Política de Privacidade
Proteção dos seus dados pessoais — RGPD
Última atualização: Janeiro 2025
A VeraTrace SAS (doravante "VeraTrace", "nós", "nosso") compromete-se a proteger a sua privacidade e os seus dados pessoais. Esta política de privacidade explica como recolhemos, utilizamos, armazenamos e protegemos os seus dados pessoais em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados ou "RGPD").
Âmbito de aplicação
Esta política aplica-se a todos os dados pessoais que recolhemos através do nosso site internet veratrace.xyz, das nossas aplicações móveis, dos nossos formulários de contacto, e de qualquer outra interação com os nossos serviços.
A presente política não abrange as práticas de privacidade dos sítios de terceiros para os quais possamos criar ligações. Encorajamo-lo a ler as políticas de privacidade de quaisquer sítios de terceiros que visite.
Responsável pelo tratamento
O responsável pelo tratamento dos seus dados pessoais é:
VeraTrace SAS
35 rue de la République, 95110 Sannois, França
Representada por Frédéric Georjon, Presidente
O nosso Encarregado da Proteção de Dados (DPO) está disponível para qualquer questão relativa à proteção dos seus dados pessoais.
Dados recolhidos
Recolhemos as seguintes categorias de dados consoante o seu perfil de utilizador e a sua interação com os nossos serviços:
Categorias de dados
Dados de identificação
Apelido, nome próprio, endereço de e-mail, número de telefone, nome da empresa, SIRET (para profissionais), morada postal
Dados profissionais
Tipo de atividade (produtor, restaurante, distribuidor), dimensão da exploração, número de colaboradores, certificações detidas (Bio, HVE, AOP, IGP, Label Rouge), denominações, áreas cultivadas
Dados de rastreabilidade
Lotes produzidos, datas de colheita/produção, percurso dos produtos, temperaturas registadas, geolocalização das entregas, carimbos temporais blockchain
Dados de transação
Histórico de encomendas, faturas, meios de pagamento (tokenizados), pontos VRT acumulados, estatuto Pioneer
Dados de navegação
Endereço IP (anonimizado após 13 meses), tipo de navegador, sistema operativo, páginas visitadas, duração da visita, fonte de tráfego, ações efetuadas
Dados de ligação
Credenciais de acesso (com hash), registos de ligação, histórico de sessões, dispositivos utilizados
Dados de comunicação
Conteúdo das mensagens enviadas ao apoio, histórico de trocas, preferências de comunicação, consentimentos de newsletter
Dados IoT
Identificadores dos sensores, leituras de temperatura, geolocalização dos trackers, estado das baterias, alertas acionados
Dados sensíveis
Não recolhemos dados sensíveis na aceção do artigo 9.º do RGPD (origem racial ou étnica, opiniões políticas, convicções religiosas, dados de saúde, orientação sexual, etc.), salvo se estritamente necessário e com o seu consentimento explícito.
Menores
Os nossos serviços não se destinam a menores de 16 anos. Não recolhemos, conscientemente, dados pessoais relativos a menores. Se for pai, mãe ou tutor e considerar que o seu filho nos forneceu dados pessoais, contacte-nos imediatamente através de [email protected] para que procedamos à respetiva eliminação.
Fontes dos dados
- •Diretamente junto de si (formulários, introdução manual)
- •Automaticamente (cookies, registos, sensores IoT)
- •Através de terceiros (APIs de parceiros, sistemas de informação ligados)
- •Fontes públicas (registos oficiais para verificação)
Finalidades do tratamento
Os seus dados pessoais são tratados para as seguintes finalidades:
Gestão de pedidos de contacto
Responder às suas questões, pedidos de informação ou reclamações
Processamento de pré-encomendas
Gerir a sua encomenda, entrega e serviço pós-venda
Newsletter e comunicações de marketing
Informá-lo sobre as nossas novidades, novos produtos e ofertas especiais
Melhoria dos nossos serviços
Analisar a utilização do site para melhorar a experiência do utilizador
Obrigações legais
Cumprir as nossas obrigações contabilísticas, fiscais e regulamentares
Segurança
Proteger o nosso site e os nossos utilizadores contra fraudes e ciberataques
Bases legais do tratamento
Em conformidade com o RGPD, todo o tratamento de dados pessoais deve assentar numa base legal. Eis as bases legais em que fundamentamos os nossos tratamentos:
Consentimento (Art. 6.1.a RGPD)
Para o envio de newsletters, comunicações de marketing e utilização de cookies não essenciais. Pode retirar o seu consentimento a qualquer momento.
Execução contratual (Art. 6.1.b RGPD)
Para o processamento de pré-encomendas, criação de conta e prestação dos nossos serviços.
Obrigação legal (Art. 6.1.c RGPD)
Para cumprir as nossas obrigações contabilísticas, fiscais e regulamentares (conservação de faturas, etc.).
Interesse legítimo (Art. 6.1.f RGPD)
Para a melhoria dos nossos serviços, segurança do site, prevenção de fraudes e estatísticas anonimizadas.
Ponderação de interesses
Quando invocamos o interesse legítimo, realizámos uma ponderação entre os nossos interesses e os seus direitos e liberdades. Esta análise está documentada e disponível mediante pedido junto do nosso DPO.
Duração de conservação
Conservamos os seus dados pessoais apenas durante o tempo necessário às finalidades para as quais foram recolhidos:
| Données | Durée | Justification |
|---|---|---|
| Dados de contacto (prospects) | 3 anos após o último contacto | |
| Dados de clientes | Duração da relação contratual + 5 anos (prescrição legal) | |
| Dados de faturação | 10 anos (obrigação contabilística) | |
| Dados de navegação | 13 meses no máximo | |
| Consentimentos | Duração do consentimento + 5 anos (prova) | |
| Dados de newsletter | Até à retirada do consentimento + 3 anos |
Arquivo
No fim dos períodos de conservação em base ativa, determinados dados podem ser arquivados em base intermédia com acesso restrito para cumprir as nossas obrigações legais ou para a verificação, o exercício ou a defesa de direitos em juízo.
Eliminação
No termo dos prazos de conservação e arquivo, os seus dados são eliminados de forma segura ou anonimizados de forma irreversível.
Destinatários dos dados
Os seus dados pessoais podem ser comunicados aos seguintes destinatários:
Internamente
Apenas os membros da equipa VeraTrace que necessitam de aceder aos seus dados no âmbito das suas funções têm acesso (equipa comercial, apoio ao cliente, equipa técnica).
- •Equipa técnica (suporte, desenvolvimento)
- •Equipa comercial (relação com o cliente)
- •Equipa administrativa (faturação, contabilidade)
- •Direção (supervisão)
O acesso é controlado de acordo com o princípio do menor privilégio e registado nos nossos logs de auditoria.
Prestadores e subcontratantes
Recorremos a prestadores técnicos para o funcionamento dos nossos serviços. Todos estão sujeitos a obrigações contratuais estritas (Artigo 28.º do RGPD):
Hetzner Online GmbH
Alojamento do site web
Make (ex-Integromat)
Automatização de formulários
Brevo (ex-Sendinblue)
Envio de emails e newsletters
Stripe
Processamento de pagamentos
Esta lista é atualizada regularmente. Última revisão: janeiro de 2026.
Parceiros (com o seu consentimento)
Com o seu consentimento explícito, determinados dados podem ser partilhados com os nossos parceiros:
- •Cooperativas agrícolas das quais seja membro
- •Autarquias locais parceiras (apenas dados agregados)
- •Organismos de certificação (para verificação)
Autoridades e obrigações legais
Os seus dados podem ser comunicados às autoridades competentes (administração fiscal, autoridades judiciais) mediante pedido legal ou no âmbito das nossas obrigações legais.
- •Administração fiscal (controlos)
- •Autoridades judiciais (requisições)
- •CNIL (controlos)
- •Autoridades de regulação alimentar (DGCCRF, DDPP)
Venda de dados
NUNCA vendemos os seus dados pessoais a terceiros. Não os partilhamos para fins publicitários sem o seu consentimento explícito.
Transferências fora da UE
Alguns dos nossos prestadores de serviços estão localizados fora da União Europeia, principalmente nos Estados Unidos. Nestes casos, garantimos que são implementadas as garantias adequadas em conformidade com o capítulo V do RGPD:
Garantias implementadas
Cláusulas Contratuais-Tipo (CCT)
Cláusulas aprovadas pela Comissão Europeia (decisão 2021/914) assinadas com os nossos prestadores americanos
Medidas adicionais
Cifragem dos dados em trânsito e em repouso, pseudonimização sempre que possível, avaliação de impacto das transferências (TIA)
Alojamento na UE preferencial
Privilegiamos sistematicamente os prestadores que alojam os dados na UE
Países abrangidos
Estados Unidos
Stripe, Airtable
CCT + medidas adicionaisPode obter uma cópia das cláusulas contratuais-tipo ou das garantias implementadas contactando-nos através de [email protected]
Decisões Automatizadas e Definição de Perfis
Em conformidade com o artigo 22.º do RGPD, informamo-lo sobre os tratamentos que envolvem decisões automatizadas:
Cálculo da Pontuação de Rastreabilidade
Calculamos automaticamente uma pontuação de rastreabilidade (de A a E) com base nos dados que fornece: completude das informações, certificações, cobertura da cadeia, etc.
Esta pontuação é informativa e não produz efeitos jurídicos significativos. Não afeta a sua capacidade de utilizar o serviço.
Pode contestar esta pontuação contactando a nossa equipa de apoio.
Atribuição de Pontos VRT
Os pontos são calculados automaticamente segundo um algoritmo que tem em conta: distância percorrida, certificações, tipo de produto, cadeia de frio, etc.
Este cálculo afeta o número de pontos que acumula.
Pode solicitar uma revisão manual se considerar que foi cometido um erro.
Ausência de Decisão Exclusivamente Automatizada
Nenhuma decisão que produza efeitos jurídicos ou que o afete significativamente é tomada de forma exclusivamente automatizada. A intervenção humana é sempre possível mediante pedido.
Os seus direitos
Em conformidade com o RGPD, dispõe dos seguintes direitos sobre os seus dados pessoais:
Direito de acesso (Art. 15 RGPD)
Obter confirmação de que dados seus são tratados e receber uma cópia.
Direito de retificação (Art. 16 RGPD)
Fazer corrigir dados inexatos ou completar dados incompletos.
Direito ao apagamento (Art. 17 RGPD)
Solicitar a supressão dos seus dados em determinadas condições ("direito ao esquecimento").
Direito à limitação (Art. 18 RGPD)
Solicitar a limitação do tratamento dos seus dados em determinadas circunstâncias.
Direito à portabilidade (Art. 20 RGPD)
Receber os seus dados num formato estruturado e transmiti-los a outro responsável.
Direito de oposição (Art. 21 RGPD)
Opor-se ao tratamento dos seus dados, nomeadamente para fins de prospeção comercial.
Direito de retirar o consentimento
Retirar a qualquer momento o seu consentimento para os tratamentos baseados nele.
Direito de definir diretivas post-mortem
Definir diretivas relativas à conservação e comunicação dos seus dados após o seu falecimento.
Como exercer os seus direitos
Para exercer os seus direitos, dispõe de várias opções:
Em linha
Através da sua área pessoal, secção «Os meus dados» (para os utilizadores com conta)
Por correio eletrónico
Escrevendo para [email protected]
Por correio postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, França
Por favor, junte uma cópia de um documento de identificação para qualquer pedido.
Comprometemo-nos a responder ao seu pedido no prazo de um mês. Este prazo pode ser prorrogado por dois meses tendo em conta a complexidade e o número de pedidos.
O exercício dos seus direitos é gratuito. Todavia, em caso de pedidos manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, podemos exigir o pagamento de uma taxa razoável ou recusar dar-lhes seguimento.
Reclamação junto da CNPD
Se considerar que o tratamento dos seus dados pessoais constitui uma violação dos seus direitos, pode apresentar uma reclamação junto da Comissão Nacional de Proteção de Dados (CNPD):
CNPD - Av. D. Carlos I, 134 - 1º, 1200-651 Lisboa
www.cnpd.pt
Pode igualmente apresentar uma queixa em linha no sítio da CNIL.
Cookies e rastreadores
O nosso site utiliza cookies e tecnologias semelhantes (pixels, web beacons, armazenamento local). Um cookie é um pequeno ficheiro de texto armazenado no seu dispositivo (computador, smartphone, tablet) durante a visita a um site.
O que é um cookie?
Um cookie permite que o site reconheça o seu navegador e memorize determinadas informações (preferências, sessão, etc.). Os cookies não podem executar programas nem transmitir vírus.
Tipos de cookies utilizados
Cookies estritamente necessários
Indispensáveis ao funcionamento do site
Sessão do utilizador, preferências de idioma, segurança (CSRF), carrinho
Cookies de desempenho/analíticos
Compreender como os visitantes utilizam o site
Páginas vistas, duração das visitas, percurso do utilizador, erros encontrados
Cookies de preferências
Memorizar as suas escolhas para personalizar a experiência
Idioma, moeda, tema escuro/claro, visualização preferida
O que NÃO utilizamos
- Cookies publicitários ou de segmentação
- Rastreadores de redes sociais (Facebook Pixel, etc.)
- Google Analytics ou qualquer serviço de rastreamento da Google
- Cookies de terceiros para fins de marketing
Gestão dos cookies
Pode alterar as suas preferências de cookies a qualquer momento:
Banner de consentimento
Acessível através do link «Gerir cookies» no rodapé de cada página
Definições do navegador
Pode configurar o seu navegador para recusar todos os cookies ou para o avisar quando um cookie for enviado
Links para as definições dos principais navegadores
A desativação de determinados cookies pode afetar o funcionamento do site e a sua experiência de navegação.
Segurança dos dados
Implementamos medidas técnicas e organizacionais adequadas para proteger os seus dados pessoais contra a destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado:
Medidas técnicas
- •Cifragem dos dados em trânsito (HTTPS/TLS 1.3)
- •Cifragem dos dados sensíveis em repouso (AES-256)
- •Hashing das palavras-passe (bcrypt com salt)
- •Autenticação forte para o acesso aos sistemas (2FA obrigatória)
- •Firewall aplicacional (WAF) e proteção DDoS
- •Monitorização e deteção de intrusões (IDS/IPS)
- •Cópias de segurança cifradas diárias com teste de restauração mensal
- •Ambientes de desenvolvimento, teste e produção separados
Medidas organizacionais
- •Controlo de acesso estrito baseado no princípio do menor privilégio
- •Rastreabilidade dos acessos aos dados (registos de auditoria)
- •Formação regular das equipas em matéria de segurança e proteção de dados
- •Política de gestão de incidentes de segurança
- •Revisão regular dos direitos de acesso
- •Cláusulas de confidencialidade para todos os colaboradores e prestadores
Testes e auditorias
Realizamos regularmente testes de segurança (testes de intrusão, análises de vulnerabilidades) e auditorias das nossas práticas.
Violação de dados
Em caso de violação de dados pessoais suscetível de causar risco para os seus direitos e liberdades, comprometemo-nos a notificar a CNPD no prazo de 72 horas e a informá-lo no mais breve prazo se o risco for elevado.
- Notificamos a CNIL no prazo de 72 horas após a tomada de conhecimento da violação
- Informamo-lo com a maior brevidade possível se o risco para os seus direitos e liberdades for elevado
- Documentamos qualquer violação no nosso registo interno
- Tomamos as medidas para remediar a violação e limitar as suas consequências
Especificidades relativas à blockchain
A VeraTrace utiliza a tecnologia blockchain para certificar os dados de rastreabilidade. Eis o que deve saber:
O que é armazenado na blockchain
- •Apenas hashes criptográficos (impressões digitais)
- •Carimbos temporais dos registos
- •Identificadores de lotes (anonimizados)
O que NÃO é armazenado na blockchain
- •Os seus dados pessoais (nome, morada, etc.)
- •Os detalhes comerciais (preços, volumes)
- •Os dados sensíveis da sua exploração
Imutabilidade
Os hashes registados na blockchain são, por natureza, imutáveis e não podem ser eliminados. Contudo, esses hashes não permitem reconstituir os seus dados pessoais. A eliminação dos seus dados nos nossos sistemas torna esses hashes inutilizáveis.
Direito ao apagamento e blockchain
Se exercer o seu direito ao apagamento, eliminamos todos os seus dados pessoais das nossas bases de dados. Os hashes blockchain subsistem, mas deixam de poder ser associados à sua identidade e não permitem reconstituir os seus dados.
Modificações da política
Reservamo-nos o direito de modificar esta política de privacidade a qualquer momento. Em caso de modificação substancial, informá-lo-emos por email ou por uma notificação visível no nosso site. A data da última atualização está indicada no topo deste documento.
Como será notificado
- •Notificação por email para alterações substanciais (utilizadores com conta)
- •Banner informativo visível no site durante 30 dias
- •Atualização da data da «última atualização» no topo deste documento
A utilização continuada dos nossos serviços após a publicação das alterações constitui aceitação da nova política.
O histórico das versões está disponível mediante pedido.
Contacte-nos
Para qualquer questão relativa à presente política de privacidade ou ao tratamento dos seus dados pessoais:
Encarregado da Proteção de Dados (DPO)
Questões RGPD, exercício dos direitos, reclamações
Endereço postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Carta registada para pedidos formais
Comprometemo-nos a responder a qualquer pedido no prazo de 5 dias úteis para uma confirmação inicial, e no prazo legal de um mês para uma resposta completa.