Documento legal

GDPR — Conformidade e Direitos

Última atualização: 5 de maio de 2026 · Versão 1.0

O Kerno trata os dados pessoais dos seus utilizadores em plena conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) — Regulamento (UE) 2016/679, em vigor desde 25 de maio de 2018. Esta página descreve as nossas práticas de conformidade e explica os direitos que assistem aos titulares de dados.

1. Responsável e Subprocessador

Kerno como Responsável pelo Tratamento

Para os dados dos comerciantes (utilizadores da plataforma): o Kerno determina as finalidades e os meios do tratamento dos dados pessoais dos comerciantes registados.

Kerno como Subprocessador

Para os dados dos pagadores (clientes dos comerciantes): o Kerno atua como subprocessador em nome do comerciante, que é o responsável pelo tratamento perante os seus clientes.

Os comerciantes que utilizem o Kerno para processar pagamentos dos seus clientes assumem a qualidade de Responsáveis pelo Tratamento e devem garantir que têm base legal para o tratamento dos dados dos seus pagadores.

2. Base Legal para o Tratamento

Execução de contrato (art. 6.º, n.º 1, al. b)): tratamento necessário para prestar o serviço de gateway de pagamento
Obrigação legal (art. 6.º, n.º 1, al. c)): cumprimento de obrigações fiscais e de arquivo (legislação fiscal portuguesa e europeia)
Legítimo interesse (art. 6.º, n.º 1, al. f)): segurança da plataforma, prevenção de fraude e melhoria do produto
Consentimento (art. 6.º, n.º 1, al. a)): comunicações de marketing (quando aplicável, sempre com opt-in explícito)

3. Medidas Técnicas e Organizacionais

Implementamos medidas adequadas ao risco, nos termos do artigo 32.º do RGPD:

🔒Encriptação em trânsito (TLS 1.3) em todas as comunicações

🗄️Row Level Security (RLS) na base de dados — cada comerciante acede apenas aos seus próprios dados

💳Dados de cartão nunca armazenados — processamento 100% delegado à Stripe (PCI DSS nível 1)

🔑Autenticação segura com Supabase Auth + suporte a 2FA e Passkeys

🚦Rate limiting em todos os endpoints públicos para prevenção de abuso

📋Auditorias de acesso e logs de segurança retidos por 12 meses

4. Transferências Internacionais

Alguns dos nossos subprocessadores (Stripe, Resend, Sentry) estão sediados nos Estados Unidos. Estas transferências são realizadas com base em Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia, em conformidade com o artigo 46.º do RGPD.

Os dados alojados na Supabase e PostHog estão localizados na União Europeia (região EU).

5. Direitos dos Titulares de Dados

Pode exercer os seguintes direitos ao abrigo do RGPD, sem encargos, contactando-nos em gdpr@kerno.pt. Responderemos no prazo máximo de 30 dias (prorrogável por mais 60 dias em casos complexos, com aviso prévio).

Direito de acessoObter confirmação de que os seus dados são tratados e receber uma cópia completa (art. 15.º).

Direito de retificaçãoCorrigir dados inexatos ou completar dados incompletos (art. 16.º).

Direito de apagamentoSolicitar a eliminação dos seus dados quando já não são necessários ou quando retire o consentimento, sujeito a obrigações de retenção legal (art. 17.º).

Direito de portabilidadeReceber os seus dados pessoais num formato estruturado, de uso corrente e leitura automática (art. 20.º).

Direito de oposiçãoOpor-se ao tratamento com base em legítimo interesse, incluindo para fins de marketing direto (art. 21.º).

Direito de limitaçãoSolicitar a suspensão do tratamento em determinadas circunstâncias (ex.: quando contesta a exatidão dos dados) (art. 18.º).

6. Acordo de Processamento de Dados (DPA)

Os comerciantes que utilizem o Kerno para tratar dados pessoais dos seus clientes podem solicitar a celebração de um Data Processing Agreement (DPA) formal, nos termos do artigo 28.º do RGPD.

Para solicitar um DPA, contacte gdpr@kerno.pt.

7. Notificação de Violações de Dados

Em caso de violação de dados pessoais com risco para os direitos e liberdades dos titulares, o Kerno notificará a CNPD no prazo de 72 horas (art. 33.º RGPD) e, quando adequado, os titulares afetados (art. 34.º RGPD).

8. Autoridade de Supervisão

O Kerno está sujeito à supervisão da Comissão Nacional de Proteção de Dados (CNPD), autoridade de controlo portuguesa.

Tem o direito de apresentar uma reclamação à CNPD, sem prejuízo de qualquer outra via de recurso administrativo ou judicial:

CNPD — Comissão Nacional de Proteção de Dados

Rua de São Bento, n.º 148 — 3.º, 1200-821 Lisboa

www.cnpd.pt

9. Contacto GDPR

Kerno — Responsável pela Proteção de Dados

Email: gdpr@kerno.pt

Aveiro, Portugal