RGPD
Regulamento Geral sobre a Protecção de Dados
Última actualização: Março 2026
Esta página destina-se aos clubes e operadores que utilizam a plataforma Firstpoint. Explica como os dados dos vossos membros são tratados, quais as responsabilidades de cada parte e o que devem fazer para cumprir o RGPD enquanto responsáveis pelo tratamento.
Se é um utilizador final à procura dos seus direitos, consulte a nossa Política de Privacidade.
1. O Que é o RGPD
O Regulamento Geral sobre a Protecção de Dados (RGPD — Regulamento UE 2016/679) é o quadro legal europeu que regula o tratamento de dados pessoais de pessoas singulares. Em vigor desde 25 de Maio de 2018, aplica-se a qualquer entidade que trate dados de residentes na União Europeia, independentemente da sua localização.
Em Portugal, a autoridade de supervisão competente é a Comissão Nacional de Protecção de Dados (CNPD).
2. Papéis: Responsável e Subcontratante
O RGPD distingue dois papéis fundamentais no tratamento de dados:
O Clube — Responsável pelo Tratamento
O clube é quem determina as finalidades e os meios do tratamento dos dados dos seus membros. É o clube que recolhe os dados através da Firstpoint, que define quem tem acesso, que decide durante quanto tempo os guarda e que responde perante os membros e as autoridades.
A Firstpoint — Subcontratante
A Firstpoint actua como subcontratante: trata os dados exclusivamente para prestar os serviços contratados pelo clube, seguindo as suas instruções e não utilizando os dados para fins próprios. Não vendemos nem partilhamos os dados dos membros com terceiros não autorizados.
3. Contrato de Tratamento de Dados (DPA)
O RGPD (Art. 28.º) exige que a relação entre responsável e subcontratante seja formalizada num Contrato de Tratamento de Dados (Data Processing Agreement — DPA).
Ao subscrever a Firstpoint, os clubes celebram automaticamente este contrato connosco, que define:
- O objecto e a duração do tratamento
- A natureza e a finalidade do tratamento
- O tipo de dados pessoais tratados
- As categorias de titulares
- As obrigações e os direitos do responsável pelo tratamento
Para obter uma cópia do DPA ou discutir cláusulas específicas, contacte [email protected].
4. Dados Tratados pela Firstpoint em Nome dos Clubes
A Firstpoint trata as seguintes categorias de dados pessoais para prestar os serviços contratados:
| Categoria | Dados | Finalidade |
|---|---|---|
| Identificação | Nome, email, telefone | Registo e autenticação de conta |
| Reservas | Campos, horários, recorrência | Gestão de disponibilidade e confirmações |
| Inscrições | Treinos, torneios, programas | Gestão de participações e listas de espera |
| Financeiro | Histórico de pagamentos, plano de subscrição | Facturação e gestão de contas de cliente |
| Analytics | Eventos de utilização da plataforma | Melhoria da experiência (apenas com consentimento) |
Não tratamos dados de categorias especiais (Art. 9.º RGPD) como dados de saúde, origem racial, opiniões políticas ou dados biométricos.
5. Medidas de Segurança
A Firstpoint implementa medidas técnicas e organizacionais apropriadas para proteger os dados contra acesso não autorizado, perda ou destruição (Art. 32.º RGPD):
Cifra em trânsito
Todas as comunicações utilizam TLS 1.2+
Cifra em repouso
Bases de dados cifradas nos servidores
Autenticação forte
Tokens JWT de curta duração com rotação
Controlo de acessos
Permissões por função (RBAC) — staff vê apenas dados do seu clube
Infraestrutura EU
Dados alojados exclusivamente em servidores na União Europeia
Backups regulares
Cópias de segurança automatizadas com retenção definida
Monitorização
Logs de auditoria e alertas de actividade anómala
Revisões periódicas
Avaliações de segurança e actualização de dependências
6. Transferências Internacionais
Os dados pessoais tratados pela Firstpoint são alojados e processados exclusivamente em servidores localizados na União Europeia. Não realizamos transferências de dados pessoais para países terceiros fora do Espaço Económico Europeu sem garantias adequadas (decisão de adequação, cláusulas contratuais-tipo ou outro mecanismo previsto no Art. 46.º RGPD).
Quando utilizamos subcontratantes terceiros (ex.: processadores de pagamento, serviços de email transaccional), estes operam igualmente dentro da UE ou dispõem de garantias adequadas, e estão vinculados por acordos de tratamento de dados.
7. Exercício de Direitos pelos Membros
Os membros dos clubes podem exercer os seus direitos ao abrigo do RGPD (acesso, rectificação, eliminação, portabilidade, oposição, limitação do tratamento). Como o clube é o responsável pelo tratamento, os pedidos devem ser dirigidos directamente ao clube.
O clube deve responder no prazo de 30 dias (prorrogável por mais 60 em casos complexos, com notificação ao titular).
A Firstpoint compromete-se a auxiliar os clubes no cumprimento destes pedidos, incluindo a exportação ou eliminação de dados através da plataforma. Para assistência, contacte [email protected].
8. Notificação de Violações de Dados
Em caso de violação de dados pessoais (Art. 33.º e 34.º RGPD):
- A Firstpoint notifica o clube sem demora injustificada, e sempre que possível no prazo de 72 horas após tomar conhecimento da violação.
- O clube, como responsável, avalia se a violação implica risco para os direitos e liberdades dos titulares e, em caso afirmativo, notifica a CNPD no mesmo prazo.
- Se a violação for susceptível de resultar em elevado risco para os titulares, o clube deve comunicar-lhes directamente, sem demora injustificada.
9. Obrigações do Clube como Responsável
Ao utilizar a Firstpoint para gerir dados dos seus membros, o clube assume as seguintes responsabilidades ao abrigo do RGPD:
- Disponibilizar uma política de privacidade adequada aos seus membros, indicando as finalidades e bases legais do tratamento
- Garantir que existe uma base legal válida para cada tratamento (consentimento, execução de contrato, obrigação legal, etc.)
- Gerir os direitos dos titulares (acesso, rectificação, eliminação) dentro dos prazos legais
- Manter um registo das actividades de tratamento se o clube tiver 250 ou mais empregados, ou se tratar dados de forma sistemática
- Assegurar que apenas pessoal autorizado tem acesso à plataforma e que as credenciais são mantidas em segurança
- Não utilizar a Firstpoint para tratar categorias especiais de dados sem as salvaguardas adequadas
10. Retenção e Eliminação de Dados
Os dados são retidos enquanto a conta do clube estiver activa. Após cancelamento:
| Categoria | Período de retenção pós-cancelamento |
|---|---|
| Dados de conta e perfil | 30 dias (recuperação), depois eliminação |
| Histórico de reservas e inscrições | 90 dias, depois eliminação |
| Dados financeiros e facturas | 10 anos (obrigação legal fiscal) |
| Logs de segurança | 12 meses |
Pode solicitar a eliminação antecipada de dados através de [email protected], sujeito a obrigações legais de retenção.
11. Contacto e Recursos
Para questões relacionadas com o RGPD, tratamento de dados ou para solicitar o DPA:
Firstpoint
Email: [email protected]
Documentos relacionados:
- Política de Privacidade — para utilizadores finais e membros dos clubes
- Termos de Serviço — condições de utilização da plataforma
- CNPD — Comissão Nacional de Protecção de Dados — autoridade de supervisão portuguesa