Política de Privacidade

1. Responsável pelo Tratamento

O responsável pelo tratamento dos dados pessoais é:

Rui DaCruz LDA
NIF: 514339705
Rua da Ferreirinha, 75  ·  5050-261 Peso da Régua  ·  Portugal
Email: info@donativa.pt

2. Dados Recolhidos

2.1 Dados dos utilizadores da plataforma

Ao criar uma conta na plataforma DONATIVA, são recolhidos os seguintes dados:

• Nome completo
• Endereço de email
• Função na organização
• Delegação associada
• Data de criação da conta
• Registo de acessos (data, hora e endereço IP)

2.2 Dados introduzidos pelas organizações

As organizações que utilizam o DONATIVA podem introduzir dados relativos a:

• Doadores (nome, email, telefone, tipo de doador)
• Beneficiários (nome, telefone, tipo de beneficiário)
• Donativos e movimentos de stock

Relativamente a estes dados, a Rui DaCruz LDA actua como subcontratante — o responsável pelo tratamento é a própria organização cliente.

2.3 Dados de contacto e agendamentos

Quando é efectuado um pedido de demonstração ou agendamento através de donativa.pt, são recolhidos:

• Nome, email, telefone e organização
• Plano de interesse e mensagem
• Data e hora do agendamento

2.4 Dados de doadores (donativos monetários)

Quando uma organização cliente activa a funcionalidade de captação de donativos monetários, a plataforma processa, em nome dessa organização, os seguintes dados dos doadores:

• Nome completo e endereço de email
• Número de identificação fiscal (NIF), quando fornecido para emissão de recibo
• Número de telefone, quando aplicável (nomeadamente em pagamentos MBWay)
• Montante, data e método do donativo

Relativamente a estes dados, a Rui DaCruz LDA actua como subcontratante: o responsável pelo tratamento é a organização cliente beneficiária do donativo. O processamento do pagamento é efectuado através de um prestador de serviços de pagamento (ver secção 6). Os dados fiscais necessários à emissão de recibos podem ser comunicados à Autoridade Tributária e Aduaneira, conforme exigido pela legislação portuguesa.

2.5 Dados do módulo SOS Catástrofes

Quando uma organização cliente utiliza o módulo SOS Catástrofes, a plataforma pode processar dados relativos a imóveis afectados em situações de emergência:

• Localização e morada do imóvel afectado
• Nome e contacto do proprietário ou responsável
• Descrição dos danos e necessidades identificadas

Estes dados são introduzidos pela organização que regista o imóvel (por exemplo, uma Câmara Municipal), que actua como responsável pelo tratamento. Quando um pedido de apoio é encaminhado para outra instituição parceira (por exemplo, uma IPSS), apenas a informação estritamente necessária ao atendimento é partilhada, ao abrigo do princípio da minimização de dados. Os dados pessoais do proprietário só são visíveis à organização que registou o imóvel.

3. Finalidade do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

• Prestação do serviço DONATIVA e gestão do contrato
• Autenticação e controlo de acesso à plataforma
• Envio de notificações e alertas relacionados com o serviço
• Suporte técnico e resposta a pedidos dos utilizadores
• Facturação e cumprimento de obrigações legais
• Melhoria contínua da plataforma

4. Base Legal

O tratamento de dados pessoais assenta nas seguintes bases legais:

• Execução de contrato — para a prestação do serviço DONATIVA
• Obrigação legal — para o cumprimento de obrigações fiscais e legais
• Interesse legítimo — para a segurança da plataforma e melhoria do serviço
• Consentimento — para o envio de comunicações comerciais, quando aplicável

5. Conservação dos Dados

Os dados são conservados pelo período necessário à prestação do serviço e cumprimento das obrigações legais:

• Dados de utilizadores activos: durante o período de vigência do contrato
• Dados após rescisão: 30 dias após o término do contrato, após os quais são eliminados
• Dados de faturação: 10 anos, conforme exigido pela legislação fiscal portuguesa
• Dados de agendamentos e contactos: 2 anos

6. Partilha de Dados e Subcontratantes

A Rui DaCruz LDA não vende nem cede dados pessoais a terceiros. Os dados podem ser partilhados com os seguintes subcontratantes, todos sujeitos a acordos de confidencialidade e em conformidade com o RGPD:

• Fornecedor de alojamento da plataforma: servidores onde a plataforma de produção está instalada, localizados em Portugal ou na União Europeia
• Google LLC: utilizada como sistema de armazenamento de backups (Google Drive), com replicação automática em múltiplos data centers para fins de redundância geográfica. A Google opera ao abrigo das Cláusulas Contratuais Padrão (Standard Contractual Clauses) da União Europeia para transferências internacionais de dados, garantindo o nível de protecção exigido pelo RGPD
• IfThenPay, Lda. (ou outro prestador de serviços de pagamento contratado pela organização cliente): processamento de pagamentos por Referência Multibanco, MBWay e transferência bancária, exclusivamente para a funcionalidade de donativos monetários. O prestador opera em Portugal, em conformidade com o RGPD
• Autoridade Tributária e Aduaneira (AT): comunicação de donativos para efeitos de emissão de recibos fiscais e dedução em IRS/IRC, quando o doador fornece o NIF
• Autoridades competentes: quando exigido por lei ou ordem judicial

6.1 Localização dos dados

Os dados de produção (utilização activa da plataforma) são alojados em servidores localizados em Portugal ou na União Europeia.

Os backups, em particular nos planos Enterprise e Nacional que beneficiam de geo-redundância contratual, podem ser replicados em múltiplas regiões geográficas através da infra-estrutura da Google, sempre sob protecção das Cláusulas Contratuais Padrão da União Europeia, que asseguram um nível de protecção equivalente ao do RGPD.

7. Direitos dos Titulares

Nos termos do RGPD, os titulares dos dados têm os seguintes direitos:

• Acesso — obter confirmação sobre o tratamento e aceder aos seus dados
• Rectificação — corrigir dados inexactos ou incompletos
• Apagamento — solicitar a eliminação dos dados ("direito a ser esquecido")
• Limitação — solicitar a restrição do tratamento em determinadas circunstâncias
• Portabilidade — receber os dados em formato estruturado e legível por máquina
• Oposição — opor-se ao tratamento baseado em interesses legítimos

Para exercer qualquer destes direitos, contacte info@donativa.pt. Os pedidos serão respondidos no prazo de 30 dias.

Tem ainda o direito de apresentar reclamação à CNPD (Comissão Nacional de Protecção de Dados) em www.cnpd.pt.

8. Segurança

A Rui DaCruz LDA adopta medidas técnicas e organizativas adequadas para proteger os dados pessoais, incluindo:

• Encriptação das comunicações via SSL/TLS em todos os subdomínios da plataforma
• Controlo de acesso por autenticação e níveis de permissão diferenciados
• Backups automáticos com frequência e retenção conforme o plano contratado
• Backups geo-redundantes para os planos Enterprise e Nacional, replicados em múltiplas regiões geográficas através de infra-estrutura cloud em conformidade com o RGPD
• Autenticação em dois passos (2FA) obrigatória em todas as contas administrativas com acesso a dados sensíveis ou a infra-estruturas de backup
• Monitorização de acessos e tentativas de intrusão
• Formação dos colaboradores em matéria de protecção de dados

9. Cookies

O site donativa.pt utiliza apenas cookies estritamente necessários para o funcionamento da plataforma, nomeadamente cookies de sessão para autenticação. Não são utilizados cookies de rastreamento ou publicidade.

10. Alterações à Política

Esta Política de Privacidade pode ser actualizada periodicamente. Em caso de alterações significativas, os utilizadores serão notificados por email. A data da última actualização está indicada no topo deste documento.