Como recolhemos, usamos e protegemos os seus dados pessoais
A S2D, Sport data Decision, Lda, com sede na Estrada Municipal 506 Ubimedical 6200-284 Covilhã, NIF 518063097, é a entidade responsável pelo tratamento dos dados pessoais recolhidos através da plataforma IndoorData. Para qualquer questão relacionada com a privacidade dos seus dados, pode contactar-nos em: support@indoordata.pt Não foi formalmente designado um Encarregado de Proteção de Dados (EPD), uma vez que as nossas atividades de tratamento não o exigem ao abrigo do RGPD. A pessoa internamente responsável pelas questões de proteção de dados pode ser contactada no endereço de e-mail acima.
Recolhemos apenas os dados estritamente necessários para a prestação do nosso serviço: • Dados de conta e autenticação (e-mail, palavra-passe cifrada, nome, função) — necessários para o acesso à plataforma. Base jurídica: execução do contrato (Art. 6.º, n.º 1, al. b) RGPD). • Dados de perfil do utilizador (telefone, data de nascimento, género, foto) — para personalização da conta. Base jurídica: execução do contrato. • Dados de jogador/atleta (nome, contacto, morada, data de nascimento, licença federativa, historial desportivo, foto) — para gestão desportiva pelo clube. Base jurídica: execução do contrato e consentimento do titular. • Dados biométricos e de saúde (altura, peso, capacidade física, historial clínico e psicológico) — para acompanhamento do desenvolvimento desportivo, apenas com consentimento explícito. Base jurídica: consentimento explícito (Art. 9.º, n.º 2, al. a) RGPD). • Dados de menores — requerem consentimento explícito do representante legal. • Registos de segurança (tentativas de acesso, timestamps) — para proteção de sistemas contra acessos não autorizados. Base jurídica: interesse legítimo (Art. 6.º, n.º 1, al. f) RGPD). Retenção: 7 dias.
Os seus dados são partilhados apenas com os seguintes subprocessadores, estritamente no âmbito da prestação do serviço, todos sujeitos a Contratos de Tratamento de Dados (CTD) ao abrigo do Art. 28.º RGPD: • Amazon Web Services (AWS) — base de dados (RDS), envio de e-mail transacional (SES), armazenamento de ficheiros e imagens (S3) e monitorização de infraestrutura (CloudWatch). Servidores localizados exclusivamente na União Europeia (Frankfurt / Irlanda). Não vendemos, cedemos nem partilhamos os seus dados pessoais com terceiros para fins comerciais, de marketing ou quaisquer outros fins não descritos nesta política. Os seus dados nunca são transferidos para países fora da União Europeia.
Conservamos os seus dados apenas pelo tempo necessário para os fins para os quais foram recolhidos: • Dados de conta e perfil de utilizador: pelo período da conta ativa + 2 anos após eliminação ou inatividade. • Dados de jogador/atleta: pelo período da subscrição do clube + 2 anos após o fim da relação contratual. • Dados biométricos e de saúde: nas mesmas condições que os dados de jogador. • Registos de segurança (tentativas de acesso): 7 dias, com eliminação automática. Em termos de segurança, implementamos as seguintes medidas técnicas e organizativas: • Encriptação em trânsito — TLS/HTTPS em todos os acessos à plataforma, certificados geridos via AWS Certificate Manager. • Encriptação em repouso — base de dados e ficheiros armazenados com encriptação AWS KMS. • Controlo de acesso — sistema baseado em funções (ADMIN, MANAGER, COACH) com permissões granulares por clube. • Proteção contra força bruta — bloqueio automático após tentativas de acesso falhadas. • Backups automáticos — com capacidade de recuperação point-in-time via AWS RDS.
Ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), tem os seguintes direitos sobre os seus dados pessoais: • Acesso (Art. 15.º) — saber que dados pessoais tratamos sobre si. • Retificação (Art. 16.º) — corrigir dados incorretos ou incompletos. Disponível diretamente na plataforma para dados de perfil e jogador. • Apagamento (Art. 17.º) — solicitar a eliminação dos seus dados pessoais. • Portabilidade (Art. 20.º) — receber os seus dados em formato estruturado e legível por máquina (JSON/CSV). • Oposição (Art. 21.º) — opor-se ao tratamento com base em interesse legítimo. • Limitação (Art. 18.º) — limitar o tratamento em determinadas circunstâncias. Para exercer qualquer destes direitos, contacte-nos em: support@indoordata.pt Prazo máximo de resposta: 30 dias (prorrogável por 60 dias em casos complexos, com aviso prévio). Tem igualmente o direito de apresentar reclamação junto da autoridade de controlo competente: CNPD — Comissão Nacional de Proteção de Dados www.cnpd.pt
Última atualização: Fevereiro 2025