Política de Privacidade

A presente Política de Privacidade descreve a forma como a Polychromeer, Lda. (doravante "Polychromeer") recolhe, utiliza, armazena e protege os dados pessoais tratados através da Plataforma Ensinova, em conformidade com o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, doravante "RGPD") e demais legislação aplicável.

Esta Política deve ser lida em conjunto com os Termos e Condições de Utilização e a Política de Cookies da Plataforma.

1. Responsável pelo Tratamento e Subcontratante

1.1. No âmbito da utilização da Plataforma, a Organização educativa é, regra geral, o Responsável pelo Tratamento dos dados pessoais dos seus utilizadores, alunos e encarregados de educação.

1.2. A Ensinova atua como Subcontratante (processador), tratando os dados pessoais apenas por conta e segundo as instruções documentadas da Organização, nos termos do artigo 28.º do RGPD.

1.3. Para os dados de administradores de Organizações e dados de faturação, a Ensinova atua como Responsável pelo Tratamento.

2. Dados Pessoais Tratados

A Plataforma pode tratar, consoante a utilização feita pela Organização, as seguintes categorias de dados:

1. Dados de identificação: nome, email, contacto telefónico, fotografia de perfil;
2. Dados administrativos e financeiros: pagamentos, mensalidades, histórico de faturação, NIF;
3. Dados relativos a alunos (incluindo menores): nome, data de nascimento, informações de inscrição, registos de presença;
4. Dados de acesso e utilização: endereço IP, tipo de dispositivo, navegador, datas e horas de acesso, páginas visitadas;
5. Comunicações: mensagens trocadas através da Plataforma entre utilizadores.

2.2. A Ensinova não recolhe dados pessoais diretamente junto dos utilizadores finais, salvo quando tecnicamente necessário para o funcionamento da Plataforma (por exemplo, dados de sessão e autenticação).

3. Dados de Menores

3.1. A Plataforma destina-se a contextos educativos, podendo envolver o tratamento de dados pessoais de menores de idade.

3.2. A Organização garante que dispõe de base legal adequada para o tratamento destes dados, incluindo consentimento dos representantes legais, quando exigido pela legislação aplicável.

3.3. A Ensinova não verifica nem valida os consentimentos recolhidos pela Organização, cabendo a esta última a total responsabilidade pela obtenção e gestão dos mesmos.

3.4. A Ensinova disponibiliza na Plataforma funcionalidades que facilitam a recolha e gestão de consentimentos pela Organização, nomeadamente através dos formulários de inscrição.

4. Finalidades do Tratamento

Os dados pessoais são tratados exclusivamente para as seguintes finalidades:

1. Prestação dos serviços contratados através da Plataforma;
2. Gestão administrativa, operacional e financeira das Organizações;
3. Comunicação entre Organizações, encarregados de educação e alunos;
4. Processamento de pagamentos e faturação;
5. Cumprimento de obrigações legais e fiscais;
6. Melhoria, manutenção e segurança da Plataforma;
7. Envio de comunicações de serviço (notificações operacionais, alertas de segurança);
8. Conservação de uma cópia técnica dos documentos fiscais (faturas, recibos, notas de crédito) emitidos através dos prestadores integrados (Moloni, TOConline), para fins de disponibilidade operacional e resiliência, nos termos descritos no ponto 8.4.

5. Fundamento Jurídico

O tratamento de dados pessoais assenta, conforme aplicável, nos seguintes fundamentos:

1. Execução de contrato (Art. 6.º, n.º 1, al. b) do RGPD): prestação dos serviços contratados pela Organização;
2. Cumprimento de obrigações legais (Art. 6.º, n.º 1, al. c) do RGPD): obrigações fiscais, contabilísticas e de conservação de dados;
3. Consentimento (Art. 6.º, n.º 1, al. a) do RGPD): obtido pela Organização junto dos titulares dos dados, quando aplicável;
4. Interesse legítimo (Art. 6.º, n.º 1, al. f) do RGPD): segurança da Plataforma, prevenção de fraude e melhoria do serviço.

6. Subcontratantes e Terceiros

6.1. A Ensinova recorre aos seguintes subcontratantes para a prestação do serviço:

6.2. Todos os subcontratantes estão vinculados a obrigações de confidencialidade e proteção de dados equivalentes às previstas nesta Política, através de contratos conformes com o artigo 28.º do RGPD.

6.3. A lista atualizada de subcontratantes poderá ser consultada a qualquer momento mediante pedido dirigido a info@ensinova.com.

6.4. A Ensinova informará a Organização com antecedência razoável sobre qualquer alteração aos subcontratantes, permitindo à Organização apresentar objeções fundamentadas.

7. Transferências Internacionais de Dados

7.1. Alguns dos subcontratantes da Ensinova estão localizados nos Estados Unidos da América.

7.2. Estas transferências são realizadas ao abrigo de:

1. Decisão de adequação da Comissão Europeia relativa ao EU-US Data Privacy Framework (DPF), quando o subcontratante se encontra certificado;
2. Cláusulas Contratuais-Tipo (Standard Contractual Clauses) adotadas pela Comissão Europeia, nos demais casos.

7.3. A Ensinova assegura que todas as transferências internacionais de dados cumprem os requisitos do Capítulo V do RGPD.

8. Conservação dos Dados

8.1. Os dados pessoais são conservados enquanto a Organização mantiver uma subscrição ativa na Plataforma.

8.2. Após a cessação do contrato, os dados são conservados durante 90 (noventa) dias para permitir a exportação pela Organização. Findo este prazo, os dados serão eliminados ou anonimizados.

8.3. Exceções à eliminação:

1. Dados de faturação: conservados durante 10 anos, nos termos da legislação fiscal portuguesa;
2. Dados necessários para exercício ou defesa de direitos: conservados pelo período legalmente aplicável;
3. Dados anonimizados para fins estatísticos: conservados indefinidamente, sem possibilidade de identificação dos titulares.

8.4. A Organização pode solicitar a exportação dos seus dados a qualquer momento, através do endereço info@ensinova.com.

8.5. Cópia técnica de documentos fiscais. A Ensinova conserva, em infraestrutura encriptada e de acesso restrito (Supabase Storage), uma cópia técnica das faturas, recibos e notas de crédito emitidos pela Organização através dos prestadores certificados integrados na Plataforma (Moloni, TOConline). Esta cópia destina-se exclusivamente à disponibilidade operacional do documento aos utilizadores autorizados da Organização emitente; não constitui o original legal, sendo o prestador certificado o responsável pela emissão, assinatura, arquivo e reporte fiscal à Autoridade Tributária nos termos da legislação aplicável. As cópias técnicas estão sujeitas aos mesmos mecanismos de exercício de direitos previstos nesta Política, incluindo apagamento mediante pedido válido ou na cessação da Organização.

9. Direitos dos Titulares dos Dados

9.1. Nos termos do RGPD, os titulares dos dados têm direito a:

1. Acesso aos seus dados pessoais (Art. 15.º);
2. Retificação de dados inexatos ou incompletos (Art. 16.º);
3. Eliminação dos dados pessoais (Art. 17.º);
4. Limitação do tratamento (Art. 18.º);
5. Portabilidade dos dados num formato estruturado e de leitura automática (Art. 20.º);
6. Oposição ao tratamento (Art. 21.º);
7. Não sujeição a decisões automatizadas, incluindo definição de perfis (Art. 22.º).

9.2. O exercício destes direitos deve ser feito, preferencialmente, junto da Organização responsável pelo tratamento.

9.3. Sem prejuízo do disposto no número anterior, os titulares dos dados poderão também exercer os seus direitos através do endereço info@ensinova.com, sendo o pedido encaminhado para a Organização competente sempre que aplicável.

9.4. A Ensinova responderá aos pedidos no prazo máximo de 30 dias, podendo este prazo ser prorrogado por mais 60 dias em casos de especial complexidade, informando o titular.

9.5. Os titulares dos dados têm ainda o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo portuguesa, através de www.cnpd.pt.

10. Segurança

10.1. A Ensinova implementa medidas técnicas e organizativas adequadas para proteger os dados pessoais contra perda, destruição acidental, acesso não autorizado, alteração ou divulgação indevida, incluindo:

1. Encriptação de dados em trânsito (TLS/HTTPS) e em repouso;
2. Autenticação baseada em tokens JWT com expiração;
3. Isolamento de dados por Organização (multi-tenancy seguro);
4. Controlo de acesso baseado em funções (RBAC);
5. Monitorização contínua de erros e atividade suspeita;
6. Backups regulares com redundância geográfica.

10.2. Apesar das medidas implementadas, nenhum sistema é absolutamente seguro. A Ensinova compromete-se a manter e melhorar continuamente as suas práticas de segurança.

11. Notificação de Violações de Dados

11.1. Em caso de violação de dados pessoais que possa resultar em risco para os direitos e liberdades dos titulares, a Ensinova notificará a Organização afetada sem demora injustificada e, em qualquer caso, no prazo máximo de 48 horas após tomar conhecimento da violação.

11.2. A notificação incluirá, na medida do possível:

1. A natureza da violação, incluindo as categorias e o número aproximado de titulares afetados;
2. As consequências prováveis da violação;
3. As medidas adotadas ou propostas para mitigar os efeitos.

11.3. A Organização, enquanto Responsável pelo Tratamento, é responsável por notificar a CNPD no prazo de 72 horas e, quando aplicável, os titulares dos dados afetados, nos termos dos artigos 33.º e 34.º do RGPD.

12. Acordo de Tratamento de Dados (DPA)

12.1. A relação entre a Ensinova (Subcontratante) e a Organização (Responsável pelo Tratamento) é regida pelas disposições da presente Política e pelos Termos e Condições, que em conjunto constituem o Acordo de Tratamento de Dados nos termos do artigo 28.º do RGPD.

12.2. Organizações que necessitem de um Acordo de Tratamento de Dados autónomo e formalizado poderão solicitá-lo através do endereço info@ensinova.com.

13. Alterações à Política de Privacidade

13.1. A Ensinova pode atualizar a presente Política a qualquer momento. As alterações materiais serão comunicadas aos utilizadores através da Plataforma com antecedência mínima de 30 dias.

13.2. A data da última atualização será sempre indicada no topo deste documento.

14. Contactos

Para questões relacionadas com a proteção de dados pessoais, contacte a Ensinova através de:

• Email: info@ensinova.com
• Website: losango.pt