Política de Privacidade
Última atualização: Maio de 2026
1. Visão Geral
O StudioBook (“nós”) leva a proteção dos teus dados pessoais a sério. Esta política de privacidade explica que dados recolhemos, porque os processamos e que direitos tens ao abrigo do Regulamento Geral de Proteção de Dados (RGPD).
2. Responsável pelo Tratamento
Marcel Jurna
Am Glockenberg 52
51515 Kürten, Alemanha
Telefone: +49 1525 3619145
E-Mail: hello@studiobook.app
3. Dados que Recolhemos
3.1 Dados da Conta (Proprietários de Estúdio)
Ao criar uma conta StudioBook, recolhemos:
- Nome completo
- Endereço de email
- Nome do estúdio e configurações
- Preferência de idioma
3.2 Dados da Conta (Membros)
Quando os membros criam uma conta através da página de reservas de um estúdio:
- Nome completo
- Endereço de email
- Conta criada via email ou Google OAuth
3.3 Dados de Reserva de Convidados
Para reservas de aulas avulsas sem conta (checkout de convidado):
- Nome completo
- Endereço de email
- Consentimento de marketing, separadamente por estúdio (sim/não, com data/hora do consentimento)
É criada automaticamente uma conta limitada para processar a reserva. As contas de convidados são anonimizadas 12 meses após a última reserva, caso não sejam convertidas em conta completa. Podes converter a tua conta de convidado em conta completa a qualquer momento através do link no email de confirmação da reserva.
3.4 Dados de Reserva
Quando os membros reservam aulas:
- Histórico de reservas (aulas reservadas, cancelamentos, entradas em lista de espera)
- Registos de presença
- Utilização de créditos/planos
3.5 Dados de Pagamento
- As transações de pagamento são processadas inteiramente pelo Stripe. Não armazenamos números de cartão de crédito, dados bancários ou outras credenciais de pagamento nos nossos servidores.
- Armazenamos uma referência ao ID de cliente/conta Stripe para reconciliação.
3.6 Dados de Utilização
No nosso site de marketing (studiobook.app) utilizamos o Plausible Analytics para perceber como os visitantes encontram e usam as nossas páginas. O Plausible é uma ferramenta de análise web amiga da privacidade e sem cookies. Dados recolhidos:
- URL da página, referrer, página de entrada/saída
- Browser, sistema operativo, tipo de dispositivo, país (derivado do IP — o IP é descartado em seguida e nunca é gravado em disco)
- Um indicador de visitante anónimo rotativo diariamente (sem identificador persistente, sem cookies, sem rastreamento entre sites)
Não são partilhados dados pessoais com terceiros. Operamos a nossa própria instância de Plausible em infraestrutura na UE (Hetzner Online GmbH, Alemanha), pelo que os dados dos visitantes nunca saem da UE. Base legal: Art. 6(1)(f) RGPD (interesse legítimo na medição da eficácia do marketing). Podes opor-te a qualquer momento contactando hello@studiobook.app.
O Plausible não é executado no painel do StudioBook (app.studiobook.app) nem nas páginas públicas de reserva de qualquer estúdio — só é carregado no site de marketing (studiobook.app).
3.7 Acesso do Operador da Plataforma
Como operador da plataforma, o StudioBook tem acesso a estatísticas ao nível do estúdio para operação do serviço, suporte e melhoria do produto. Isto inclui: número de membros, número de reservas, estado da subscrição e dados de receita. Base legal: Art. 6(1)(b) RGPD (execução de contrato) e Art. 6(1)(f) RGPD (interesse legítimo). Estes dados são utilizados exclusivamente para operar e melhorar a plataforma e nunca são partilhados com terceiros para fins de marketing.
3.8 Categorias Especiais de Dados (Dados de Saúde — Art. 9 RGPD)
Os proprietários de estúdios podem utilizar formulários de admissão para recolher informações relacionadas com a saúde dos seus membros (por exemplo, lesões, condições médicas, alergias, limitações físicas). Estes dados constituem dados pessoais de “categoria especial” ao abrigo do Art. 9 do RGPD.
- Responsável: O proprietário do estúdio é o responsável pelo tratamento destes dados. Determina que informações de saúde solicitar e como as utilizar.
- Subcontratante: O StudioBook armazena e processa estes dados em nome do proprietário do estúdio como subcontratante (Art. 28 RGPD).
- Base legal: Art. 9(2)(a) RGPD — consentimento explícito do titular dos dados. Ao preencher um formulário de admissão, o membro consente explicitamente o tratamento das informações de saúde solicitadas pelo estúdio.
- Acesso: Apenas o proprietário do estúdio e o seu pessoal podem visualizar as respostas dos formulários de admissão. O pessoal do StudioBook não acede a estes dados, exceto quando necessário para suporte técnico com autorização explícita do proprietário do estúdio.
- Conservação: As respostas dos formulários de admissão são conservadas durante a duração da adesão ativa mais 30 dias e, em seguida, permanentemente eliminadas.
- Os teus direitos: Podes solicitar acesso, retificação ou eliminação dos dados do teu formulário de admissão a qualquer momento, contactando diretamente o estúdio ou eliminando a tua conta StudioBook.
4. Base Legal para o Processamento
Processamos dados pessoais com base nas seguintes bases legais:
- Art. 6(1)(b) RGPD — Execução de contrato: fornecimento do serviço de reservas e gestão de estúdio, processamento de pagamentos, envio de emails transacionais.
- Art. 6(1)(f) RGPD — Interesse legítimo: melhoria do produto com base em padrões de utilização agregados, garantia da segurança da plataforma.
- Art. 6(1)(a) RGPD — Consentimento: quando obtido explicitamente (por exemplo, comunicações de marketing, se aplicável).
5. Serviços de Terceiros (Subcontratantes)
Utilizamos os seguintes serviços de terceiros para operar o StudioBook. Todos os subcontratantes têm Acordos de Processamento de Dados (Art. 28 RGPD) em vigor.
| Serviço | Finalidade | Dados partilhados | Localização |
|---|---|---|---|
| Supabase | Base de dados, autenticação, edge functions | Dados da conta, dados de reserva | AWS UE (Frankfurt) |
| Stripe | Processamento de pagamentos (subscrições SaaS + pagamentos de membros via Stripe Connect) | Email, detalhes de pagamento, IDs de conta Stripe | UE/EUA (DPA Stripe) |
| Resend | Entrega de email transacional | Endereço de email, detalhes de reserva, nome do estúdio | UE / EUA (Resend DPA) |
| Vercel | Alojamento e implementação da aplicação | Endereço IP, metadados de requisição | UE / EUA (Vercel DPA) |
| Autenticação OAuth (Iniciar sessão com Google) | Email, nome, foto de perfil | UE / EUA (Google DPA, certificado DPF) | |
| Plausible Analytics (auto-alojado) | Análise web amiga da privacidade — apenas site de marketing (studiobook.app) | URL da página, referrer, browser/OS, país (sem cookies, sem identificadores persistentes) | Alemanha (servidor próprio) |
| Hetzner Online GmbH | Infraestrutura de alojamento para a nossa instância Plausible auto-alojada | Os mesmos dados que o Plausible acima, armazenados num servidor por nós controlado | Alemanha (DPA Hetzner) |
Stripe Connect
Os proprietários de estúdio conectam a sua própria conta Stripe via Stripe Connect Express. Os pagamentos dos membros vão diretamente para a conta Stripe conectada do proprietário. O StudioBook atua como plataforma, mas não detém nem processa os fundos de pagamento dos membros.
6. Retenção de Dados
Conservamos dados pessoais apenas pelo tempo necessário para os fins descritos nesta política ou conforme exigido por lei. Períodos de conservação específicos:
| Categoria de Dados | Período de Conservação | Base Legal |
|---|---|---|
| Dados da conta (nome, e-mail, configurações) | Duração da conta ativa + 30 dias após eliminação | Art. 6(1)(b) RGPD |
| Contas de convidado (nome, e-mail — sem palavra-passe) | Anonimizadas 12 meses após a última reserva, caso não sejam convertidas em conta completa | Art. 6(1)(b) RGPD, Art. 5(1)(e) RGPD |
| Registos de reserva (reservas, cancelamentos, presença) | Duração da conta ativa. Eliminados imediatamente após eliminação da conta | Art. 6(1)(b) RGPD |
| Dados de pagamento/transação (referências Stripe, montantes, datas) | 10 anos a partir do fim do ano civil da transação | Art. 6(1)(c) RGPD, § 147 AO, § 257 HGB |
| Registos de e-mail/notificações | 90 dias (dados completos), depois anonimização; eliminação após 1 ano | Art. 6(1)(f) RGPD |
| Entradas na lista de espera | Até resolução + 7 dias após a data da aula | Art. 6(1)(b) RGPD |
| Respostas do formulário de inscrição | Duração da adesão ativa + 30 dias | Art. 6(1)(b) RGPD |
| Saldos de créditos/adesões | Duração da conta ativa; registos de compra conservados 10 anos | Art. 6(1)(b), Art. 6(1)(c) RGPD |
| Dados de análise | Indefinido (apenas anonimizados e agregados) | Considerando 26 RGPD |
| Estúdios abandonados | 12 meses após cancelamento da subscrição, com aviso prévio aos 6 e 9 meses. Dados fiscalmente relevantes conservados conforme acima | Art. 5(1)(e) RGPD |
Quando eliminares a tua conta, todos os dados pessoais são eliminados imediatamente. Os registos de pagamento e transação exigidos por lei (referências Stripe, montantes, datas) são conservados durante 10 anos conforme § 147 AO / § 257 HGB. Esta obrigação legal prevalece sobre o direito ao apagamento (Art. 17(3)(b) RGPD).
Os dados em cópias de segurança encriptadas são eliminados através da rotação normal de backups no prazo de 30 dias.
7. Os Teus Direitos
Ao abrigo do RGPD, tens os seguintes direitos:
- Direito de acesso (Art. 15) — obter uma cópia dos teus dados pessoais
- Direito de retificação (Art. 16) — corrigir dados inexatos
- Direito ao apagamento (Art. 17) — eliminar a tua conta e todos os dados associados
- Direito à limitação (Art. 18) — restringir o processamento sob certas condições
- Direito à portabilidade (Art. 20) — receber os teus dados num formato legível por máquina
- Direito de oposição (Art. 21) — opor-se ao processamento baseado em interesse legítimo
- Direito de retirar o consentimento (Art. 7(3)) — retirar o consentimento a qualquer momento (ex.: emails de marketing). A retirada não afeta a licitude do processamento anterior. O consentimento de marketing é dado e retirado separadamente para cada estúdio — cada estúdio é um responsável independente, pelo que consentir (ou cancelar a subscrição) num estúdio não afeta qualquer outro. Podes retirar o consentimento de um estúdio a qualquer momento através do link de cancelamento em qualquer um dos seus emails de marketing, ou por estúdio nas definições da tua conta.
Para exercer estes direitos, contacta: hello@studiobook.app
Tens também o direito de apresentar uma reclamação a uma autoridade de controlo. A autoridade competente para nós é:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4, 40213 Düsseldorf
https://www.ldi.nrw.de
8. Cookies
O StudioBook utiliza apenas cookies tecnicamente necessários:
- Sessão de autenticação — mantém o teu estado de login
- Preferência de idioma — armazena o idioma escolhido (localStorage, não um cookie)
Não utilizamos cookies de publicidade ou rastreamento. A ferramenta de análise web que usamos no nosso site de marketing (Plausible — ver § 3.5) é sem cookies por design e não armazena qualquer identificador no teu dispositivo. Não é necessário um banner de consentimento de cookies, pois apenas utilizamos cookies essenciais (isentos nos termos do § 25(2) TDDDG).
9. Transferência de Dados para Países Terceiros
Alguns dos nossos subcontratantes (Stripe, Resend, Vercel) podem processar dados nos Estados Unidos. Estas transferências são protegidas por:
- Cláusulas Contratuais Tipo da UE (SCCs)
- O Quadro de Privacidade de Dados UE-EUA (quando aplicável)
10. Tomada de Decisão Automatizada
Não utilizamos tomada de decisão automatizada nem profiling na aceção do Art. 22 do RGPD.
11. Funções de Responsável e Subcontratante
O StudioBook opera numa dupla função:
- StudioBook como responsável pelo tratamento: Para os dados da tua conta StudioBook (autenticação, credenciais, faturação SaaS, análise da plataforma), o StudioBook é o responsável pelo tratamento nos termos do Art. 4(7) RGPD.
- Proprietário do estúdio como responsável, StudioBook como subcontratante: Para dados pessoais de membros recolhidos através das páginas de reserva do estúdio (histórico de reservas, presença, créditos, comunicações do estúdio), o proprietário do estúdio é o responsável e o StudioBook atua como subcontratante nos termos do Art. 28 RGPD.
Os pagamentos dos membros via Stripe Connect vão diretamente para a conta Stripe do proprietário. O StudioBook não detém nem processa pagamentos de membros.
O nosso Acordo de Processamento de Dados está disponível em Acordo de Processamento de Dados.
12. Alterações
Podemos atualizar esta política periodicamente. Alterações significativas serão comunicadas por email aos utilizadores registados com pelo menos 14 dias de antecedência.