Sob o RGPD, todo o utilizador tem direito a:

7.1 Direito de Acesso (Artigo 15.º RGPD)

Acesso a uma cópia dos seus dados pessoais em formato legível. Contactar help@barbrz.com com o pedido de "Direito de Acesso RGPD".

7.2 Direito de Retificação (Artigo 16.º RGPD)

Corrigir dados inexatos ou incompletos. Na plataforma (perfil do utilizador) ou por email para help@barbrz.com.

7.3 Direito ao Apagamento (Artigo 17.º RGPD)

Solicitar a eliminação total dos dados pessoais. Exceções: Dados de faturação mantêm-se por 10 anos por obrigação legal. Clicar em "Apagar Conta" na app (ecrã de Definições/Settings) ou enviar email para help@barbrz.com. Prazo: 30 dias após confirmação.

7.4 Direito à Limitação do Tratamento (Artigo 18.º RGPD)

Solicitar que os dados sejam "congelados" e não processados (exceto armazenamento). Email para help@barbrz.com.

7.5 Direito à Portabilidade (Artigo 20.º RGPD)

Receber uma cópia estruturada e transmissível dos dados. Atualmente, a Barbrz não oferece export em massa (CSV/Excel). Para dados críticos, contacte help@barbrz.com e faremos um export manual.

7.6 Direito de Oposição (Artigo 21.º RGPD)

Opor-se ao tratamento dos dados para fins específicos. Como o tratamento é essencial para o contrato, este direito é limitado.

7.7 Direitos Relativos à Tomada de Decisão Automatizada (Artigo 22.º RGPD)

Não ser submetido a uma decisão baseada unicamente em tratamento automatizado. A Barbrz não utiliza perfilização ou decisão automatizada sobre o utilizador.

8. Segurança e Medidas Técnicas

8.1 Medidas Técnicas

• Encriptação em Trânsito: HTTPS/TLS 1.2+ em todas as comunicações.
• Autenticação Segura: Sem armazenamento de passwords. Utilização de Firebase Auth com OTP, Google e Apple.
• Armazenamento Seguro: Base de dados Firebase com encriptação em repouso (Google GCP).
• Isolamento de Dados: Cada utilizador tem acesso apenas aos seus dados.

8.2 Medidas Organizacionais

• Acesso restrito a pessoal técnico autorizado.
• Toda a equipa está vinculada por NDA.
• Auditoria de acessos e modificações de dados críticos.
• Auditorias periódicas de vulnerabilidades.

8.3 Backup e Recuperação

Backup automático realizado pela Google Cloud Platform (eur3). Em caso de falha, dados podem ser recuperados.

9. Incidentes de Segurança (Data Breach)

• Detecção: Monitorização contínua de sistemas.
• Contenção: Isolamento imediato do sistema afetado.
• Investigação: Análise do escopo e impacto do incidente.
• Notificação: A CNPD é notificada no prazo de 72 horas. Os utilizadores afetados são notificados sem demora injustificada.

Para reportar um incidente de segurança, contacte help@barbrz.com com "URGENT SECURITY INCIDENT" no assunto.

10. Transferências Internacionais de Dados

• Localização Primária: eur3 (Google Cloud Platform, União Europeia).
• Os dados permanecem fisicamente na UE. Google está certificada sob o EU-US Data Privacy Framework.
• Stripe processa dados em conformidade com PCI-DSS e está certificada no EU-US DPF.

11. Encarregado de Proteção de Dados (DPO)

Para assuntos relacionados com a proteção de dados, contacte: help@barbrz.com. Todos os pedidos relacionados com RGPD serão respondidos no prazo de 30 dias.

12. Conformidade com Legislação Portuguesa

A Barbrz cumpre também:

• Lei de Proteção de Dados Pessoais (Lei 58/2019) – Implementação nacional do RGPD.
• Lei de Cibersegurança (Lei 32/2021) – Requisitos de segurança da informação.
• Lei de Faturas (Lei 8/97) – Retenção de dados fiscais por 10 anos.
• Código do Consumidor – Direitos de consumidor para utilizadores finais.

13. Alterações a Este Documento

A Barbrz pode atualizar esta Declaração de Conformidade RGPD conforme necessário. As principais alterações serão comunicadas por email aos utilizadores. A data da última atualização consta no topo deste documento.

14. Contactos e Procedimentos

15. Lei Aplicável e Resolução de Litígios

Esta Declaração rege-se pela Lei Portuguesa, em particular pela Lei 58/2019 (RGPD) e legislação complementar.

Em caso de litígio relacionado com proteção de dados, o utilizador tem direito de contactar a CNPD (Comissão Nacional de Proteção de Dados) – www.cnpd.pt – ou recurso judicial perante os tribunais portugueses.