Política de Privacidade — Toveria
Versão 2.0 — Junho de 2026
Conforme ao RGPD (UE) 2016/679, à Lei de Informática e Liberdades modificada
e aos regulamentos aplicáveis às transferências internacionais de dados
1. Identidade do responsável pelo tratamento
Toveria — empresa individual (EI) explorada por Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, França
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) é o responsável pelo tratamento dos dados pessoais coletados através da plataforma Toveria (toveria.com) e sua aplicação móvel, no contexto de um marketplace BtoC, CtoC, CtoB e BtoB operando da Europa para o mundo inteiro.
2. Delegado de Proteção de Dados (DPD)
O DPD é seu interlocutor para qualquer questão relativa à proteção de seus dados pessoais.
3. Dados coletados
3.1 Dados de inscrição — Todos os utilizadores
| Dado | Obrigatório | Finalidade |
|---|---|---|
| Primeiro nome e sobrenome | Sim | Identificação, DAC7, faturação |
| Data de nascimento | Sim (pessoas singulares) | Verificação de maioridade, DAC7 |
| Endereço de email | Sim | Autenticação, notificações |
| Número de telefone | Sim | Verificação de identidade, segurança, OTP |
| Endereço postal completo | Sim | Entrega, faturação, DAC7 |
| País de residência | Sim | Conformidade fiscal, IVA internacional |
| Pseudónimo | Sim | Apresentação na plataforma |
| Avatar | Não | Personalização |
| Biografia | Não | Perfil público do vendedor |
3.2 Dados adicionais — Contas profissionais
| Dado | Obrigatório | Finalidade |
|---|---|---|
| Razão social | Sim | Conformidade legal, faturação BtoB |
| Forma jurídica | Sim | Conformidade legal |
| SIRET / Registo equivalente UE | Sim | Verificação de identidade da empresa |
| Número de IVA intracomunitário | Sim (se sujeito) | VIES, faturação BtoB |
| País de armazenamento das mercadorias | Sim | Conformidade DAC7, IVA |
| Kbis ou equivalente europeu | Sim | Verificação de identidade |
| IBAN (conta de transferência) | Via Stripe | Pagamento do vendedor (Stripe Connect) |
| Certificação DAC7 | Sim | Obrigação regulatória |
| Documentos KYC Stripe | Via Stripe | Verificação de identidade Connect |
3.3 Dados coletados na utilização
- Anúncios : título, descrição, preço, fotos, vídeos, categoria, localização
- Transações : histórico de compras/vendas, montantes, referências de pagamento, transportadores, números de rastreamento
- Conversas : mensagens trocadas entre membros
- Comportamento : páginas visitadas, pesquisas, anúncios consultados, favoritos
- Técnico : endereço IP, tipo de dispositivo, navegador, SO, idioma, fuso horário
- Aduaneiro : informações das declarações CN22/CN23 para expedições internacionais
3.4 Dados de pagamento
Tratados exclusivamente por Stripe. Toveria não armazena dados bancários. Toveria recebe apenas identificadores tokenizados e confirmações de transação.
3.5 Dados dos compradores internacionais
Para compradores localizados fora da UE, Toveria coleta os dados estritamente necessários à transação : nome, email, endereço de entrega, país. Estes dados são tratados em conformidade com o RGPD e, se aplicável, com as leis locais de proteção de dados (PDPA Tailândia, LGPD Brasil, PIPEDA Canadá, etc.).
3.6 Número fiscal (NIF / Tax ID)
Coletado para vendedores que excedem os limites DAC7 (30 transações ou 2 000 €/ano). Também coletado para transações BtoB que requerem uma fatura com identificação fiscal.
3.7 Dados de notificação push
Se ativar as notificações push, um identificador de dispositivo (token FCM) é gerado por Firebase Cloud Messaging (Google) e conservado para lhe enviar notificações relacionadas com sua atividade (mensagens, ofertas, vendas, rastreamento de encomenda). Este identificador não contém dados pessoais diretos. A ativação é facultativa e baseia-se no seu consentimento explícito (autorização solicitada pelo seu navegador, precedida de informação na aplicação) ; nenhum identificador é transmitido ao Google antes deste consentimento. Pode desativar as notificações a qualquer momento a partir do seu dispositivo ou do menu da aplicação.
4. Bases legais dos tratamentos
| Tratamento | Base legal |
|---|---|
| Gestão da conta | Execução do contrato (art. 6.1.b) |
| Processamento de pagamentos | Execução do contrato (art. 6.1.b) |
| Notificações transacionais | Execução do contrato (art. 6.1.b) |
| Faturação BtoB | Execução do contrato + obrigação legal |
| Conformidade DAC7 | Obrigação legal (art. 6.1.c) |
| Verificação de IVA VIES | Obrigação legal (art. 6.1.c) |
| Declarações aduaneiras | Obrigação legal (art. 6.1.c) |
| Conformidade com sanções internacionais | Obrigação legal (art. 6.1.c) |
| Combate à fraude | Interesse legítimo (art. 6.1.f) |
| Melhoria do serviço | Interesse legítimo (art. 6.1.f) |
| Emails de marketing | Consentimento (art. 6.1.a) |
| Cookies analíticos | Consentimento (art. 6.1.a) |
| Recomendações personalizadas | Consentimento (art. 6.1.a) |
| Notificações push (Firebase Cloud Messaging) | Consentimento (art. 6.1.a) |
5. Finalidades dos tratamentos
5.1 Gestão da conta e autenticação
Criação da conta, verificação de identidade (email OTP, SMS OTP), conexão segura, autenticação multifator (TOTP), recuperação de conta.
5.2 Funcionamento do marketplace
Publicação e gestão de anúncios, mensagens em tempo real entre membros, processamento de transações (todos os tipos : BtoC, CtoC, CtoB, BtoB), gestão de lotes, histórico de encomendas.
5.3 Pagamentos e transferências para vendedores
Processamento seguro de pagamentos (Stripe), geração de recibos, transferência de fundos para vendedores (Stripe Connect), gestão de subscrições Pro, faturação de impulsos.
5.4 Faturação BtoB
Geração automática de faturas conformes (número sequencial, dados fiscais completos de ambas as partes, IVA aplicável) para transações entre contas profissionais.
5.5 Conformidade regulatória
Declarações DAC7 à DGFiP, verificação de IVA via VIES, conformidade DSA, verificação de listas de sanções internacionais (via OpenSanctions, antes do pagamento), respeito dos regulamentos aduaneiros. Uma restrição geográfica exclui ainda os países sob embargo (inscrição e entrega bloqueadas), sob o título das sanções internacionais aplicáveis (OFAC, UE, ONU) e do controlo das exportações ; o país indicado é tratado para este fim.
5.6 Transações internacionais
Gestão dos dados necessários às declarações aduaneiras (CN22/CN23), cálculo dos impostos aplicáveis (IOSS, direitos aduaneiros), verificação das restrições de exportação/importação.
5.7 Segurança e anti-fraude
Detecção de comportamentos fraudulentos, verificação de autenticidade das contas, proteção contra conteúdos ilícitos, controlos anti-fraude de apadrinhar, verificação de sanções internacionais.
5.8 Atendimento ao cliente e litígios
Processamento de pedidos de suporte, mediação entre comprador e vendedor, arquivo das trocas necessárias à resolução de litígios, incluindo para litígios internacionais.
5.9 Comunicação comercial
Envio de emails transacionais obrigatórios, envio de emails de marketing com consentimento prévio (revogável a qualquer momento).
6. Destinatários dos dados
6.1 Prestadores técnicos (subcontratantes)
| Prestador | Função | Localização | Garantias |
|---|---|---|---|
| Supabase | Base de dados, auth, armazenamento | UE (Frankfurt) | Contrato DPA RGPD |
| Stripe | Pagamentos, KYC, Connect | Estados Unidos | CCT UE — Privacy Shield 2.0 |
| Resend | Emails transacionais | Estados Unidos | CCT UE |
| Google (Firebase Cloud Messaging) | Notificações push | Estados Unidos | CCT UE |
| Anthropic | Assistência por IA (pesquisa por imagem, geração de descrições de anúncios, assistente de suporte), a pedido do utilizador | Estados Unidos | CCT UE |
| Vercel | Alojamento de aplicação | Estados Unidos / UE | CCT UE |
| OpenSanctions | Filtragem de listas de sanções internacionais (OFAC, ONU, UE) antes do pagamento | UE (Alemanha) | Dados limitados à identidade — DPA RGPD |
6.2 Autoridades públicas
- DGFiP (França) : declarações DAC7 anuais
- ARCOM (França) : pedidos DSA
- Autoridades aduaneiras : dados das declarações CN22/CN23
- Autoridades competentes : resposta a requisições judiciais
- Reguladores de países terceiros : se exigido pela lei local aplicável à transação
6.3 Partilha entre membros
Apenas o perfil público é visível : pseudónimo, avatar, cidade, biografia, classificação, número de vendas. O nome real, endereço, email e telefone nunca são partilhados diretamente com outros membros (as coordenadas de entrega são transmitidas ao vendedor apenas após pagamento confirmado, para a única finalidade de expedição).
6.4 Compradores fora da UE
Quando um comprador localizado fora da UE efetua uma transação, os dados necessários à expedição (nome, endereço de entrega) são partilhados com o vendedor e, se aplicável, com o transportador. Estes dados podem estar sujeitos aos regulamentos aduaneiros do país de destino.
7. Transferências fora da União Europeia
As transferências para países terceiros (Estados Unidos nomeadamente) são enquadradas por :
- Cláusulas contratuais tipo (CCT) aprovadas pela Comissão Europeia (decisão de adequação 2021/914)
- Quadro EU-US Privacy Shield 2.0 (Decisão de adequação de julho de 2023) para transferências para os Estados Unidos
Para os dados dos compradores residindo fora da UE, Toveria aplica os mesmos padrões de proteção que para os residentes europeus, dentro do limite do que autorizam as leis locais aplicáveis.
8. Duração de conservação dos dados
Cada dado é conservado pela duração estritamente necessária à sua finalidade, depois eliminado ou anonimizado. Em conformidade com as recomendações da CNIL, alguns dados passam, após sua fase de utilização ativa, por um arquivo intermédio com acesso restrito (acessível apenas para o respeito de obrigações legais ou gestão de um litígio) antes de sua eliminação definitiva.
| Categoria | Duração de conservação |
|---|---|
| Dados de conta ativa | Duração de vida da conta |
| Dados de conta após encerramento | Eliminação dos dados pessoais no encerramento ; os dados sujeitos a obrigação legal são conservados separadamente pela sua duração própria |
| Dados de transações / encomendas | 10 anos (Código de Comércio, CGI) |
| Faturas BtoB | 10 anos (Código de Comércio) |
| Conversas (mensagens) | Fase ativa de 6 meses após a última mensagem, depois arquivo intermédio com acesso restrito, depois eliminação : 24 meses (conversa sem encomenda) ou 5 anos (conversa ligada a uma encomenda) |
| Anexos das mensagens (fotos) | Eliminados com a mensagem correspondente |
| Anúncios eliminados pelo membro | Média removida imediatamente ; eliminação definitiva do anúncio 180 dias depois |
| Anúncios vendidos / ligados a uma encomenda | Conservados como prova da transação (até 5 anos / obrigações contabilísticas) |
| Avaliações e comentários | Anonimização após 5 anos (classificação e comentário conservados, identidade do autor dissociada) |
| Dados DAC7 e fiscais | 10 anos |
| Dados aduaneiros | 5 anos (Código Aduaneiro) |
| Registos técnicos (erros API) | 90 dias (purga automática diária) |
| Registo de tentativas de pagamento (anti-fraude) | 7 dias (purga automática diária) |
| Outros registos de segurança | 12 meses no máximo |
| Cookies analíticos | 13 meses no máximo |
| Dados de apadrinhar | 3 anos |
| KYC Stripe (documentos de identidade) | Conforme obrigações Stripe / 5 anos |
| Token de notificação push (FCM) | Até desativação ou invalidação ; tokens expirados purgados automaticamente |
Litígio ou obrigação em curso (« legal hold ») : qualquer dado necessário à resolução de um litígio, ao respeito de uma obrigação legal ou a um pedido de uma autoridade competente é conservado até ao fim desta obrigação, por derrogação às durações acima.
9. Seus direitos
Em conformidade com o RGPD (residentes UE) e, na medida aplicável, com as leis locais de proteção de dados (residentes fora da UE), dispõe dos seguintes direitos :
9.1 Direitos RGPD (residentes UE)
- Acesso (art. 15) — receber uma cópia de seus dados
- Retificação (art. 16) — corrigir dados inexatos
- Eliminação (art. 17) — supressão exceto obrigação legal de conservação
- Limitação (art. 18) — suspensão temporária do tratamento
- Portabilidade (art. 20) — exportação em formato estruturado (JSON/CSV)
- Oposição (art. 21) — oposição aos tratamentos baseados em interesse legítimo
- Retiro do consentimento — revogável a qualquer momento
9.2 Direitos dos residentes fora da UE
Toveria estende, na medida do possível, as proteções RGPD aos residentes fora da UE. Os residentes de países com legislações específicas (LGPD Brasil, PDPA Tailândia, PIPEDA Canadá, CCPA Califórnia, etc.) podem exercer os direitos previstos pela sua legislação contactando dpo@toveria.com.
9.3 Exercício dos direitos
📧 dpo@toveria.com — Assunto : [Direitos RGPD] Seu pedido
Prazo de resposta : 30 dias (prorrogável de 2 meses para pedidos complexos). Um documento de identidade pode ser solicitado.
9.4 Recurso
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies e rastreadores
Cookies estritamente necessários (sem consentimento necessário)
| Cookie | Finalidade | Duração |
|---|---|---|
| Autenticação de sessão | Manter a conexão | Sessão |
| Preferências do utilizador | Idioma, apresentação | 1 ano |
| Carrinho / lote | Memorizar a seleção | Sessão |
| Segurança | CSRF, anti-fraude | Sessão |
Consentimento de cookies (toveria_cookie_consent) | Memorizar sua escolha | 6 meses |
Cookies analíticos (com consentimento)
| Cookie | Finalidade | Duração |
|---|---|---|
| Análise de audiência | Melhoria do serviço | 13 meses |
Nenhum cookie analítico ou publicitário está ativo atualmente : serão depositados apenas após seu consentimento explícito.
Para o detalhe completo (categorias, durações, retiro), consulte nossa Política de gestão de cookies. A gestão é acessível a qualquer momento via botão « Gerir cookies » (menu e rodapé de cada página legal).
11. Segurança dos dados
- Encriptação em trânsito : HTTPS / TLS 1.3
- Encriptação em repouso : base de dados Supabase encriptada
- Autenticação : email OTP + SMS OTP + TOTP (2FA)
- Controlo de acesso : Row Level Security (RLS) Supabase
- Pagamentos : Stripe PCI DSS Level 1
- Acesso restrito : dados pessoais acessíveis apenas aos colaboradores autorizados
- Registos : registos de segurança conservados 12 meses
- Anti-fraude : Stripe Radar, controlos de apadrinhar, verificação de sanções
Em caso de violação de dados suscetível de criar um risco, Toveria o informará dentro de 72 horas.
12. Dados de menores
A plataforma é reservada a pessoas com 18 anos ou mais. Denúncia : dpo@toveria.com.
13. Modificações
As modificações substanciais são notificadas por email com um aviso prévio de 30 dias.
14. Contacto
📧 dpo@toveria.com — Proteção de dados
📧 dpo@toveria.com — Delegado de Proteção de Dados
Toveria — Marketplace europeia BtoC, CtoC, CtoB e BtoB
SIRET : [A completar] — Registo CNIL n° : [A completar]
Última atualização : Junho de 2026
Versão portuguesa — em caso de divergência com uma tradução, a versão francesa prevalece.