Política de Privacidade
A presente Política de Privacidade explica como ETHIC premium concept, Lda (NIF 517266989, com sede em Rua Pádua Correia, 90, Vila Nova de Gaia) recolhe, utiliza, partilha e protege os dados pessoais dos utilizadores da plataforma ETHIC WELLNESS BOUTIQUE, em conformidade com o Regulamento (UE) 2016/679 ("RGPD"), a Lei n.º 58/2019, de 8 de agosto (Lei de execução do RGPD), a Lei n.º 41/2004 (privacidade nas comunicações eletrónicas) e demais legislação aplicável.
1. Responsável pelo tratamento
ETHIC premium concept, Lda (ETHIC WELLNESS BOUTIQUE)
Rua Pádua Correia, 90, 4400-238 Vila Nova de Gaia
NIF: 517266989
Email: geral@ethic.pt
Telefone: +351 968288816
Website: www.ethic.pt
2. Encarregado de Proteção de Dados (DPO)
Para qualquer questão relativa ao tratamento dos seus dados pessoais ou ao exercício dos seus direitos, contacte o Encarregado de Proteção de Dados:
Encarregado de Proteção de Dados
Email: geral@ethic.pt
Telefone: +351 968288816
3. A quem se aplica esta Política
- Clientes registados (incluindo menores representados por Encarregado de Educação).
- Profissionais e colaboradores com acesso operacional à Plataforma.
- Visitantes do website público (páginas institucionais, catálogo, blog).
- Pessoas singulares cujos dados sejam comunicados por terceiros (ex.: contacto de emergência, agente desportivo, parceiros).
4. Categorias de dados tratados
Em função do perfil e das funcionalidades utilizadas, tratamos as seguintes categorias de dados:
4.1 Dados de identificação e contacto
- Nome completo, data de nascimento, sexo/género, nacionalidade.
- NIF (Número de Identificação Fiscal).
- Morada (rua, número de porta, freguesia, concelho, distrito, código postal, país).
- Email, telefone, número de WhatsApp, perfis sociais (Instagram, LinkedIn — opcional para Profissionais).
- Fotografia de perfil (avatar) e, quando aplicável, fotografias de progresso ou de avaliação.
4.2 Dados de conta e segurança
- Identificador único Firebase (UID) e palavra-passe encriptada (hash) gerida pelo Firebase Authentication.
- Tokens de sessão e de notificações push (FCM token).
- Histórico de início de sessão, IP, tipo de dispositivo, sistema operativo e navegador.
- Estado da conta (ativa, suspensa, eliminada) e permissões atribuídas.
4.3 Dados de saúde — categoria especial (art. 9.º RGPD)
Sempre que os serviços contratados o exijam, e sempre mediante consentimento explícito ou outra base lícita prevista no art. 9.º/2 do RGPD, podem ser tratadas as seguintes categorias especiais:
- Questionário PAR-Q e anamnese inicial (história cardíaca, diabetes, colesterol, antecedentes psiquiátricos, intervenções cirúrgicas, medicação atual, dores crónicas, lesões).
- Avaliações físicas e composição corporal (peso, altura, perímetros, percentagem de massa gorda, massa muscular).
- Planos de reabilitação, protocolos de exercícios prescritos, evolução clínica e notas clínicas.
- Prescrições, diagnósticos e relatórios médicos carregados pelo Profissional.
- Dados nutricionais (objetivos, planos alimentares, intolerâncias, alergias).
- Dados psicológicos (questionários, registos de sessão) — apenas quando aplicável e com consentimento.
- Dados resultantes de utilização do mecanismo SOS (zona, tipo e intensidade da queixa).
4.4 Dados desportivos e de utilização
- Histórico de marcações, consultas e sessões realizadas.
- Planos de treino, periodização (macro, meso e microciclos), registos de sessão.
- Dados específicos de atleta — modalidade, clube, posição, pé/mão dominante, agente desportivo.
- Mensagens trocadas com Profissionais (chat interno, comentários em notas).
- Avaliação de satisfação, respostas a inquéritos e timeline de eventos.
4.5 Dados financeiros
- Histórico de pagamentos, faturação, pacotes/cartões adquiridos.
- Identificadores de transação Stripe (sem armazenamento de PAN/CVV — dados completos do cartão são tratados exclusivamente pela Stripe).
- NIB/IBAN apenas se voluntariamente fornecido para cobrança por débito direto ou reembolso.
- Número de cliente do seguro de saúde e respetiva entidade (opcional).
4.6 Dados de menores e Encarregado de Educação
- Identificação do menor (nome, data de nascimento).
- Identificação completa do Encarregado de Educação (nome, email, telefone, NIF).
- Declaração de consentimento parental para o tratamento de dados de saúde do menor.
4.7 Dados de localização
- Endereço postal indicado para faturação ou contacto.
- Coordenadas aproximadas inferidas via Google Geocoding/Places quando o utilizador insere uma morada.
- Localização das instalações da Empresa exibida em mapas (Google Maps).
4.8 Conteúdos multimédia
- Fotografias e vídeos carregados pelo utilizador (avaliações físicas, perfil).
- Áudio gravado para transcrição (speech-to-text) e voz sintetizada (TTS) durante interações com agentes de IA.
- Documentos PDF gerados (planos, faturas, relatórios).
5. Finalidades e fundamentos jurídicos
Cada tratamento assenta numa base jurídica do art. 6.º RGPD (complementada pelo art. 9.º para dados de saúde):
- Prestação dos serviços contratados — execução do contrato (art. 6.º/1 b).
- Gestão da conta, autenticação e suporte — execução do contrato.
- Acompanhamento clínico e desportivo, incluindo dados de saúde — consentimento explícito (art. 9.º/2 a) ou prestação de cuidados de saúde por profissional sujeito a sigilo (art. 9.º/2 h).
- Faturação, contabilidade e cumprimento de obrigações fiscais — obrigação legal (art. 6.º/1 c).
- Prevenção de fraude, segurança da Plataforma, auditoria — interesse legítimo (art. 6.º/1 f).
- Notificações operacionais (confirmações de marcação, alertas de pagamento, recordatórios) — execução do contrato.
- Comunicações de marketing e newsletter — consentimento prévio (art. 6.º/1 a), revogável a qualquer momento.
- Análise estatística agregada e melhoria do serviço — interesse legítimo, com utilização de dados pseudonimizados/agregados sempre que possível.
- Resposta a pedidos das autoridades públicas — obrigação legal.
6. Inteligência Artificial e decisões automatizadas
A Plataforma utiliza modelos de IA generativa, em particular Google Gemini, ElevenLabs (síntese de voz) e, quando aplicável, OpenAI, para apoiar tarefas como geração de planos de treino, sugestões de intervenção clínica, propostas de orçamento, transcrição de áudio e atendimento via WhatsApp.
- Os dados enviados aos modelos são minimizados ao estritamente necessário e, sempre que possível, pseudonimizados.
- Configuramos os fornecedores para NÃO utilizar os dados na sua reciclagem/treino de modelos.
- As sugestões geradas têm carácter de apoio e são sempre revistas por um Profissional humano habilitado antes de qualquer aplicação ao Cliente.
- O utilizador tem direito à intervenção humana, à expressão da sua posição e à contestação da decisão (art. 22.º RGPD).
7. Subcontratantes e partilha de dados
Para prestar os serviços recorremos a subcontratantes que tratam dados em nome e por conta de ETHIC premium concept, Lda, todos eles sujeitos a Data Processing Agreements e a garantias técnicas e organizativas adequadas:
- Google Ireland Ltd. / Google LLC — Firebase Authentication, Cloud Firestore, Cloud Storage, Cloud Functions, Cloud Messaging (FCM), App Check, Hosting, Maps, Places, Geocoding e Cloud Text-to-Speech. Servidores na UE (eur3) com possibilidade de transferências para os EUA ao abrigo do EU-U.S. Data Privacy Framework.
- Google Ireland Ltd. — Gemini API para inteligência artificial generativa (processamento sob política "no-training").
- Stripe Payments Europe Ltd. (Irlanda) — processamento de pagamentos com cartão, certificado PCI-DSS Level 1; pode envolver Stripe Inc. (EUA) ao abrigo de SCCs.
- Meta Platforms Ireland Ltd. — WhatsApp Business API para notificações e atendimento automatizado (quando o utilizador inicie a conversa ou aceite receber este canal).
- ElevenLabs Inc. (EUA) — síntese de voz (TTS) sob SCCs, quando o utilizador acede a funcionalidades de voz.
- OpenAI Ireland Ltd. — quando aplicável, geração de texto e transcrição; ativada pontualmente conforme configuração.
- Fornecedores de email transacional (SMTP/EmailJS) — envio de confirmações e notificações operacionais.
- Fornecedores de SMS / mensagens — notificações operacionais quando aplicável.
- Equipa interna de Profissionais e colaboradores da Empresa, sujeitos a dever de confidencialidade.
- Contabilistas certificados, auditores, advogados — quando estritamente necessário no cumprimento de obrigações legais.
- Companhias de seguros de saúde — apenas quando o utilizador autorize a apresentação de comparticipação.
A Empresa não vende, aluga ou cede dados pessoais a terceiros para fins de marketing. A lista atualizada de subcontratantes pode ser solicitada a geral@ethic.pt.
8. Transferências internacionais
Os dados são alojados, por defeito, em datacenters da União Europeia (região multi-region "eur3" da Google Cloud). Sempre que algum tratamento implique transferência para fora do Espaço Económico Europeu (designadamente para os EUA via Stripe, ElevenLabs ou OpenAI), ETHIC premium concept, Lda assegura a existência de garantias adequadas:
- Decisões de adequação da Comissão Europeia (ex.: EU-U.S. Data Privacy Framework).
- Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia.
- Medidas suplementares (encriptação, pseudonimização, controlos contratuais).
Pode solicitar cópia destas garantias através de geral@ethic.pt.
9. Prazos de conservação
- Dados de conta e perfil: enquanto a conta estiver ativa e até 2 anos após o seu encerramento (gestão de eventuais reclamações).
- Dados clínicos e de saúde: 10 anos após o último contacto, em cumprimento das obrigações legais aplicáveis aos prestadores de cuidados de saúde.
- Pagamentos e documentos contabilísticos: 10 anos por imposição fiscal (CIRS, CIRC, IVA).
- Comprovativos de consentimento: pelo prazo correspondente ao tratamento + 5 anos.
- Logs técnicos de segurança e acessos: até 6 meses, salvo prorrogação para investigação de incidentes.
- Comunicações de marketing: até à revogação do consentimento ou 3 anos de inatividade.
- Cookies analíticos: ver Política de Cookies.
- Conteúdos multimédia carregados: enquanto necessários à finalidade ou até pedido de eliminação.
- Conversas via WhatsApp e chat interno: 3 anos a contar da última interação, salvo dever legal de conservação.
Findos os prazos legais, os dados são eliminados ou anonimizados de forma irreversível.
10. Direitos dos titulares
Nos termos do RGPD, o utilizador tem o direito de, a qualquer momento, exercer os seguintes direitos:
- Acesso (art. 15.º) — obter confirmação e cópia dos seus dados.
- Retificação (art. 16.º) — corrigir dados incorretos ou desatualizados.
- Apagamento ou "direito ao esquecimento" (art. 17.º) — sujeito a obrigações legais de conservação.
- Limitação do tratamento (art. 18.º).
- Portabilidade (art. 20.º) — receber os dados em formato estruturado (CSV/JSON) e transmiti-los a outro responsável.
- Oposição (art. 21.º) — em particular ao tratamento para marketing direto.
- Não ser sujeito a decisões automatizadas com efeitos relevantes (art. 22.º), com direito a intervenção humana.
- Retirar o consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.
- Apresentar reclamação à CNPD (ponto 14).
Para exercer estes direitos, contacte-nos por escrito para geral@ethic.pt, com identificação válida. Responderemos no prazo de 30 dias, prorrogável por mais 60 dias em casos de especial complexidade. O exercício destes direitos é gratuito, salvo pedidos manifestamente infundados ou excessivos.
11. Segurança da informação
Implementamos medidas técnicas e organizativas adequadas ao risco, designadamente:
- Encriptação em trânsito (TLS 1.2+) em todas as comunicações.
- Encriptação em repouso ao nível dos serviços Google Cloud / Firebase.
- Autenticação Firebase com hash de palavra-passe (não armazenamos palavras-passe em texto claro).
- Firebase App Check para mitigação de tráfego abusivo e bots.
- Controlo de acessos baseado em perfis com princípio do menor privilégio.
- Regras de segurança do Firestore e do Cloud Storage que restringem leitura/escrita por utilizador autenticado e por papel.
- Monitorização e registo de operações críticas (criação, alteração, eliminação).
- Cópias de segurança regulares, com testes de restauro.
- Formação contínua das equipas em proteção de dados e cibersegurança.
- Procedimento documentado de resposta a incidentes — notificação à CNPD em 72 h e comunicação aos titulares quando exista risco elevado.
12. Cookies e tecnologias semelhantes
A Plataforma utiliza cookies estritamente necessários ao funcionamento e armazenamento local no dispositivo (via shared_preferences/localStorage) para preservar a sessão, preferências de tema e idioma. Cookies analíticos e de marketing apenas são ativados com o consentimento prévio. Para informação detalhada consulte a Política de Cookies.
13. Menores
A Plataforma não se destina a menores de 13 anos. O tratamento de dados de menores depende sempre do consentimento expresso do Encarregado de Educação, nos termos do art. 17.º da Lei n.º 58/2019. O Encarregado é o titular do contrato e responsável pela informação fornecida em nome do menor. Para revogar consentimento ou solicitar apagamento, contacte geral@ethic.pt.
14. Reclamações junto da autoridade de controlo
Sem prejuízo de qualquer outra via administrativa ou judicial, o utilizador tem o direito de apresentar reclamação à autoridade de controlo:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º · 1200-651 Lisboa
Tel: +351 213 928 400
Email: geral@cnpd.pt · Web: www.cnpd.pt
15. Alterações à Política
Esta Política pode ser atualizada para refletir alterações legais, tecnológicas ou organizativas. Sempre que a alteração seja material (por exemplo, novas finalidades, novos subcontratantes ou alterações aos prazos de conservação), será comunicada por email e/ou notificação na Plataforma com antecedência mínima de 15 dias, podendo ser exigida nova aceitação para continuar a utilizar a Plataforma.
Última atualização: 2026-05-21 · Versão template: 1.0.0