Política GDPR — Toveria
Versão 2.0 — Junho de 2026
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016
Marketplace europeia BtoC, CtoC, CtoB e BtoB — Venda desde a Europa para o mundo inteiro
1. Identidade e coordenadas do responsável pelo tratamento
| |
|---|
| Responsável pelo tratamento | Kamel DOURA (empresa individual Toveria) |
| Forma jurídica | Empresa individual (EI) |
| Endereço | 12 Rue de la Part-Dieu, 69003 Lyon, França |
| SIRET | 978 781 227 00019 |
| RCS | 978 781 227 R.C.S. Lyon |
| Número de IVA | FR 45 978 781 227 |
| Email DPO | dpo@toveria.com |
| Email GDPR | dpo@toveria.com |
| Autoridade de controlo | CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr |
2. Delegado de Proteção de Dados (DPO)
Toveria designou um Delegado de Proteção de Dados (DPO) em conformidade com o artigo 37 do GDPR.
Contacto DPO :
📧 dpo@toveria.com
📮 Toveria — DPO (Kamel DOURA), 12 Rue de la Part-Dieu, 69003 Lyon, França
O DPO é o seu interlocutor privilegiado para qualquer questão relacionada com a proteção dos seus dados pessoais. É também o interlocutor da CNIL.
3. Registo das atividades de tratamento (art. 30 GDPR)
3.1 Gestão de contas de utilizadores
| Campo | Detalhe |
|---|
| Finalidade | Criação, autenticação e gestão de contas |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Primeiro nome, apelido, email, telefone, data de nascimento, endereço, país, pseudónimo, avatar |
| Destinatários | Supabase (hospedeiro da base de dados), Twilio (verificação SMS) |
| Duração de conservação | Duração de vida da conta + 3 anos após encerramento |
| Transferência fora da UE | Twilio (Estados Unidos) — CCT UE |
3.2 Verificação de identidade telefónica (OTP)
| Campo | Detalhe |
|---|
| Finalidade | Verificação do número de telefone durante o registo e modificação do perfil |
| Base legal | Execução do contrato (art. 6.1.b) + obrigação legal KYC parcial |
| Dados tratados | Número de telefone (formato E.164), data e hora de verificação |
| Destinatários | Twilio Verify (Estados Unidos) |
| Duração de conservação | Duração de vida da conta |
| Transferência fora da UE | Twilio (Estados Unidos) — CCT UE |
3.3 Autenticação multifator (2FA/TOTP)
| Campo | Detalhe |
|---|
| Finalidade | Reforço da segurança da conta |
| Base legal | Interesse legítimo — segurança (art. 6.1.f) |
| Dados tratados | Segredo TOTP (encriptado), códigos de recuperação (hash SHA-256), data e hora de ativação |
| Destinatários | Supabase (armazenamento encriptado) |
| Duração de conservação | Duração de vida da conta |
| Transferência fora da UE | Não |
3.4 Publicação e gestão de anúncios
| Campo | Detalhe |
|---|
| Finalidade | Publicação online e gestão de anúncios de venda |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Título, descrição, preço, fotos, vídeos, categoria, localização (cidade, país), hashtags, estado do artigo |
| Destinatários | Supabase Storage (fotos), CDN Supabase |
| Duração de conservação | Duração da publicação. Após eliminação pelo membro: média removida imediatamente, anúncio eliminado permanentemente em 180 dias. Anúncio ligado a uma encomenda: conservado até 5 anos (prova de transação). |
3.5 Tratamento de transações e pagamentos
| Campo | Detalhe |
|---|
| Finalidade | Processamento seguro de pagamentos, escrow, transferência para vendedores |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Montantes (artigo, taxas, envio), referência de pagamento, estado da encomenda, endereço de entrega, nome do comprador, país |
| Destinatários | Stripe Inc. (pagamentos, KYC Connect vendedores) |
| Duração de conservação | 10 anos (Código Comercial) |
| Transferência fora da UE | Stripe (Estados Unidos) — CCT UE + Privacy Shield 2.0 |
3.6 Verificação KYC de vendedores (Stripe Connect)
| Campo | Detalhe |
|---|
| Finalidade | Verificação da identidade dos vendedores para transferências (obrigação AML) |
| Base legal | Obrigação legal (art. 6.1.c) — Diretiva anti-branqueamento |
| Dados tratados | Documento de identidade, IBAN, SIRET, dados fiscais — tratados exclusivamente por Stripe |
| Destinatários | Stripe Connect |
| Duração de conservação | 5 anos após encerramento da conta Stripe Connect (obrigação Stripe) |
| Transferência fora da UE | Stripe (Estados Unidos) — CCT UE |
3.7 Mensagens e conversas
| Campo | Detalhe |
|---|
| Finalidade | Colocação em contacto entre compradores e vendedores |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Mensagens de texto, fotos partilhadas, ofertas de preço, data e hora |
| Destinatários | Supabase Realtime |
| Duração de conservação | Fase ativa de 6 meses após a última mensagem, depois arquivo intermédio com acesso restrito, depois eliminação: 24 meses (sem encomenda) ou 5 anos (com encomenda). |
| Transferência fora da UE | Não (servidores EU) |
3.8 Notificações de email transacionais
| Campo | Detalhe |
|---|
| Finalidade | Envio de notificações de encomenda, envio, oferta, etc. |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Email, primeiro nome, dados da transação em questão |
| Destinatários | Resend Inc. (Estados Unidos) |
| Duração de conservação | Registos de envio: 30 dias |
| Transferência fora da UE | Resend (Estados Unidos) — CCT UE |
3.9 Notificações push
| Campo | Detalhe |
|---|
| Finalidade | Envio de notificações push web |
| Base legal | Consentimento (art. 6.1.a) — opcional, revogável |
| Dados tratados | Identificador de dispositivo (Player ID OneSignal), preferências de notificação |
| Destinatários | OneSignal Inc. (Estados Unidos) |
| Duração de conservação | Duração de vida da conta |
| Transferência fora da UE | OneSignal (Estados Unidos) — CCT UE |
| Campo | Detalhe |
|---|
| Finalidade | Declaração anual à DGFiP dos vendedores que excedem os limites legais |
| Base legal | Obrigação legal (art. 6.1.c) — Diretiva (UE) 2021/514 |
| Dados tratados | Primeiro nome, apelido, endereço, data de nascimento, NIF, SIRET, IVA, rendimentos anuais, número de transações |
| Destinatários | DGFiP (França) |
| Duração de conservação | 10 anos |
| Transferência fora da UE | Não |
3.11 Verificação de IVA (VIES)
| Campo | Detalhe |
|---|
| Finalidade | Verificação da validade do número de IVA intracomunitário |
| Base legal | Obrigação legal (art. 6.1.c) |
| Dados tratados | Número de IVA, resultado de verificação |
| Destinatários | API VIES — Comissão Europeia |
| Duração de conservação | Duração de vida da conta profissional |
| Transferência fora da UE | Não |
3.12 Gestão de avaliações e classificações
| Campo | Detalhe |
|---|
| Finalidade | Sistema de confiança entre membros |
| Base legal | Interesse legítimo (art. 6.1.f) |
| Dados tratados | Classificação (1-5), comentário, referência de transação, data e hora |
| Destinatários | Supabase |
| Duração de conservação | Anonimização após 5 anos (classificação e comentário conservados, identidade do autor dissociada). |
| Transferência fora da UE | Não |
3.13 Programa de referência
| Campo | Detalhe |
|---|
| Finalidade | Gestão de recompensas de referência |
| Base legal | Execução do contrato (art. 6.1.b) |
| Dados tratados | Código de referência, identificador de referenciador/referenciado, histórico de recompensas |
| Destinatários | Supabase |
| Duração de conservação | 3 anos |
| Transferência fora da UE | Não |
3.14 Sistema de litígios
| Campo | Detalhe |
|---|
| Finalidade | Mediação e resolução de litígios entre compradores e vendedores |
| Base legal | Execução do contrato (art. 6.1.b) + interesse legítimo |
| Dados tratados | Motivo do litígio, mensagens trocadas, provas fornecidas, decisão de resolução |
| Destinatários | Supabase, equipa de moderação Toveria |
| Duração de conservação | 5 anos após encerramento do litígio |
| Transferência fora da UE | Não |
3.15 Verificação de sanções internacionais
| Campo | Detalhe |
|---|
| Finalidade | Conformidade com embargos e sanções OFAC/UE/ONU |
| Base legal | Obrigação legal (art. 6.1.c) |
| Dados tratados | Primeiro nome, apelido, país (comparação com listas de sanções) |
| Destinatários | OpenSanctions API (Europa) |
| Duração de conservação | Alertas: 5 anos |
| Transferência fora da UE | Não (API europeia) |
3.16 Registos de segurança e anti-fraude
| Campo | Detalhe |
|---|
| Finalidade | Deteção de comportamentos fraudulentos e segurança da plataforma |
| Base legal | Interesse legítimo (art. 6.1.f) |
| Dados tratados | Endereço IP, data e hora de ligações, ações suspeitas, dados Stripe Radar |
| Destinatários | Supabase, Stripe Radar |
| Duração de conservação | Registos de erros técnicos: 90 dias. Tentativas de pagamento (anti-fraude): 7 dias. Purga automática diária. Outros registos de segurança: 12 meses. |
| Transferência fora da UE | Stripe (Estados Unidos) — CCT UE |
3.17 Cookies e rastreadores
| Campo | Detalhe |
|---|
| Finalidade | Funcionamento da plataforma (obrigatórios) + análise de audiência (opcionais) |
| Base legal | Necessidade técnica (obrigatórios) / Consentimento (análise) |
| Dados tratados | Sessão de utilizador, preferências, identificador de análise |
| Destinatários | Supabase (sessão), serviço de análise (se ativado) |
| Duração de conservação | Sessão (funcionais) / 13 meses máximo (análise) |
| Transferência fora da UE | Conforme o serviço de análise utilizado |
3.18 Comunicações de marketing (opcionais)
| Campo | Detalhe |
|---|
| Finalidade | Envio de newsletters e comunicações promocionais |
| Base legal | Consentimento (art. 6.1.a) — caixa opt-in distinta no registo |
| Dados tratados | Email, primeiro nome, preferências de comunicação |
| Destinatários | Resend Inc. |
| Duração de conservação | Até ao cancelamento da subscrição + 3 anos |
| Transferência fora da UE | Resend (Estados Unidos) — CCT UE |
4. Subcontratantes (art. 28 GDPR)
Todos os subcontratantes assinaram um acordo de tratamento de dados em conformidade com o art. 28.
| Subcontratante | Função | País | Garantia |
|---|
| Supabase Inc. | Base de dados, auth, armazenamento, realtime | 🇩🇪 Alemanha (eu-west-3) | DPA GDPR assinado |
| Stripe Inc. | Pagamentos, Billing, Connect, Radar | 🇺🇸 Estados Unidos | CCT UE + Privacy Shield 2.0 |
| Resend Inc. | Emails transacionais | 🇺🇸 Estados Unidos | CCT UE |
| OneSignal Inc. | Notificações push | 🇺🇸 Estados Unidos | CCT UE |
| Vercel Inc. | Hospedagem de aplicação web | 🇺🇸/🇪🇺 | CCT UE |
| Twilio Inc. | SMS OTP (Twilio Verify) | 🇺🇸 Estados Unidos | CCT UE |
| OpenSanctions | Verificação de listas de sanções | 🇩🇪 Alemanha | GDPR nativo |
5. Transferências fora da União Europeia (art. 44-49 GDPR)
As transferências para os Estados Unidos são reguladas por:
- Cláusulas Contratuais Tipo (CCT) — Decisão de Execução (UE) 2021/914 da Comissão Europeia
- Quadro EU-US Data Privacy Framework — Decisão de adequação de 10 de julho de 2023
Para cada transferência, Toveria assegura que o subcontratante oferece garantias suficientes de proteção.
6. Direitos dos titulares dos dados
6.1 Tabela de direitos
| Direito | Base legal | Condições | Prazo |
|---|
| Acesso (art. 15) | — | Identificação obrigatória | 30 dias |
| Retificação (art. 16) | — | — | 30 dias |
| Eliminação (art. 17) | — | Exceto obrigações legais de conservação | 30 dias |
| Limitação (art. 18) | — | Durante contestação ou reclamação | 30 dias |
| Portabilidade (art. 20) | Contrato ou consentimento | Formato JSON/CSV | 30 dias |
| Oposição (art. 21) | Interesse legítimo ou missão de interesse público | Motivos legítimos a invocar | 30 dias |
| Revogação do consentimento | Consentimento | A qualquer momento, sem efeito retroativo | Imediato |
| Diretivas pós-morte | Lei de informática e liberdades (França) | — | — |
6.2 Como exercer os seus direitos
Por email: dpo@toveria.com
Assunto recomendado: [Direito GDPR] Seu nome — Tipo de pedido
Por correio:
Toveria — Serviço GDPR
12 Rue de la Part-Dieu, 69003 Lyon, França
Documento de identidade: uma cópia pode ser solicitada para verificar a sua identidade (digitalizada, sem número de documento se preferir).
Prazo de resposta: 30 dias de calendário. Prorrogável por 60 dias adicionais para pedidos complexos, com informação prévia.
6.3 Direito de reclamação junto da CNIL
Se considerar que os seus direitos não estão a ser respeitados:
CNIL — Comissão Nacional de Informática e Liberdades
🌐 cnil.fr/fr/plaintes
📮 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
📞 +33 (0)1 53 73 22 22
7. Durações de conservação
| Categoria | Duração | Base |
|---|
| Dados de conta ativa | Duração de vida da conta | Contrato |
| Dados de conta (após encerramento) | Eliminação no encerramento (dados sob obrigação legal conservados separadamente) | Minimização / obrigações legais |
| Dados de transações | 10 anos | Código Comercial (art. L.123-22) |
| Faturas BtoB | 10 anos | Código Geral de Impostos |
| Dados DAC7 e fiscais | 10 anos | Diretiva DAC7 |
| Dados aduaneiros | 5 anos | Código Aduaneiro da União |
| Anúncios eliminados pelo membro | 180 dias (média removida imediatamente) | Minimização |
| Anúncios vendidos / ligados a uma encomenda | Até 5 anos | Prova de transação |
| Conversas entre membros | 6 meses ativos, depois arquivo intermédio restrito, depois eliminação em 24 meses (sem encomenda) / 5 anos (com encomenda) | Minimização / prescrição civil |
| Avaliações e classificações | Anonimização após 5 anos | Interesse legítimo |
| Litígios | 5 anos após encerramento | Prescrição legal |
| Registos técnicos (erros API) | 90 dias (purga automática diária) | Minimização |
| Tentativas de pagamento (anti-fraude) | 7 dias (purga automática diária) | Minimização |
| Outros registos de segurança | 12 meses | Recomendação CNIL |
| Documentos KYC (Stripe) | 5 anos | Obrigação Stripe / AML |
| Alertas de sanções | 5 anos | Obrigação regulatória |
| Cookies de análise | 13 meses máximo | Recomendação CNIL |
| Consentimentos (opt-in marketing) | 3 anos após última interação | Recomendação CNIL |
Arquivo intermédio (CNIL): após a sua fase ativa, as conversas passam por um arquivo com acesso restrito (reservado a obrigações legais / litígios) antes de eliminação definitiva.
Legal hold: qualquer dado ligado a um litígio aberto, uma obrigação legal ou um pedido de autoridade é conservado até ao fim dessa obrigação, por derrogação aos prazos acima.
8. Segurança dos dados (art. 32 GDPR)
8.1 Medidas técnicas
| Medida | Implementação |
|---|
| Encriptação em trânsito | HTTPS / TLS 1.3 em todas as comunicações |
| Encriptação em repouso | Base de dados Supabase encriptada (AES-256) |
| Controlo de acesso à base de dados | Row Level Security (RLS) — acesso por linha conforme o utilizador autenticado |
| Autenticação | Email OTP + SMS OTP obrigatórios no registo |
| Autenticação dupla | TOTP (compatível com Google Authenticator) — opcional para utilizadores |
| Códigos de recuperação 2FA | Hash SHA-256 na base de dados |
| Dados bancários | Delegados a Stripe (PCI DSS Level 1) — nunca armazenados por Toveria |
| Tokens JWT | Supabase Auth — duração de vida limitada |
| Limpeza de sessão | Eliminação de 15 chaves localStorage + cookies no logout |
| Verificação de assinaturas de webhooks | HMAC-SHA256 em todos os webhooks recebidos (Stripe) |
8.2 Medidas organizacionais
| Medida | Detalhe |
|---|
| Acesso aos dados pessoais | Limitado apenas aos colaboradores autorizados conforme o princípio do menor privilégio |
| Formação | Sensibilização GDPR de todos os colaboradores com acesso aos dados |
| Auditoria | Auditoria RLS Supabase prevista antes do lançamento comercial |
| Registo | Registos de acesso aos dados sensíveis conservados 12 meses |
| Teste de penetração | Pentest previsto antes do lançamento (orçamento 3 000-10 000 €) |
| Bug bounty | Programa de divulgação responsável em criação |
8.3 Procedimento de notificação em caso de violação
Em conformidade com o art. 33 GDPR, Toveria compromete-se a notificar a CNIL no prazo de 72 horas após a constatação de uma violação de dados suscetível de criar um risco para os direitos e liberdades das pessoas.
Se a violação for suscetível de criar um risco elevado, as pessoas também são informadas sem demora injustificada (art. 34 GDPR).
Procedimento interno:
- Deteção → alerta imediato ao DPO
- Qualificação do risco (< 4h)
- Notificação CNIL se necessário (< 72h)
- Notificação das pessoas se risco elevado (< 72h)
- Documentação do incidente (registo de violações)
9. Análise de Impacto (AIPD / DPIA — art. 35 GDPR)
Uma Análise de Impacto sobre a Proteção de Dados é obrigatória para tratamentos que apresentem um risco elevado.
| Tratamento | AIPD obrigatória | Estado |
|---|
| Verificação de sanções (scoring) | Sim — perfilagem | ⏳ A realizar |
| Dados fiscais DAC7 | Sim — dados sensíveis + grande escala | ⏳ A realizar |
| KYC vendedores (documento de identidade) | Sim — dados biométricos potenciais | ⏳ Delegada a Stripe |
| Rastreamento comportamental (se análise) | Sim — se implementado | A avaliar |
10. Dados de menores
A plataforma Toveria é estritamente reservada a pessoas com 18 anos ou mais.
A data de nascimento é recolhida no registo para verificar a maioridade. Qualquer registo de um menor resulta na eliminação imediata da conta e dos dados associados.
Denúncia: dpo@toveria.com — Assunto: [Menor]
11. Cookies e rastreadores
Cookies estritamente necessários (sem consentimento obrigatório)
| Cookie | Finalidade | Duração |
|---|
sb-auth-token | Sessão de autenticação Supabase | Sessão / 1 semana |
toveria-ref | Ligação de referência | 30 dias |
toveria-lang | Idioma de apresentação | 1 ano |
toveria-mr-rates | Tarifas de transportadores (localStorage) | Até eliminação |
A ativar apenas após implementação de um banner de cookies em conformidade com CNIL (recomendação CNIL de 1 de outubro de 2020).
12. Modificações desta política
As modificações substanciais são notificadas por email com um aviso prévio de 30 dias.
A data da última atualização consta no cabeçalho. A utilização contínua da plataforma após a entrada em vigor equivale a aceitação.
Marketplace europeia BtoC, CtoC, CtoB e BtoB — Venda desde a Europa para o mundo inteiro
Venda desde a Europa para o mundo inteiro
Registo CNIL n.º : [A completar após declaração]
Última atualização: Junho de 2026
Versão francesa — em caso de divergência com uma tradução, a versão francesa prevalece.
