LuxStay Madeira
GESTÃO DISCRETA · RESULTADO VISÍVEL
← Voltar à página inicial
Documento legal · RGPD

Política de Proteção de Dados

Última atualização: Abril de 2026

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais é LuxStay Madeira, com sede em Funchal — Madeira, Portugal, NIPC 257 794 158. Para qualquer questão de privacidade, contacte-nos em luxstaymadeira@gmail.com.

2. Dados recolhidos

Recolhemos apenas os dados estritamente necessários para prestar o serviço:

  • Identificação e contacto: nome, email, número de telefone, NIF (quando aplicável a faturação).
  • Conta e autenticação: nome de utilizador, password (armazenada cifrada com bcrypt), tokens de sessão.
  • Dados operacionais: apartamentos geridos, reservas, limpezas, fotos de relatórios, comentários e avaliações.
  • Dados de faturação: nome fiscal, NIF, morada, histórico de pagamentos.
  • Dados técnicos: endereço IP, user-agent do browser, registos de acesso, métricas de utilização.

3. Finalidades do tratamento

  • Prestação e gestão do serviço contratado (agendamento, faturação, comunicação).
  • Cumprimento de obrigações legais (faturação eletrónica, contabilidade, fiscais).
  • Comunicações operacionais e de suporte ao utilizador.
  • Prevenção de fraude, abuso e segurança da plataforma.
  • Melhoria do serviço através de análise agregada e anonimizada de utilização.

4. Base legal (RGPD art. 6.º)

  • Execução de contrato — para a prestação do serviço solicitado pelo utilizador.
  • Cumprimento de obrigação legal — para faturação, contabilidade e dever fiscal.
  • Interesse legítimo — para segurança, prevenção de fraude e melhoria do serviço.
  • Consentimento — para comunicações de marketing e instalação de cookies não essenciais (revogável a qualquer momento).

5. Direitos do utilizador

Nos termos do RGPD, o utilizador tem direito a:

  • Acesso — saber que dados detemos sobre si.
  • Retificação — corrigir dados inexatos ou incompletos.
  • Apagamento «direito ao esquecimento» — solicitar a eliminação dos seus dados.
  • Limitação do tratamento em determinadas circunstâncias.
  • Portabilidade — receber os seus dados em formato estruturado e legível por máquina.
  • Oposição ao tratamento baseado em interesse legítimo ou marketing.
  • Retirar o consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.
  • Reclamar junto da Comissão Nacional de Proteção de Dados (CNPD — www.cnpd.pt).

6. Como exercer os seus direitos

Pode exercer qualquer dos direitos acima enviando email para luxstaymadeira@gmail.com indicando o pedido pretendido. Responderemos no prazo máximo de 30 dias (prorrogável por mais 60 dias em caso de pedidos complexos, conforme art. 12.º RGPD). Para garantir a segurança dos dados, poderemos solicitar comprovativo de identidade.

7. Prazos de retenção

  • Conta ativa: enquanto a conta existir e for utilizada.
  • Dados contabilísticos e fiscais: 10 anos (obrigação legal — art. 123.º CIRC).
  • Logs técnicos e segurança: 12 meses.
  • Após encerramento da conta: dados não obrigatórios são apagados em até 90 dias; obrigatórios mantêm-se pelo prazo legal aplicável.

8. Subcontratantes (terceiros)

Para prestar o serviço, partilhamos dados estritamente necessários com subcontratantes sujeitos a contrato de processamento de dados (RGPD art. 28.º):

  • Stripe Inc. / Stripe Payments Europe — processamento de pagamentos.
  • Resend (Resend Inc.) — envio de emails transacionais.
  • MongoDB Atlas — armazenamento de base de dados (UE).
  • OpenAI / Google / Anthropic — análise de texto e OCR de faturas (apenas dados não sensíveis necessários ao processamento).
  • Cloudflare / Kubernetes hosting — infraestrutura, CDN e proteção contra fraude.

Sempre que possível, os dados são processados em servidores dentro do Espaço Económico Europeu. Para transferências internacionais, recorremos a Cláusulas Contratuais-Tipo da Comissão Europeia ou outras garantias adequadas previstas no RGPD.

9. Medidas de segurança

  • Comunicações cifradas em trânsito (HTTPS/TLS).
  • Passwords armazenadas com hashing forte (bcrypt) — nunca em texto claro.
  • Controlo de acesso baseado em papéis (admin, cliente, funcionário).
  • Cookies httpOnly + tokens de sessão fingerprintados ao dispositivo.
  • Backups regulares e monitorização contínua de incidentes.
  • Pseudonimização e minimização sempre que tecnicamente viável.

Em caso de violação de dados pessoais que represente risco elevado para os direitos do utilizador, será notificado conforme art. 34.º RGPD, juntamente com a CNPD.

10. Alterações

Esta política pode ser atualizada para refletir alterações legais ou do serviço. A versão mais recente está sempre disponível em /privacidade. Alterações materiais serão comunicadas com aviso prévio razoável.