Política de Privacidade

1. Responsável pelo Tratamento

O responsável pelo tratamento dos seus dados pessoais é:

• Designação: Centro Clínico João Correia (CCJC)
• Responsável: João Correia
• Email de contacto para privacidade: joao@ccjc.pt

Para qualquer questão relacionada com o tratamento dos seus dados pessoais, pode contactar-nos diretamente através do email indicado.

2. Dados Pessoais Recolhidos

2.1 Dados fornecidos diretamente pelo utilizador

Ao criar uma conta e utilizar o portal, recolhemos os seguintes dados:

• Dados de identificação: nome, endereço de email;
• Dados de autenticação: palavra-passe (armazenada exclusivamente sob a forma de hash criptográfico — nunca em texto simples);
• Dados de treino: data das sessões, tipo de treino, exercícios realizados (nome, série, número de repetições, peso), percepção subjetiva de esforço (Escala de Borg, 0-10), notas pessoais;
• Dados de consentimento: data e hora da aceitação dos Termos e Condições e desta Política de Privacidade.

2.2 Dados recolhidos automaticamente

• Cookie de sessão: um cookie técnico denominado auth_token, necessário para manter a sua sessão autenticada. Este cookie é HttpOnly (não acessível a scripts), tem uma validade de 30 dias e não é utilizado para fins de rastreamento ou publicidade;
• Preferências de interface: as preferências de tema visual (claro/escuro) podem ser guardadas localmente no seu dispositivo através de localStorage, mas não são enviadas para os nossos servidores.

Não utilizamos cookies de terceiros, ferramentas de análise comportamental, redes de publicidade nem qualquer outro mecanismo de rastreamento.

3. Finalidade e Base Legal do Tratamento

Tratamos os seus dados pessoais com base nas seguintes finalidades e fundamentos jurídicos, nos termos do artigo 6.º do RGPD:

• Gestão da conta e prestação do serviço — Execução de contrato [Art. 6.º(1)(b) RGPD]: os seus dados são necessários para criar e gerir a sua conta e fornecer as funcionalidades do portal;
• Acompanhamento do progresso de treino pelo instrutor — Interesse legítimo [Art. 6.º(1)(f) RGPD]: o instrutor João Correia necessita de aceder aos dados de treino para prestar um serviço personalizado e de qualidade;
• Cumprimento de obrigações legais — Obrigação legal [Art. 6.º(1)(c) RGPD]: quando aplicável, os dados podem ser tratados para cumprimento de obrigações legais;
• Registo do consentimento — Consentimento [Art. 6.º(1)(a) RGPD]: guardamos o registo da sua aceitação dos termos para demonstrar conformidade regulatória.

4. Partilha e Transferência de Dados

Os seus dados pessoais não são vendidos, alugados nem partilhados com terceiros para fins comerciais ou publicitários.

Os dados são acessíveis apenas a:

• Você próprio — através da sua conta autenticada;
• O instrutor João Correia — através do painel de administração, para efeitos exclusivos de acompanhamento do seu programa de treino.

Subprocessadores (infraestrutura técnica)

Para operar o serviço, recorremos aos seguintes subprocessadores:

• Cloudflare, Inc. — Alojamento do portal (Cloudflare Pages) e base de dados (Cloudflare D1). Os dados são processados em servidores localizados na União Europeia. A Cloudflare está certificada ao abrigo do EU-U.S. Data Privacy Framework. Política de privacidade: cloudflare.com/privacypolicy.

Não são realizadas transferências de dados pessoais para países fora do Espaço Económico Europeu sem garantias adequadas ao abrigo do RGPD.

5. Prazo de Conservação dos Dados

Conservamos os seus dados pessoais durante os seguintes períodos:

• Dados da conta (email, nome, hash da palavra-passe): pelo período em que a sua conta se mantiver ativa, mais 30 dias após a eliminação da conta;
• Dados de treino (sessões, exercícios, métricas): pelo período em que a sua conta se mantiver ativa, mais 12 meses após a eliminação da conta, para efeitos de acompanhamento histórico e continuidade do serviço;
• Registo de consentimento: conservado durante 5 anos a contar da data de aceitação, por obrigação de demonstração de conformidade regulatória.

Findo o prazo aplicável, os dados são eliminados definitivamente dos nossos sistemas, salvo se uma obrigação legal impuser a sua conservação por período superior.

6. Os Seus Direitos ao Abrigo do RGPD

Enquanto titular dos dados, assiste-lhe um conjunto de direitos que pode exercer a qualquer momento, de forma gratuita, enviando um pedido para joao@ccjc.pt:

Respondemos a todos os pedidos no prazo máximo de 30 dias a contar da data de receção. Em casos complexos, este prazo pode ser prorrogado por mais 60 dias, com notificação prévia.

7. Segurança dos Dados

Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição:

• Cifração da palavra-passe: utilizamos o algoritmo PBKDF2 com SHA-256, 100.000 iterações e salt aleatório — nunca armazenamos palavras-passe em texto simples;
• Comunicação cifrada: todo o tráfego entre o seu dispositivo e o portal é cifrado através de HTTPS/TLS;
• Cookies HttpOnly: o cookie de sessão está configurado como HttpOnly, impedindo o acesso por scripts JavaScript;
• Acesso restrito: apenas o instrutor João Correia tem acesso privilegiado aos dados dos clientes, através de credenciais de administração seguras;
• Infraestrutura segura: o portal corre na rede Cloudflare, com proteção DDoS, isolamento por domínio e conformidade com normas de segurança internacionais.

Em caso de violação de dados pessoais que possa constituir um risco para os seus direitos e liberdades, notificaremos a autoridade supervisora competente no prazo de 72 horas e informaremos os titulares afetados sem demora injustificada.

8. Cookies e Tecnologias de Rastreamento

O portal utiliza exclusivamente um cookie técnico estritamente necessário:

• Nome: auth_token
• Finalidade: manutenção da sessão autenticada
• Validade: 30 dias
• Tipo: HttpOnly, SameSite=Lax (não acessível a scripts, protegido contra CSRF)
• Partilha: não partilhado com terceiros

Não utilizamos cookies analíticos, de publicidade, de redes sociais nem qualquer tecnologia de rastreamento de terceiros. Não é necessário banner de consentimento de cookies, uma vez que apenas utilizamos cookies estritamente necessários ao funcionamento do serviço.

9. Menores de Idade

O portal destina-se a utilizadores com idade igual ou superior a 18 anos. Não recolhemos intencionalmente dados pessoais de menores sem o consentimento expresso dos respetivos representantes legais.

Se tomar conhecimento de que um menor nos forneceu dados pessoais sem o necessário consentimento parental, pedimos que nos contacte imediatamente para que possamos proceder à eliminação desses dados.

10. Direito de Reclamação

Caso considere que o tratamento dos seus dados pessoais viola o RGPD ou a legislação nacional aplicável, tem o direito de apresentar reclamação junto da autoridade de controlo competente em Portugal:

• Comissão Nacional de Proteção de Dados (CNPD)
• Rua de São Bento, 148-3.º, 1200-821 Lisboa
• Website: www.cnpd.pt

Encorajamos, no entanto, a que nos contacte diretamente em primeiro lugar, para que possamos resolver a situação de forma célere e eficaz.

11. Alterações à Política de Privacidade

Podemos atualizar a presente Política de Privacidade quando necessário para refletir alterações ao serviço, requisitos legais ou práticas de tratamento de dados. Quaisquer alterações materiais serão comunicadas através do email associado à sua conta com antecedência mínima de 15 dias úteis antes de entrarem em vigor.

A data da última atualização está sempre indicada no topo deste documento. Recomendamos que reveja esta política periodicamente.

12. Contacto para Questões de Privacidade

Para exercer os seus direitos ou para qualquer questão relacionada com o tratamento dos seus dados pessoais:

• Email: joao@ccjc.pt
• Responsável pelo tratamento: João Correia
• Prazo de resposta: até 30 dias úteis