Skip to content

RGPD e Visão Geral da Proteção de Dados

Este guia explica como é a conformidade com o RGPD ao gerir uma loja online com o Capyshop. Abrange o que a plataforma trata por si, o que continua a ser da sua responsabilidade enquanto operador da loja e como lidar com cenários comuns de proteção de dados.

O Seu Papel: Responsável pelo Tratamento

Enquanto operador da loja, você é o responsável pelo tratamento de dados. Isto significa que determina as finalidades e os meios de tratamento dos dados pessoais dos seus clientes. O Capyshop é o seu subcontratante — fornece a tecnologia e a infraestrutura, mas a responsabilidade legal pela conformidade com o RGPD recai sobre si.

O Que o Capyshop Cobre

A plataforma oferece estas funcionalidades de RGPD integradas:

FuncionalidadeComo funciona
Banner de consentimento de cookiesOs visitantes veem um banner na primeira visita com opções de Aceitar/Recusar. Os scripts de analytics e de terceiros só são carregados após consentimento explícito.
Bloqueio por consentimento de analyticsScripts de terceiros e análises ficam completamente desativados até que o visitante aceite os cookies.
Direito de acessoOs utilizadores podem descarregar todos os seus dados em formato JSON estruturado a partir da página do seu perfil.
Direito ao apagamentoOs utilizadores podem eliminar a sua conta diretamente a partir do seu perfil. As encomendas são anonimizadas (dados pessoais removidos), enquanto os registos financeiros são conservados para conformidade fiscal.
Direito à portabilidade dos dadosExportação com um clique de todos os dados pessoais (perfil, moradas, encomendas, registos de consentimento, avaliações) em JSON legível por máquina.
Verificação de idadeOs utilizadores devem fornecer a sua data de nascimento no registo. Não podem ser criadas contas por menores de 18 anos.
Política de privacidadeUma política de privacidade abrangente é gerada automaticamente com divulgação dos direitos do RGPD, informações do subcontratante e dados de contacto.
Auditoria de consentimento dos Termos de ServiçoA aceitação dos Termos de Serviço é registada com data/hora, endereço IP e número da versão.
Conservação de dadosOs dados de analytics são automaticamente eliminados após um período configurável (padrão: 90 dias). As contas inativas são sinalizadas para eliminação após 3 anos de inatividade.
Inatividade de contaOs utilizadores que não acedem à plataforma há um número configurável de anos recebem um email de aviso e a sua conta é agendada para eliminação.
Cabeçalhos de segurançaHSTS, CSP, X-Content-Type-Options e X-Frame-Options são aplicados.
Limitação de taxa (rate limiting)Os endpoints de autenticação e operações da API têm limitação de taxa para prevenir abusos.

As Suas Responsabilidades

Trilho de Auditoria do Consentimento de Cookies

Em Conformidade — Implementado: As decisões de consentimento de cookies são registadas no servidor através do modelo ConsentLog com o tipo "cookies". Quando um utilizador aceita ou recusa o banner de cookies, a decisão é registada juntamente com o seu endereço IP e data/hora.

Acordos de Tratamento de Dados (DPAs)

Deve ter DPAs em vigor com todos os subcontratantes que utiliza:

ServiçoFinalidadeDPA Disponível?
StripeProcessamento de pagamentosSim (DPA do Stripe)
PostHogTelemetria da plataformaSim (DPA do PostHog)
O seu fornecedor SMTPEnvio de emailsDepende do fornecedor
Google AnalyticsAnalytics da lojaAtravés dos termos do Google
O seu fornecedor de alojamentoInfraestruturaDepende do fornecedor

Conformidade de Marketing

O Capyshop regista um indicador subscribeToNews, mas não tem um sistema de email marketing integrado. Se ligar um serviço externo de email marketing, deve:

  • Obter consentimento explícito (sem caixas pré-selecionadas)
  • Implementar dupla confirmação (double opt-in) quando exigido
  • Fornecer links de cancelamento de subscrição com um clique
  • Manter o seu próprio trilho de auditoria de consentimento

Notificação de Violação de Dados

O Capyshop não deteta nem reporta automaticamente violações de dados. Se ocorrer uma violação:

  1. Notifique a sua autoridade de controlo no prazo de 72 horas (Art. 33.º)
  2. Notifique os utilizadores afetados sem demora indevida se houver risco elevado (Art. 34.º)
  3. Pode exportar todos os dados dos utilizadores a partir do painel de administração para contactar os utilizadores afetados

Autoridades de Proteção de Dados da UE

Registos das Atividades de Tratamento (RAT)

Deve manter um registo escrito das suas atividades de tratamento (Art. 30.º). Este documento deve listar quais os dados que recolhe, porquê, durante quanto tempo os conserva e quem os trata.

Como Lidar com Pedidos dos Titulares dos Dados

Direito de Acesso (Art. 15.º)

Os utilizadores podem consultar os seus dados na página do seu perfil e descarregá-los através do botão Descarregar os Meus Dados. Os administradores também podem exportar dados de utilizadores a partir do painel de administração.

Direito ao Apagamento (Art. 17.º)

Os utilizadores podem eliminar a sua própria conta a partir da página do seu perfil (Zona de Perigo). Os administradores também podem eliminar utilizadores a partir do painel de administração. O processo de eliminação:

  • Anonimiza os dados pessoais das encomendas (nome, email, moradas), mantendo os registos financeiros para efeitos fiscais
  • Elimina dados de analytics, registos de consentimento, avaliações, lista de desejos e sessões
  • A eliminação em cascata trata de moradas, contas e outros registos relacionados

Direito à Portabilidade dos Dados (Art. 20.º)

Os utilizadores podem descarregar todos os seus dados pessoais como um ficheiro JSON a partir da página do seu perfil. A exportação inclui perfil, moradas, encomendas com itens, registos de consentimento e avaliações de produtos.

Limpeza Automatizada de Contas Inativas

Por padrão, as contas inativas há 3 anos são sinalizadas para eliminação:

  1. É enviado um email ao utilizador avisando que a sua conta será eliminada em 7 dias
  2. Se o utilizador iniciar sessão novamente, o temporizador de inatividade é reiniciado
  3. Após 7 dias sem atividade, a conta é automaticamente eliminada

Configure o limite com a variável de ambiente INACTIVE_ACCOUNT_DELETION_YEARS.

Resumo dos Subcontratantes

Ao gerir uma loja Capyshop, estes serviços podem tratar dados pessoais:

SubcontratanteFinalidadeDados
StripeProcessamento de pagamentosMontantes de pagamento, moeda, metadados
PostHogTelemetria da plataforma (opcional)Visualizações de página, erros (sem dados pessoais de clientes)
Fornecedor de email (SMTP)Emails transacionaisEndereços de email, detalhes de encomendas, nomes
Google Analytics / MetaAnalytics da loja (opcional)Visualizações de página, eventos (bloqueados sem consentimento)
Fornecedor de alojamentoAlojamento da aplicação + base de dadosTodos os dados pessoais (em repouso)

Aviso Legal

O Capyshop é fornecido "tal como está", sem garantias. Utiliza a plataforma por sua conta e risco. O Capyshop não é responsável por violações de dados, perda de dados ou violações de conformidade com o RGPD em lojas autoalojadas.

Recursos Úteis