Política de Proteção de Dados
Última atualização: 19 de junho de 2026
Esta Política descreve o compromisso do GoOut com a proteção dos dados pessoais e as medidas que adotamos para os tratar de forma lícita e segura, ao abrigo do RGPD e da Lei n.º 58/2019. Complementa a Política de Privacidade, que detalha que dados tratamos e com que finalidades.
1. Responsável pelo tratamento
Luís Samuel Coelho de Almeida, NIF 263945995, Rua do Ribeiro, 269, Crastovães, 3750-775 Águeda (Portugal). Ponto de contacto para proteção de dados: geral@goout.world.
2. Princípios que seguimos
- Licitude, lealdade e transparência — tratamos dados com base legal e informamos-te de forma clara.
- Limitação das finalidades — só usamos os dados para os fins comunicados.
- Minimização — recolhemos apenas o necessário.
- Exatidão — mantemos os dados atualizados e permitimos a sua correção.
- Limitação da conservação — guardamos os dados apenas pelo tempo necessário.
- Integridade e confidencialidade — protegemos os dados com medidas adequadas.
3. Medidas de segurança
- Palavras-passe guardadas com algoritmos de hash (nunca em texto simples).
- Comunicações encriptadas por HTTPS/TLS.
- Proteção contra ataques comuns (CSRF, cabeçalhos de segurança, política de segurança de conteúdo).
- Controlo de acessos: cada utilizador só acede às viagens de que é membro.
- Dados de pagamento tratados pela Stripe — não armazenamos dados de cartões.
- Documentos carregados (ex.: passaportes) são cifrados em repouso (AES-256-GCM) e só acessíveis a membros da viagem, através de ligação autenticada.
- Princípio do menor privilégio e registos de segurança para deteção de acessos indevidos.
4. Subcontratantes e transferências internacionais
Recorremos a prestadores que tratam dados por nossa conta (Stripe, Anthropic, Hostinger, Google Maps, entre outros), sujeitos a obrigações contratuais de confidencialidade e segurança. As transferências para fora do EEE assentam em Cláusulas Contratuais-Tipo e/ou no EU–US Data Privacy Framework. A lista detalhada consta da Política de Privacidade.
5. Conservação e eliminação
Os dados são conservados apenas durante o tempo necessário às finalidades ou ao cumprimento de obrigações legais (ex.: faturas até 10 anos). Findo esse período, são eliminados ou anonimizados de forma segura.
6. Violações de dados pessoais
Em caso de violação que represente risco para os teus direitos e liberdades, notificaremos a CNPD no prazo de 72 horas após termos conhecimento e, sempre que o risco for elevado, informar-te-emos também a ti, sem demora injustificada.
7. Os teus direitos
Podes exercer os direitos de acesso, retificação, apagamento, limitação, oposição e portabilidade, bem como retirar consentimentos, contactando geral@goout.world. Responderemos no prazo legal (em regra, um mês). Tens ainda o direito de reclamar junto da CNPD (www.cnpd.pt).
8. Proteção de dados desde a conceção e por defeito
Procuramos integrar a proteção de dados no desenho do serviço (privacy by design) e aplicar, por defeito, as configurações mais protetoras da privacidade (privacy by default).
9. Encarregado de Proteção de Dados
Dada a dimensão e a natureza do tratamento, não estamos obrigados a designar um Encarregado de Proteção de Dados (DPO). Ainda assim, o ponto de contacto para todos os assuntos de proteção de dados é geral@goout.world.
10. Alterações
Podemos atualizar esta Política. A versão em vigor é a publicada nesta página.
Data Protection Policy
Last updated: 19 June 2026
This Policy describes GoOut's commitment to protecting personal data and the measures we take to process it lawfully and securely, under the GDPR and Portuguese Law 58/2019. It complements the Privacy Policy, which details what data we process and for what purposes.
1. Data controller
Luís Samuel Coelho de Almeida, tax number 263945995, Rua do Ribeiro, 269, Crastovães, 3750-775 Águeda (Portugal). Data protection contact point: geral@goout.world.
2. Principles we follow
- Lawfulness, fairness and transparency — we process data on a legal basis and inform you clearly.
- Purpose limitation — we use data only for the stated purposes.
- Data minimisation — we collect only what is necessary.
- Accuracy — we keep data up to date and allow corrections.
- Storage limitation — we keep data only as long as needed.
- Integrity and confidentiality — we protect data with appropriate measures.
3. Security measures
- Passwords stored using hashing algorithms (never in plain text).
- Encrypted communications via HTTPS/TLS.
- Protection against common attacks (CSRF, security headers, content security policy).
- Access control: each user can only access trips they are a member of.
- Payment data handled by Stripe — we do not store card data.
- Uploaded documents (e.g. passports) are encrypted at rest (AES-256-GCM) and accessible only to trip members over an authenticated connection.
- Least-privilege principle and security logs to detect unauthorised access.
4. Processors and international transfers
We use providers that process data on our behalf (Stripe, Anthropic, Hostinger, Google Maps, among others), bound by contractual confidentiality and security obligations. Transfers outside the EEA rely on Standard Contractual Clauses and/or the EU–US Data Privacy Framework. The detailed list is in the Privacy Policy.
5. Retention and deletion
Data is kept only for as long as necessary for the purposes or to comply with legal obligations (e.g. invoices for up to 10 years). After that period, it is securely deleted or anonymised.
6. Personal data breaches
In the event of a breach posing a risk to your rights and freedoms, we will notify the CNPD within 72 hours of becoming aware and, where the risk is high, also inform you without undue delay.
7. Your rights
You may exercise the rights of access, rectification, erasure, restriction, objection and portability, and withdraw consent, by contacting geral@goout.world. We will respond within the legal time limit (generally one month). You also have the right to complain to the CNPD (www.cnpd.pt).
8. Data protection by design and by default
We aim to build data protection into the service's design (privacy by design) and to apply the most privacy-protective settings by default (privacy by default).
9. Data Protection Officer
Given the scale and nature of the processing, we are not required to appoint a Data Protection Officer (DPO). Nonetheless, the contact point for all data protection matters is geral@goout.world.
10. Changes
We may update this Policy. The version in force is the one published on this page.