Documento legal
Política de Privacidade
Esta Política de Privacidade descreve como o Kerno, com sede em Portugal (“Kerno”, “nós”), recolhe, utiliza e protege os seus dados pessoais, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento EU 2016/679).
1. Responsável pelo Tratamento
2. Dados que Recolhemos
2.1 Dados do comerciante (conta)
- Nome completo e email
- Dados do negócio: nome da empresa, NIF, setor, país, morada
- Dados da conta bancária (IBAN) para liquidação de pagamentos
- Dados de autenticação (palavra-passe em hash, sessões)
2.2 Dados de transação
- Valor, data, estado e método de pagamento de cada transação
- Identificadores de clientes (pagadores) associados a transações
- Links de pagamento criados, incluindo configurações e histórico
2.3 Dados técnicos
- Endereço IP, tipo e versão do browser, sistema operativo
- Páginas visitadas, cliques e comportamento na plataforma (PostHog)
- Logs de erros e exceções (Sentry)
2.4 O que não recolhemos
O Kerno nunca recolhe nem armazena dados de cartão de pagamento (número, CVV, data de validade). Estes dados são tratados exclusivamente pela Stripe.
3. Finalidade e Base Legal
| Finalidade | Base legal (RGPD) |
|---|---|
| Prestação do serviço de gateway de pagamento | Execução de contrato (art. 6.º, n.º 1, al. b)) |
| Faturação e arquivo fiscal | Obrigação legal (art. 6.º, n.º 1, al. c)) |
| Envio de emails transacionais | Execução de contrato (art. 6.º, n.º 1, al. b)) |
| Melhoria do produto e análise de uso | Legítimo interesse (art. 6.º, n.º 1, al. f)) |
| Prevenção de fraude e segurança | Legítimo interesse (art. 6.º, n.º 1, al. f)) |
| Comunicações de marketing (futuro) | Consentimento (art. 6.º, n.º 1, al. a)) |
4. Subprocessadores
O Kerno partilha dados com os seguintes fornecedores de confiança, com os quais mantém acordos de processamento de dados (DPA):
| Fornecedor | Finalidade | Localização |
|---|---|---|
| Stripe Inc. | Processamento de pagamentos, KYC, liquidações | EUA / Irlanda (UE) |
| Supabase Inc. | Base de dados e autenticação | UE (AWS eu-west-1) |
| Resend Inc. | Envio de emails transacionais | EUA (cláusulas contratuais padrão) |
| PostHog Inc. | Analytics de produto | UE (EU Cloud) |
| Sentry Inc. | Monitorização de erros | EUA (cláusulas contratuais padrão) |
| Vercel Inc. | Alojamento da aplicação | UE (edge) |
As transferências para países terceiros (EUA) são realizadas com base em Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia.
5. Retenção de Dados
- Dados fiscais e de faturação: 10 anos (obrigação legal — art. 52.º do Código Comercial e legislação fiscal portuguesa)
- Dados de conta e transações: enquanto a conta estiver ativa + 3 anos após o encerramento
- Logs técnicos e de segurança: 12 meses
- Dados de analytics: 24 meses
6. Os Seus Direitos
Ao abrigo do RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:
Para exercer qualquer destes direitos, contacte-nos em privacidade@kerno.pt. Responderemos no prazo de 30 dias. Tem ainda o direito de apresentar reclamação à CNPD (Comissão Nacional de Proteção de Dados).
7. Segurança
Aplicamos medidas técnicas e organizacionais adequadas para proteger os seus dados, incluindo:
- Encriptação em trânsito (TLS 1.3)
- Row Level Security (RLS) na base de dados
- Autenticação multifator disponível
- Auditorias de acesso periódicas
8. Alterações a Esta Política
Em caso de alterações materiais, notificaremos por email com antecedência mínima de 30 dias. A data de “última atualização” no topo deste documento indica sempre a versão atual.