← Voltar ao início
Esta Política de Privacidade descreve como a plataforma ("nós" ou "a Plataforma") recolhe, utiliza e protege os teus dados pessoais, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento (UE) 2016/679).
1. Responsável pelo Tratamento de Dados
O responsável pelo tratamento dos teus dados pessoais é o operador da plataforma, com sede em Portugal. Para questões de privacidade: support@surfbooking.eu
2. Dados que Recolhemos
- Dados de conta: nome, email, palavra-passe (armazenada com encriptação bcrypt — nunca em texto simples)
- Dados de perfil: fotografia, data de nascimento (opcional), NIF (opcional, para faturação)
- Dados de reserva: aulas reservadas, histórico de check-ins e pagamentos
- Dados de localização: localização aproximada enquanto a app está em uso, para mostrar escolas e praias próximas
- Dados de câmara: acesso temporário para leitura de QR codes de check-in — não gravamos imagens
- Dados de pagamento: processados exclusivamente pela Stripe — não armazenamos dados de cartão nem dados bancários
3. Para que Usamos os Teus Dados
- Criar e gerir a tua conta de utilizador
- Processar e confirmar reservas de aulas de surf
- Enviar confirmações, lembretes e notificações de cancelamento por email
- Mostrar escolas e praias ordenadas por proximidade
- Detetar e prevenir fraude e abusos da plataforma
- Melhorar o serviço com base em dados de uso agregados e anónimos
- Cumprir obrigações legais e fiscais
4. Base Legal para o Tratamento
- Execução do contrato — para processar reservas e pagamentos
- Consentimento — para notificações por email (podes revogar a qualquer momento nas Definições da app)
- Interesse legítimo — para segurança, prevenção de fraude e melhoria do serviço
- Obrigação legal — para dados de faturação e conformidade fiscal
5. Partilha de Dados com Terceiros
Não vendemos os teus dados. Partilhamos dados apenas com os seguintes prestadores de serviço:
- Stripe — processamento de pagamentos (stripe.com/privacy)
- Resend — envio de emails transacionais (confirmações, lembretes)
- Sentry — monitorização de erros técnicos (dados anónimos, sem dados pessoais)
- Escolas de surf parceiras — nome, foto e informação da reserva partilhados com a escola onde reservaste
6. Os Teus Direitos (RGPD)
- Acesso — pedir uma cópia dos teus dados pessoais
- Retificação — corrigir dados incorretos ou desatualizados
- Eliminação — apagar a tua conta e dados (disponível em Perfil → Definições → Eliminar Conta)
- Portabilidade — receber os teus dados em formato estruturado e legível por máquina
- Oposição — opor-te ao tratamento para fins de marketing ou comunicações não essenciais
- Limitação — limitar o tratamento em circunstâncias específicas
Para exercer qualquer destes direitos, envia email para
support@surfbooking.eu. Respondemos em até 30 dias conforme exigido pelo RGPD.
7. Segurança dos Dados
Aplicamos as seguintes medidas de segurança:
- Comunicações encriptadas com HTTPS/TLS em toda a plataforma
- Palavras-passe armazenadas com bcrypt (hashing irreversível)
- Tokens de sessão JWT com expiração automática
- Proteção contra força bruta (bloqueio após múltiplas tentativas falhadas)
- Acesso à base de dados restrito a sistemas internos
8. Retenção de Dados
Mantemos os teus dados enquanto a conta estiver ativa. Após eliminação da conta, os dados são apagados no prazo de 30 dias, exceto onde exigido por lei (exemplo: dados fiscais são conservados por 10 anos conforme legislação portuguesa).
9. Cookies
A app móvel não utiliza cookies. O site de apresentação usa apenas cookies técnicos estritamente necessários ao funcionamento, sem rastreamento de terceiros.
10. Transferências Internacionais
Os dados podem ser processados em servidores fora da UE por prestadores como a Stripe (EUA), que operam ao abrigo de mecanismos aprovados de transferência de dados (Cláusulas Contratuais-Tipo).
11. Alterações a esta Política
Notificaremos por email alterações significativas. A data de "última atualização" no topo desta página reflete sempre a versão atual.
12. Reclamações
Tens o direito de apresentar reclamação à autoridade de supervisão portuguesa:
CNPD — Comissão Nacional de Proteção de Dados
www.cnpd.pt
← Back to home
This Privacy Policy describes how the platform ("we" or "the Platform") collects, uses and protects your personal data, in compliance with the General Data Protection Regulation (GDPR — Regulation (EU) 2016/679).
1. Data Controller
The controller of your personal data is the platform operator, based in Portugal. For privacy matters: support@surfbooking.eu
2. Data We Collect
- Account data: name, email, password (stored with bcrypt encryption — never in plain text)
- Profile data: photo, date of birth (optional), tax ID (optional, for invoicing)
- Booking data: booked lessons, check-in history and payment records
- Location data: approximate location while the app is in use, to show nearby schools and beaches
- Camera data: temporary access to read check-in QR codes — we do not store images
- Payment data: processed exclusively by Stripe — we do not store card or bank details
3. How We Use Your Data
- Create and manage your user account
- Process and confirm surf lesson bookings
- Send confirmation emails, reminders and cancellation notifications
- Display schools and beaches sorted by proximity
- Detect and prevent fraud and platform abuse
- Improve the service using aggregated, anonymous usage data
- Comply with legal and tax obligations
4. Legal Basis for Processing
- Performance of a contract — to process bookings and payments
- Consent — for email notifications (you can revoke at any time in the app Settings)
- Legitimate interest — for security, fraud prevention and service improvement
- Legal obligation — for billing data and tax compliance
5. Data Sharing with Third Parties
We do not sell your data. We share data only with the following service providers:
- Stripe — payment processing (stripe.com/privacy)
- Resend — sending transactional emails (confirmations, reminders)
- Sentry — technical error monitoring (anonymous data, no personal data)
- Partner surf schools — your name, photo and booking details are shared with the school where you book
6. Your Rights (GDPR)
- Access — request a copy of your personal data
- Rectification — correct inaccurate or outdated data
- Erasure — delete your account and data (available in Profile → Settings → Delete Account)
- Portability — receive your data in a structured, machine-readable format
- Objection — object to processing for marketing or non-essential communications
- Restriction — restrict processing in specific circumstances
To exercise any of these rights, email us at
support@surfbooking.eu. We respond within 30 days as required by GDPR.
7. Data Security
We apply the following security measures:
- HTTPS/TLS encrypted communications across the entire platform
- Passwords stored with bcrypt (irreversible hashing)
- JWT session tokens with automatic expiry
- Brute-force protection (lockout after multiple failed attempts)
- Database access restricted to internal systems
8. Data Retention
We retain your data while your account is active. After account deletion, data is erased within 30 days, except where required by law (e.g. tax records are kept for 10 years under Portuguese law).
9. Cookies
The mobile app does not use cookies. The website uses only strictly necessary technical cookies for operation, with no third-party tracking.
10. International Transfers
Data may be processed on servers outside the EU by providers such as Stripe (USA), which operate under approved data transfer mechanisms (Standard Contractual Clauses).
11. Changes to This Policy
We will notify you by email of significant changes. The "last updated" date at the top of this page always reflects the current version.
12. Complaints
You have the right to lodge a complaint with the Portuguese supervisory authority:
CNPD — Comissão Nacional de Proteção de Dados
www.cnpd.pt