POLÍTICA DE PRIVACIDADE

Esta política de privacidade descreve quais os dados pessoais que são processados quando os utilizadores visitam este website, fazem encomendas na loja online ou utilizam outras ofertas online. O processamento é realizado no âmbito do Regulamento Geral sobre a Proteção de Dados (RGPD) e das respetivas leis nacionais de proteção de dados aplicáveis na UE.

O responsável nos termos do RGPD é:

Digital Wealth OÜ
Tartu mnt 25‑7
10117 Tallinn
Estónia
E‑mail: help@napao.de
Web: https://napao.eu/ - https://napao.es/ - https://napao.ro/ - https://napao.de/

Esta declaração de privacidade aplica-se a todos os websites e lojas online operados pela Digital Wealth OÜ sob os domínios e subdomínios napao.de, napao.ro, napao.es assim como os seus subdomínios (por exemplo, shop.napao.de, shop.napao.ro, shop.napao.es) e, se aplicável, outros domínios específicos de país ou de marca, desde que façam referência a esta declaração de privacidade.

Dados pessoais são todas as informações que se referem a uma pessoa identificada ou identificável.
O tratamento segue especialmente estes princípios (Art. 5 RGPD): limitação da finalidade, minimização dos dados, legalidade, transparência, exatidão, limitação da conservação, integridade e confidencialidade, bem como responsabilidade.

As bases legais são especialmente o Art. 6.º, n.º 1, alíneas a) (consentimento), b) (cumprimento de contrato), c) (obrigação legal) e f) (interesse legítimo) do RGPD.

Ao aceder ao website, o fornecedor de alojamento processa automaticamente dados técnicos, por exemplo:

• Endereço IP
• Data e hora do acesso
• Páginas/URLs visitadas
• URL de referência
• Navegador e sistema operativo utilizados

Finalidades: disponibilização técnica do website, segurança informática, análise de erros.
Base legal: Art. 6.º, n.º 1, alínea f do RGPD (interesse legítimo numa operação segura e estável).
Duração do armazenamento: os dados de registo são normalmente eliminados após curto período, salvo se for necessária uma conservação mais prolongada para fins de prova ou segurança.

Ao criar uma conta de cliente ou efetuar uma encomenda, são processados, entre outros:

• Dados pessoais (nome, empresa, se aplicável)
• Endereço de faturação e entrega
• Endereço de e-mail, telefone, se aplicável
• Dados de acesso (e-mail, hash da palavra-passe)
• Informações sobre encomendas, pagamentos e envios
• Comunicação (ex.: pedidos de suporte)

Finalidades: gestão da conta, processamento de encomendas, entrega, processamento de pagamentos, faturação, suporte ao cliente, cumprimento de obrigações de armazenamento.
Base legal: Art. 6.º, n.º 1, al. b) RGPD (contrato/início do contrato), al. c) (obrigações legais) e al. f) (interesse legítimo na organização eficiente dos processos).

Período de conservação:

• Dados contratuais e de faturação: normalmente 7–10 anos conforme exigências legais
• Dados da conta: até à eliminação da conta ou enquanto existirem obrigações legais

O website utiliza cookies e tecnologias semelhantes (por exemplo, Local Storage) para fornecer funcionalidades, analisar a utilização e, se aplicável, apresentar marketing.​

Categorias de cookies:

• cookies tecnicamente necessários (por exemplo, carrinho de compras, login, idioma, segurança)
• cookies de funcionalidade/preferência
• cookies de estatística/análise
• cookies de marketing/rastreamento

Cookies não necessários são definidos apenas após consentimento através de uma ferramenta de consentimento (por exemplo, Pandectes GDPR Compliance). O consentimento pode ser alterado ou revogado a qualquer momento através do banner de cookies ou das "Definições de Cookies".​

Base legal:

• cookies necessários: Art. 6, nº 1, alínea f do RGPD (interesse legítimo na operação da loja)
• todos os outros cookies/rastreadores: Art. 6, nº 1, alínea a do RGPD (consentimento)

Detalhes sobre os cookies utilizados (nome, fornecedor, finalidade, duração do armazenamento, categoria) estão disponíveis na política de cookies no website.

Para pop-ups para recolha de endereços de e-mail ou outros dados (por exemplo, a aplicação Pop-Converter), os dados inseridos no formulário são processados (por exemplo, e-mail, nome, idioma, eventuais consentimentos de marketing).
Finalidades: recolha de leads, newsletter, ofertas de desconto ou campanhas.
Base legal: consentimento (art. 6.º, n.º 1, alínea a) do RGPD) ou art. 6.º, n.º 1, alínea b) do RGPD, quando os dados são necessários diretamente para um contrato.

Para disponibilizar conteúdos em várias línguas, é utilizada uma aplicação de tradução/internacionalização (por exemplo, Shopify „Translate & Adapt“ ou similar). Podem ser usados cookies ou tecnologias semelhantes para guardar a língua escolhida.​

Estes cookies de idioma são geralmente tecnicamente necessários para apresentar conteúdos na língua selecionada.
Base legal: Art. 6, n.º 1, alínea f do RGPD (interesse legítimo numa página web multilíngue e fácil de usar); na medida em que ultrapasse o necessário, eventualmente Art. 6, n.º 1, alínea a do RGPD.

A loja é gerida pela Shopify. O fornecedor para clientes da UE/EEE é:

Shopify International Ltd.
2nd Floor, Victoria Buildings, 1‑2 Haddington Road
Dublin 4, D04 XN32, Irlanda

A Shopify processa dados de clientes, encomendas, pagamentos e utilização como subcontratante e, em parte, como responsável próprio (por exemplo, para cumprir obrigações legais próprias). Os dados podem ser transferidos para empresas da Shopify fora da UE/EEE; são utilizadas, entre outras, cláusulas contratuais padrão para garantir um nível adequado de proteção.​

Base legal: Art. 6.º, n.º 1, alínea b) do RGPD (cumprimento do contrato) e Art. 6.º, n.º 1, alínea f) do RGPD (interesse legítimo num sistema profissional de loja).
Mais informações: https://www.shopify.com/legal/privacy

Para pagamentos, são utilizados prestadores de serviços de pagamento (por exemplo, Shopify Payments, Stripe e possivelmente outros fornecedores dependendo do método de pagamento escolhido). São processados, entre outros:

• Nome, morada de faturação e de entrega
• Endereço de e-mail
• Dados de pagamento (por exemplo, dados do cartão, IBAN, token)
• Dados da transação (montante, moeda, data, estado)
• Endereço IP, informações do dispositivo e do navegador

Finalidades: processamento de pagamentos, prevenção de fraudes, cumprimento das obrigações legais dos prestadores de serviços de pagamento (por exemplo, combate ao branqueamento de capitais, regulamentação supervisória).
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD, Art. 6.º, n.º 1, alínea c) do RGPD e Art. 6.º, n.º 1, alínea f) do RGPD.

Os prestadores de serviços de pagamento atuam por vezes como responsáveis próprios. Os detalhes constam nas respetivas políticas de privacidade (por exemplo, Stripe: https://stripe.com/privacy).

Após consentimento, podem ser utilizados ferramentas de análise e marketing, por exemplo:

• Google Analytics (análise de utilização)
• Google Ads / Remarketing (publicidade, retargeting)

O fornecedor é geralmente a Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. São processados, entre outros, o endereço IP, dados do dispositivo e do navegador, dados de utilização e eventos (visualizações de páginas, cliques, tempo de permanência, conversões). Pode haver transferências para países terceiros (por exemplo, EUA).​

Base legal: Consentimento (Art. 6.º, n.º 1, alínea a) do RGPD), concedido através do banner de cookies. O consentimento pode ser retirado a qualquer momento.

Detalhes: Informações de privacidade da Google (https://policies.google.com/privacy) e política de cookies.

Para a newsletter, são processados o endereço de e-mail e, se aplicável, o nome/preferências. Inscrição através do procedimento de duplo consentimento (Double-Opt-In).

Finalidade: envio de informações sobre produtos, promoções e a empresa.
Base legal: consentimento (Art. 6.º, n.º 1, alínea a do RGPD).

Cancelamento da subscrição através do link em cada e-mail da newsletter ou contacto direto

Quando é utilizado um programa de afiliados/parceiros, são processados, entre outros:

• ID de afiliado, parâmetros da campanha, momento do clique
• Dados de encomendas e faturação (ex. número da encomenda, valor do carrinho, país)
• Informações de cookies/rastreamento

Finalidade: Atribuição de vendas aos parceiros, cálculo de comissões.
Base legal: Art. 6.º, n.º 1, alínea f do RGPD (interesse legítimo). Se forem utilizados cookies/rastreadores, é necessária também a consentimento nos termos do Art. 6.º, n.º 1, alínea a do RGPD.

Em caso de contacto através de formulário, e-mail ou outros canais, os dados fornecidos serão processados (por exemplo, nome, e-mail, Conteúdo da mensagem).

Finalidade: Tratamento do pedido, suporte.
Base legal: Art. 6, n.º 1, alínea b) do RGPD (contrato/início do contrato) ou Art. 6, n.º 1, alínea f) do RGPD (interesse legítimo no suporte).

Para proteger formulários e serviços, pode ser utilizado o hCaptcha da Intuition Machines, Inc. São processados, entre outros, o endereço IP, informações do navegador/dispositivo, interações com o rato/teclado e outros dados técnicos para identificar bots. Os dados podem ser transferidos para países terceiros (por exemplo, EUA), o hCaptcha utiliza os seus próprios cookies/mecanismos de rastreamento.

Finalidades: proteção contra abuso, spam e ataques técnicos.
Base legal: Art. 6.º, n.º 1, alínea f) do RGPD (interesse legítimo); caso seja necessário um consentimento via banner de cookies, Art. 6.º, n.º 1, alínea a) do RGPD.

Mais informações: https://www.hcaptcha.com/privacy

Consoante o processo, os dados são transmitidos às seguintes categorias de destinatários:

• Prestadores de serviços de alojamento, TI e cloud
• Prestadores de serviços de pagamento e bancos
• Prestadores de serviços de logística e envio
• Prestadores de serviços de análise e marketing (com consentimento)
• Parceiros de afiliados e tracking (com consentimento)
• Consultores jurídicos e fiscais, autoridades, tribunais (no âmbito de obrigações/execução legal)

Todos os prestadores de serviços são contratualmente obrigados a cumprir a proteção de dados.

Quando os dados são transmitidos a destinatários em países terceiros (fora da UE/EEE), isso ocorre geralmente apenas em caso de:

• Decisão de adequação da Comissão Europeia ou
• Utilização de cláusulas contratuais padrão e medidas de proteção complementares.

Informações sobre os mecanismos concretos encontram-se nas declarações de privacidade dos terceiros (por exemplo, Shopify, Google, prestadores de serviços de pagamento).

Os dados pessoais são armazenados apenas enquanto forem necessários para os respetivos fins ou conforme exigido por obrigações legais. Prazos típicos:

• Dados contratuais e de faturação: geralmente 7–10 anos
• Dados da conta: até à eliminação da conta ou ao cumprimento de todas as obrigações
• Dados da newsletter: até à desinscrição; dados de prova por mais tempo
• Dados de registo/segurança: prazos curtos, se não houver relevância para a segurança
• Cookies/Tracking: conforme a ferramenta – veja a Política de Cookies

Os titulares dos dados têm, de acordo com o RGPD, entre outros, os seguintes direitos:

• Acesso (Art. 15)
• Retificação (Art. 16)
• Eliminação (Art. 17)
• Restrição do tratamento (Art. 18)
• Portabilidade dos dados (Art. 20)
• Oposição ao tratamento com base no Art. 6.º, n.º 1, alínea f) do RGPD (Art. 21)
• Revogação do consentimento com efeitos para o futuro (Art. 7.º, n.º 3)

Para exercer estes direitos, basta enviar uma mensagem para os contactos indicados acima.

Existe o direito de apresentar uma reclamação junto de uma autoridade de controlo da proteção de dados, nomeadamente no Estado-Membro da UE do seu local habitual de residência, local de trabalho ou local onde ocorreu a alegada infração (Art. 77 RGPD).

São implementadas medidas técnicas e organizacionais para proteger os dados contra perda, destruição, acesso não autorizado ou manipulação (por exemplo, restrições de acesso, encriptação, monitorização de segurança). O site utiliza encriptação TLS/SSL (identificável pelo “https://” e pelo símbolo de cadeado no navegador).

O tratamento de dados pessoais rege-se principalmente pelo RGPD e pela legislação estoniana de proteção de dados. Para utilizadores noutros Estados-Membros da UE, aplicam-se adicionalmente as respetivas regulamentações nacionais de proteção de dados e as competências das autoridades de supervisão.

• Alemanha
  As autoridades regionais de proteção de dados são responsáveis; uma visão geral pode ser encontrada em https://www.datenschutzkonferenz-online.de. Para marketing direto e newsletters, também cumprimos a lei contra a concorrência desleal (UWG).
• Áustria
  A autoridade responsável é a Autoridade Austríaca de Proteção de Dados (www.dsb.gv.at). Para comunicação eletrónica e cookies, também consideramos as regulamentações nacionais de telecomunicações e comércio eletrónico.
• Espanha
  A autoridade responsável é a Agencia Española de Protección de Datos (AEPD, www.aepd.es). Para serviços online, aplicam-se adicionalmente as disposições da Lei dos Serviços da Sociedade da Informação e Comércio Eletrónico (LSSI).
• Itália
  A autoridade responsável é o Garante per la Protezione dei Dati Personali (www.garanteprivacy.it). O marketing direto eletrónico é realizado de acordo com as normas italianas sobre consentimento e opções de opt-out.
• França
  A autoridade responsável é a Commission Nationale de l’Informatique et des Libertés (CNIL, www.cnil.fr). Consideramos especialmente as diretrizes publicadas pela CNIL sobre cookies e rastreamento online.
• Bélgica
  A autoridade responsável é a Gegevensbeschermingsautoriteit / Autorité de protection des données (www.gegevensbeschermingsautoriteit.be). Ajustamos as configurações de cookies e rastreamento às diretrizes belgas.
• Países Baixos
  A autoridade responsável é a Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl). Para cookies e marketing online, consideramos as normas neerlandesas sobre consentimento e transparência.
• Portugal
  A autoridade responsável é a Comissão Nacional de Proteção de Dados (CNPD, www.cnpd.pt). As informações sobre proteção de dados e textos de consentimento são fornecidos em português para utilizadores portugueses.
• Roménia
  A autoridade responsável é a Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP, www.dataprotection.ro). As informações relevantes são disponibilizadas em romeno para utilizadores romenos.
• Hungria
  A autoridade responsável é a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH, www.naih.hu). O tratamento de dados pessoais é realizado em conformidade com as regras húngaras de implementação do RGPD.
• República Checa
  A autoridade responsável é o Úřad pro ochranu osobních údajů (www.uoou.cz). A proteção de dados online e o uso de cookies seguem as regras checas de proteção de dados e comércio eletrónico.
• Eslováquia
  A autoridade responsável é o Úrad na ochranu osobných údajov Slovenskej republiky (www.dataprotection.gov.sk). Cumprimos as normas eslovacas para o tratamento de dados pessoais e comunicação eletrónica.
• Eslovénia
  A autoridade responsável é a Informacijski pooblaščenec (www.ip-rs.si). No uso de cookies e ferramentas de marketing, seguimos as diretrizes eslovenas sobre consentimento.

Esta política de privacidade pode ser ajustada caso mudem as condições legais, os serviços utilizados ou os processos internos. Aplica-se sempre a versão atual publicada no website. Em caso de alterações significativas, poderá ser fornecida informação adicional (por exemplo, banner, aviso na loja).

Manteremos esta declaração de privacidade tão atualizada e correta quanto possível. No entanto, pode acontecer que algumas informações estejam incompletas ou não totalmente atualizadas. Se reparares em algo, avisa-nos rapidamente para que possamos corrigir.