Skip to content
Thrifted.mt LogoTHRIFTED.mt

Política de Privacidade

Última atualização: março de 2026

1. Introdução

Bem-vindo ao Thrifted.mt. Respeitamos a sua privacidade e estamos comprometidos em proteger seus dados pessoais. Esta política de privacidade explica como cuidamos dos seus dados pessoais quando você visita nosso site e informa sobre seus direitos de privacidade e como a lei o protege.

2. Controlador de dados

O responsável pelo tratamento de todos os dados pessoais processados através do Thrifted.mt é:

  • Entidade: Joshua Fielding (empresário individual), atuando sob o nome comercial Thrifted.mt
  • Endereço: 53 Triq Il-Lunzjata, Apartamento 3, Julian Flats, San Gwann SGN 1312, Malta
  • E-mail: [email protected]

Caso tenha alguma dúvida sobre como seus dados pessoais são tratados, entre em contato conosco pelo endereço acima.

3. Dados que coletamos

Podemos coletar, utilizar, armazenar e transferir diferentes tipos de dados pessoais sobre você, agrupados da seguinte forma:

  • Dados de identidade: nome, sobrenome, nome de usuário ou identificador semelhante. Para vendedores submetidos à verificação de identidade, isso também inclui imagens de documentos de identidade emitidos pelo governo (ver Seção 5).
  • Dados de contato: endereço de e-mail, endereço de entrega e número de telefone.
  • Dados financeiros: número da conta bancária (IBAN) e dados do cartão de pagamento. Seu IBAN é criptografado quando não está em uso e é utilizado apenas para processar saques de ganhos (consulte a Seção 5a). Os dados do cartão de pagamento são processados exclusivamente pela Stripe e nunca são armazenados por nós.
  • Dados de transações: detalhes sobre pagamentos recebidos e efetuados por você, bem como informações sobre os produtos que você comprou ou vendeu em nossa plataforma.
  • Dados técnicos: endereço IP, dados de login, tipo e versão do navegador, configuração de fuso horário e localização, sistema operacional e plataforma.
  • Dados do perfil: nome de usuário, senha, compras ou pedidos feitos por você, interesses, preferências e comentários.
  • Conteúdo do anúncio: fotos do produto, descrições, preços e outras informações que você fornece ao criar um anúncio.

Recolhemos apenas os dados pessoais necessários para os fins descritos na presente política. Sempre que possível, utilizamos a anonimização ou a pseudonimização para reduzir a identificabilidade dos dados.

4. Como utilizamos seus dados e base jurídica

Só utilizamos seus dados pessoais quando a lei nos permite. A base legal (nos termos do Art. 6.º do RGPD) para cada tipo de tratamento é:

  • Criação e autenticação de conta: Execução do contrato (Art. 6.º, n.º 1, alínea b)).
  • Processamento de pedidos e pagamentos: Execução do contrato (Art. 6.º, n.º 1, alínea b)).
  • Verificação de identidade dos vendedores: execução do contrato (Art. 6.º, n.º 1, alínea b)) e interesse legítimo na prevenção de fraudes (Art. 6.º, n.º 1, alínea f)).
  • Geração de anúncios assistida por IA (Gemini/OpenAI): Interesse legítimo na qualidade da plataforma (Art. 6.º, n.º 1, alínea f)). O processamento por IA das imagens dos seus anúncios ocorre apenas quando você utiliza explicitamente o preenchimento automático por IA ou o upload em massa.
  • Detecção automatizada de imagens de banco de imagens: interesse legítimo na integridade do mercado (Art. 6.º, n.º 1, alínea f)). Ver Secção 6a.
  • Comunicações da plataforma (e-mails, notificações): Execução do contrato (Art. 6.º, n.º 1, alínea b)) para mensagens transacionais; interesse legítimo (Art. 6.º, n.º 1, alínea f)) para atualizações da plataforma.
  • Análise (Google Analytics, PostHog): Consentimento (Art. 6.º, n.º 1, alínea a)), somente após o consentimento para o uso de cookies.
  • Prevenção de fraudes, tratamento de litígios, segurança: interesse legítimo (Art. 6.º, n.º 1, alínea f)).
  • Conformidade legal e regulatória (conservação de registros financeiros): Obrigação legal (Art. 6.º, n.º 1, alínea c)).

5. Verificação de identidade

Para garantir a segurança do mercado, exigimos que os vendedores comprovem sua identidade antes de colocar itens à venda.

  • Coleta: Coletamos imagens de documentos de identificação emitidos pelo governo (passaporte, carteira de identidade, carteira de motorista). Você também fornece consentimento explícito nos termos do GDPR no momento do envio, e é registrado um carimbo de data e hora desse consentimento.
  • Processamento exclusivamente por revisão humana: Toda a verificação de identidade é realizada exclusivamente por um membro da equipe. Não utilizamos bots, modelos de IA ou processos automatizados de tomada de decisão para processar, revisar, aprovar ou rejeitar documentos de identidade.
  • Armazenamento temporário: Após o envio, seu documento é armazenado em um espaço temporário seguro e será excluído automaticamente após 24 horas.
  • Criptografia e arquivamento: Se aprovado, o documento é criptografado usando AES-256-GCM e transferido para um bucket de arquivo restrito. Se rejeitado, o documento é excluído imediatamente.
  • Retenção: Os documentos de identificação arquivados são mantidos por até 180 dias a partir da verificação e, em seguida, excluídos permanentemente. Você pode solicitar a exclusão antecipada a qualquer momento pelo e-mail [email protected].
  • Registros de auditoria: Os registros de acesso relacionados às ações de verificação de identidade são mantidos por 7 anos para fins de conformidade legal e prevenção de fraudes. Os registros contêm apenas metadados, nunca imagens dos documentos.
  • Base jurídica: O tratamento é necessário para a execução do contrato e para o interesse legítimo na prevenção de fraudes.

5a. IBAN (número da conta bancária)

Para permitir que os vendedores retirem seus ganhos, coletamos e armazenamos um Número de Conta Bancária Internacional (IBAN).

  • Informações: Seu IBAN é inserido voluntariamente no perfil da sua conta. Ele é necessário apenas para saques.
  • Criptografia: Seu IBAN é criptografado com AES-256-GCM imediatamente após o salvamento e armazenado de forma criptografada.
  • Acesso: O IBAN descriptografado está acessível apenas aos funcionários autorizados da Thrifted.mt para o processamento de saques.
  • Armazenamento: Seu IBAN fica armazenado enquanto estiver salvo no seu perfil. Você pode atualizá-lo ou removê-lo a qualquer momento.
  • Base jurídica: O tratamento é necessário para a execução do contrato (atendimento ao seu pedido de pagamento pelas vendas).

6. Cookies e consentimento

Utilizamos cookies para melhorar a sua experiência.

  • Cookies estritamente necessários: necessários para o funcionamento do site (por exemplo, sessões de login e segurança). Estes não requerem consentimento.
  • Cookies de autenticação (Firebase): Utilizados para manter a sua sessão de início de sessão e autenticar pedidos de API. Estes são estritamente necessários e não requerem consentimento.
  • Cookies de análise (Google Analytics, PostHog): Utilizados para compreender como você interage com o site e melhorar a experiência da plataforma. Esses cookies não são instalados a menos que você dê consentimento explícito por meio do nosso banner de cookies. Todos os dados do PostHog são processados na UE.

6a. Tomada de decisão automatizada

Utilizamos o processamento automatizado de forma limitada nas seguintes áreas:

  • Detecção de imagens de banco de imagens: as imagens dos anúncios são automaticamente avaliadas quanto à probabilidade de serem imagens de banco de imagens. Se a pontuação ultrapassar um limite, o anúncio poderá ser ocultado para revisão manual ou rejeitado. Você pode contestar qualquer decisão de moderação automática pelo e-mail [email protected].
  • Geração de anúncios por IA: Ao usar o preenchimento automático por IA ou o upload em massa, suas imagens podem ser enviadas ao Google Gemini (ou ao sistema alternativo da OpenAI) para sugerir conteúdo para os anúncios. As sugestões têm caráter meramente auxiliar e devem ser revisadas por você antes da publicação.

Nos termos do Art. 22 do RGPD, você tem o direito de não ser sujeito a uma decisão baseada exclusivamente no tratamento automatizado que produza efeitos jurídicos ou de importância semelhante. Nos casos em que for utilizada moderação automatizada, está disponível uma revisão humana mediante solicitação.

7. Serviços de terceiros e transferências internacionais

Recorremos a prestadores de serviços terceirizados para operar a plataforma. Cada um deles atua como subcontratante nos termos do Art. 28 do RGPD:

  • Stripe (EUA/UE): Processamento de pagamentos. O Stripe trata os dados de cartões de pagamento de acordo com os termos da norma PCI-DSS. Não armazenamos números de cartão.
  • Brevo (França/UE): Envio de e-mails transacionais para confirmações, notificações e comunicações relacionadas à conta.
  • Cloudflare (EUA/UE): Hospedagem web, proteção contra ataques DDoS e armazenamento de imagens (R2).
  • Google (Firebase Auth e Gemini AI) (EUA/UE): Autenticação e geração de listagens por IA.
  • OpenAI (EUA): Provedor alternativo de IA para geração de listagens.
  • Google Analytics (EUA/UE): Análise do uso do site, somente com consentimento explícito.
  • PostHog (UE): Análise de produto e rastreamento de eventos para compreender o comportamento dos utilizadores e o desempenho da plataforma. Os dados são alojados na UE (Frankfurt). O processamento baseia-se no consentimento explícito (Art. 6.º(1)(a)).
  • Google Cloud Translation (EUA/UE): Tradução automática de mensagens de chat e conteúdo de listagem. O texto da mensagem é enviado para a API de tradução do Google Cloud para processamento. As traduções são armazenadas em cache na nossa base de dados para reduzir a repetição de chamadas à API.
  • MaltaPost (Malta): Geração de etiquetas de envio e seguimento de encomendas para encomendas que utilizem o método de entrega por ponto de recolha. A MaltaPost recebe os nomes do comprador e do vendedor, os endereços de entrega e os números de telefone necessários para efetuar o envio.
  • OpenSanctions (UE): Controlo do branqueamento de capitais e das sanções. O nome e a data de nascimento podem ser verificados nas listas de sanções internacionais e nas bases de dados de pessoas politicamente expostas (PEP) para cumprir a Lei de Prevenção do Branqueamento de Capitais de Malta.

Quando os dados são transferidos para fora do EEE, contamos com medidas de proteção adequadas, tais como o Acordo de Proteção de Dados UE-EUA, as Cláusulas Contratuais Padrão (SCCs) ou o consentimento explícito, quando aplicável.

Os acordos de processamento de dados (DPA) com cada processador estão disponíveis mediante pedido para [email protected].

8. Segurança dos dados

Implementamos medidas de segurança adequadas para evitar que seus dados pessoais sejam acidentalmente perdidos, utilizados, acessados de forma não autorizada, alterados ou divulgados. O acesso é restrito ao pessoal e a terceiros que tenham necessidade de conhecer essas informações por motivos comerciais.

8a. Notificação de violação de dados

Na eventualidade de uma violação de dados pessoais que represente um risco para os seus direitos e liberdades, notificaremos o Comissário para a Informação e Proteção de Dados de Malta (IDPC) no prazo de 72 horas após tomarmos conhecimento da violação, conforme exigido pelo artigo 33. Se a violação for suscetível de resultar num risco elevado para os seus direitos e liberdades, notificá-lo-emos diretamente sem demora injustificada, tal como exigido pelo artigo 34º do RGPD.

9. Seus direitos

Nos termos do RGPD, você tem o direito de:

  • Solicite acesso aos seus dados pessoais.
  • Solicite a correção dos seus dados pessoais.
  • Solicite o apagamento dos seus dados pessoais (direito ao esquecimento).
  • Oponha-se ao tratamento dos seus dados pessoais.
  • Solicitar a limitação do tratamento dos seus dados pessoais.
  • Solicite a transferência dos seus dados pessoais (portabilidade de dados).
  • Retirar o consentimento a qualquer momento nos casos em que nos baseamos no consentimento.
  • Apresentar uma reclamação: Você pode apresentar uma reclamação junto ao Comissário de Informação e Proteção de Dados de Malta (IDPC) caso acredite que seus dados pessoais tenham sido tratados de forma ilegal. Contato: idpc.org.mtou por correio, endereçado ao Comissário para a Informação e Proteção de Dados, Segundo Andar, Airways House, High Street, Sliema SLM 1549, Malta.

10. Exclusão da conta e dados retidos

Como solicitar a exclusão

  1. Faça login e abra sua página de perfil.
  2. Vá para a seção "Zona de Perigo".
  3. Selecione "Solicitar exclusão da conta".
  4. Digite DELETE e confirme.

Se você não conseguir acessar sua conta, envie um e-mail [email protected] a partir do endereço de e-mail associado à sua conta.

O que apagamos

  • Dados do perfil (nome, nome de usuário, avatar, localização, data de nascimento, IBAN).
  • Dados e documentos de identificação.
  • Itens salvos e notificações da conta.
  • Visibilidade dos anúncios públicos (os anúncios são removidos das visualizações do marketplace).

O que podemos armazenar e por quê

  • Registros financeiros: saldos das carteiras, livro-razão de transações das carteiras e registros de pedidos/pagamentos por um período de 10 anos a partir da data da transação.
  • Registros de fraudes/contestações: registros de comunicação/moderação do Marketplace (incluindo mensagens, ofertas e denúncias) por até 6 anos após o encerramento da conta, ou por um período mais longo, quando exigido por lei.
  • Registros de segurança/auditoria: metadados de segurança e auditoria por até 7 anos.
  • Base jurídica para a conservação: Obrigação legal (RGPD, Art. 6.º, n.º 1, alínea c)) e interesses legítimos (RGPD, Art. 6.º, n.º 1, alínea f)).

As contas excluídas são desativadas e não podem continuar a ser utilizadas normalmente na plataforma sem uma análise da equipe de suporte.

11. Entre em contato conosco

Se você tiver alguma dúvida sobre esta política de privacidade ou sobre nossas práticas de privacidade, entre em contato conosco pelo e-mail [email protected].

Preferências de cookies

Gerencie seu consentimento para cookies de análise. As alterações nas suas preferências entram em vigor imediatamente.

Situação atual:Não definido