RGPD
Última atualização: 31 de maio de 2026
A Kinbox é construída segundo o princípio de privacidade desde a conceção. Estamos comprometidos em cumprir o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 (RGPD) e a legislação portuguesa aplicável em matéria de proteção de dados, sob a supervisão da Comissão Nacional de Proteção de Dados (CNPD).
1. Responsável pelo Tratamento vs. Subcontratante
Kinbox como Responsável pelo Tratamento
A Kinbox (António Carvalho, trading as Kinbox) é a responsável pelo tratamento dos:
- Dados pessoais de proprietários e colaboradores de ginásios que se registam e utilizam diretamente a Kinbox
- Dados de visitantes recolhidos através de getkinbox.com
Kinbox como Subcontratante
Relativamente aos dados dos alunos do ginásio, a Kinbox atua como subcontratante por conta do proprietário do ginásio (que é o responsável pelo tratamento). Isto significa que:
- Tratamos os dados dos alunos apenas com base nas instruções do ginásio
- Não utilizamos os dados dos alunos para fins próprios
- Implementamos medidas de segurança adequadas
- Apoiamos os proprietários de ginásios no cumprimento das suas obrigações perante os titulares dos dados
Os proprietários de ginásios que utilizam a Kinbox para gerir dados de alunos assumem as responsabilidades do RGPD enquanto responsáveis pelo tratamento e devem assegurar que dispõem de um fundamento legal adequado para o tratamento.
2. Acordo de Tratamento de Dados (DPA)
Os proprietários de ginásios que tratam dados pessoais de residentes na UE através da Kinbox podem necessitar de um Acordo de Tratamento de Dados nos termos do artigo 28.º do RGPD.
Para solicitar um DPA, contacta-nos em: hello@getkinbox.com
3. Os Teus Direitos Enquanto Titular dos Dados
| Direito | O Que Significa |
|---|---|
| Acesso (Artigo 15.º) | Solicitar uma cópia dos dados pessoais que temos sobre ti |
| Retificação (Artigo 16.º) | Pedir-nos que corrijamos dados inexatos ou incompletos |
| Apagamento (Artigo 17.º) | Pedir-nos que apaguemos os teus dados ("direito a ser esquecido") |
| Limitação (Artigo 18.º) | Pedir-nos que limitemos a utilização dos teus dados em determinadas circunstâncias |
| Portabilidade dos Dados (Artigo 20.º) | Receber os teus dados num formato estruturado e de uso corrente |
| Oposição (Artigo 21.º) | Opor-se ao tratamento baseado em interesses legítimos |
| Retirada do Consentimento (Artigo 7.º, n.º 3) | Retirar o consentimento a qualquer momento quando o tratamento se baseia no consentimento |
| Decisões Automatizadas (Artigo 22.º) | Não ficar sujeito a decisões exclusivamente automatizadas com efeitos significativos |
Envia o teu pedido para: hello@getkinbox.com. Responderemos no prazo de 30 dias.
4. Fundamento Legal para o Tratamento
- Execução de contrato — para prestar o serviço Kinbox aos proprietários de ginásios e processar subscrições
- Interesses legítimos — para prevenção de fraude, segurança e melhoria do produto
- Obrigação legal — para cumprimento fiscal, contabilístico e regulamentar
- Consentimento — para comunicações de marketing e cookies de análise não essenciais
5. Transferências de Dados para Fora do EEE
| Fornecedor | Mecanismo de Transferência |
|---|---|
| Stripe (EUA) | Cláusulas Contratuais Tipo (CCT) |
| Supabase (EUA) | Cláusulas Contratuais Tipo (CCT) |
| Google (EUA) | Cláusulas Contratuais Tipo (CCT) |
6. Conservação de Dados
| Categoria de Dados | Período de Conservação |
|---|---|
| Contas ativas de proprietários/colaboradores de ginásios | Duração da conta + 12 meses após o encerramento |
| Registos financeiros/de faturação | 10 anos (lei fiscal portuguesa) |
| Dados de alunos (tratados por conta dos ginásios) | Conforme instruções do proprietário do ginásio |
| Registos de consentimento para marketing | Até à retirada do consentimento + 3 anos |
| Registos de servidor/de acesso | 12 meses |
7. Medidas de Segurança
A Kinbox implementa medidas técnicas e organizativas em linha com o artigo 32.º do RGPD, incluindo:
- Encriptação em trânsito: Todos os dados são transmitidos por TLS/HTTPS
- Encriptação em repouso: O armazenamento em base de dados é encriptado
- Controlos de acesso: Acesso baseado em funções; a equipa acede apenas ao que precisa
- Autenticação: Hashing seguro de palavras-passe; Google OAuth opcional
- Análises periódicas: Avaliações de segurança regulares
8. Notificação de Violação de Dados
Em caso de violação de dados pessoais suscetível de resultar num risco para os direitos e liberdades dos titulares, iremos:
- Notificar a CNPD no prazo de 72 horas após o conhecimento (Artigo 33.º do RGPD)
- Notificar os titulares afetados sem demora injustificada quando exista um risco elevado para os seus direitos (Artigo 34.º do RGPD)
9. Proprietários de Ginásios: As Tuas Obrigações no RGPD
Se és proprietário de um ginásio que utiliza a Kinbox, és responsável pelo tratamento dos dados dos teus alunos. As tuas obrigações principais incluem:
- Fornecer uma informação de privacidade aos teus alunos que explique como os seus dados são utilizados
- Ter um fundamento legal para a recolha e o tratamento dos dados dos alunos (normalmente contrato ou consentimento)
- Responder a pedidos de titulares dos dados dos teus alunos no prazo de 30 dias
- Proteger os dados com medidas de segurança adequadas
- Comunicar violações à autoridade de controlo competente e aos alunos afetados, quando aplicável
- Assegurar que quaisquer terceiros com quem partilhes dados oferecem proteção adequada
A Kinbox disponibiliza a infraestrutura, mas o cumprimento do RGPD enquanto responsável pelo tratamento é da tua responsabilidade enquanto operador do ginásio.
10. Autoridade de Controlo
Tens o direito de apresentar uma reclamação junto da CNPD ou da autoridade de controlo do teu Estado-Membro da UE se considerares que os teus direitos em matéria de proteção de dados foram violados.
11. Contacto
Contacto para proteção de dados: hello@getkinbox.com | Site: getkinbox.com