Política de privacidade

Data da última atualização: 12/07/2026

Domínio principal: www.garmonyarns.com (pastas linguísticas /es, /en, /fr, /pt)

Esta Política de Privacidade descreve de forma exaustiva como a Garmon Yarns trata os dados pessoais na sua loja online, canais de atendimento e sistemas de marketing, em conformidade com o Regulamento (UE) 2016/679 (RGPD), a Lei Orgânica espanhola 3/2018 (LOPDGDD) e a legislação relativa à privacidade eletrónica aplicável em Espanha. Inclui um mapa de tratamentos, fundamentos jurídicos, prazos de conservação, transferências internacionais e direitos. Quando introduzirmos novas ferramentas ou alterarmos as finalidades, atualizaremos esta Política.

1) Responsável pelo tratamento e âmbito

  • Responsável: Elisabet García Ruiz (Profissional independente)
  • Nome comercial: Garmon Yarns
  • NIF/VAT: ES09025821T
  • Morada: Paseo de la Alameda 21 (Loja Garmon Yarns), 28804, Alcalá de Henares (Madrid), Espanha
  • Contacto para privacidade/direitos: tienda[garroba]armonyarns.com
  • Encarregado/a da Proteção de Dados (DPO): Não designado/a (não obrigatório)

Âmbito de aplicação: esta Política abrange o site www.garmonyarns.com e as respetivas pastas linguísticas (/es, /en, /fr, /pt), o processo de compra (checkout), formulários (contacto, newsletter com duplo opt-in, avisos de disponibilidade), avaliações e programa de fidelização, bem como o apoio ao cliente por email, telefone, WhatsApp Business (1-a-1), chat online e a interação no Instagram, Facebook, TikTok, Pinterest e YouTube. Não operamos em marketplaces à data desta publicação.

2) Origem dos dados e categorias

Fontes: formulários web, checkout e pós-venda, canais de atendimento (email/telefone/WhatsApp/chat), avaliações (Judge.me), navegação web (cookies/SDK geridos pela CMP) e interações nas redes sociais.

Categorias:

  • Identificação e contacto: nome, apelidos, email, telefone, moradas (envio/faturação).
  • Transacionais: encomendas, montantes, detalhes de compra, cupões, devoluções, incidentes.
  • Pagamento: processado por fornecedores; não armazenamos dados de cartões.
  • Preferências/fidelização: subscrições, pontos e trocas, níveis VIP, histórico de recompensas.
  • Navegação/análise e publicidade: identificadores online, cookies, eventos de conversão, Consent Mode v2.
  • Comunicações/apoio: mensagens, pedidos de suporte, reclamações.
  • UGC (avaliações): textos e classificações; não publicamos montantes nem rankings com dados pessoais.

3) Finalidades, fundamento jurídico, necessidade e conservação

O seguinte mapa de tratamentos detalha, para cada finalidade: dados utilizados, fundamento jurídico (art. 6.º do RGPD), se são obrigatórios e o respetivo prazo de conservação (indicativo; consultar também o Anexo B).

Finalidade Dados Fundamento jurídico É obrigatório? Conservação

Compra, envio, devoluções e garantia

Identificação, contacto, transacionais

Execução de contrato

Sim, para contratar

Relação + 6 anos (comercial) / 4 anos (fiscal)

Apoio ao cliente (pré/pós-venda)

Identificação, contacto, mensagens

Diligências pré-contratuais / Interesse legítimo

Necessário para prestar assistência

Até 3 anos

Faturação/contabilidade/fiscalidade

Identificação, transacionais

Obrigação legal

Sim

6 anos (comercial) / 4 anos (fiscal)

Prevenção de fraude e segurança

Identificadores técnicos, eventos

Interesse legítimo

Necessário para proteção

Enquanto for necessário + prazos legais

Newsletter e marketing por email/SMS/WhatsApp

Identificação, contacto, preferências

Consentimento (duplo opt-in por email)

Opcional

Até à revogação ou 3 anos de inatividade

Análise web e medição

Cookies/ID, eventos

Consentimento (CMP)

Opcional

De acordo com a vida útil dos cookies/ID (consultar a CMP)

Publicidade, medição e remarketing (Google Ads e Meta Ads; futuramente TikTok Ads)

Cookies e identificadores online, eventos de navegação e conversão, dados de produtos e transações e, quando aplicável, dados de identificação e contacto utilizados para a correspondência de utilizadores.

Consentimento (CMP) para publicidade personalizada, remarketing, medição publicitária e tecnologias de rastreamento não necessárias.

Opcional

De acordo com a vida útil dos cookies e identificadores e os prazos aplicados por cada plataforma; consulte a CMP e as políticas dos fornecedores.

Personalização, venda cruzada/venda adicional, carrinho abandonado

Identificadores e eventos

Consentimento quando depender de cookies; interesse legítimo para lembretes mínimos iniciados pelo utilizador

Opcional

12–24 meses (ou de acordo com a CMP)

Fidelização e referências (pontos/trocas/níveis)

Identificação, transacionais, fidelização

Execução de contrato (termos do programa) + consentimento para marketing

Necessário para participar

Vigência + prazos legais

Avaliações/inquéritos de satisfação

Dados básicos de identificação, encomenda, texto da avaliação

Interesse legítimo (qualidade/verificação) ou consentimento, caso sejam publicados identificadores adicionais

Opcional

Enquanto forem pertinentes (possível anonimização)

Gestão dos direitos previstos no RGPD

Identificação, metadados da relação

Obrigação legal

Sim

Prazos de prescrição

Consequências de não fornecer dados obrigatórios: não poderemos processar a sua encomenda, gerir devoluções ou responder a pedidos específicos.

4) Definição de perfis e decisões automatizadas

Efetuamos segmentações operacionais e comerciais para personalizar a experiência (por exemplo, atividade, categorias compradas, probabilidade de nova compra, valor do ciclo de vida e nível VIP na fidelização).

Dados e informações utilizados: histórico de encomendas (frequência, valor médio da encomenda), interação com as nossas comunicações e, caso tenha aceitado na CMP, sinais de navegação/cookies; não tratamos categorias especiais. A segmentação é utilizada para dar prioridade a conteúdos e ofertas e não implica decisões exclusivamente automatizadas com efeitos jurídicos ou outros efeitos igualmente significativos, nem recusas de serviço. Pode opor-se ao marketing segmentado, retirar o consentimento relativo aos cookies na CMP e solicitar informações sobre a lógica aplicada, a sua importância e as consequências previstas. Se, no futuro, aplicarmos decisões automatizadas com efeitos significativos, informá-lo-emos previamente e poderá solicitar intervenção humana, expressar o seu ponto de vista e contestar a decisão.

5) Destinatários e subcontratantes

Trabalhamos com terceiros que atuam como subcontratantes ao abrigo de um contrato conforme com o RGPD (art. 28.º) ou como responsáveis independentes quando tratam dados para as suas próprias finalidades.

Principais subcontratantes (categorias e exemplos):

  • Plataforma de comércio eletrónico: Shopify.
  • CMP (consentimentos/cookies): Consentmo GDPR.
  • Email marketing/CRM: Shopify Email.
  • Avaliações/UGC: Judge.me.
  • Logística/gestão de envios: Packlink Pro (intermediação) e transportadoras: Correos, Correos Express, SEUR, InPost (Mondial Relay) (a lista pode variar consoante a zona).
  • Alojamento de email e DNS: dondominio.com (contas @garmonyarns.com).
  • Publicidade, medição e atribuição: Google Analytics, Google Tag Manager, Google Ads e Meta Platforms, através de ferramentas como o Meta Pixel e a API de Conversões da Meta (Conversions API); TikTok Ads quando for ativado.
  • Automatizações internas (quando aplicável): aplicações Shopify para venda adicional/venda cruzada, reposição de stock e fidelização.
  • Consultoria/contabilidade: Domo Gestión (receção segura de informações contabilísticas/vendas).
  • Software de gestão/Verifactu (previsto): Holded.

Responsáveis independentes/corresponsáveis:

  • Pagamentos: Shopify Payments e os métodos compatíveis. Gerem a autorização/liquidação e aplicam as suas próprias políticas (recomendamos que as consulte).
  • Plataformas publicitárias: Google e Meta e, quando for ativado, TikTok. Estas plataformas podem tratar determinados dados para a prestação dos seus serviços publicitários, medição, atribuição, segurança e outras finalidades determinadas de acordo com as suas próprias políticas e os termos aplicáveis às suas ferramentas empresariais.

6) Transferências internacionais

Alguns fornecedores podem aceder a dados ou alojá-los fora do EEE (por exemplo, nos EUA, Reino Unido ou Canadá). Nesses casos, exigimos garantias adequadas (arts. 44.º–49.º do RGPD), que podem incluir Cláusulas Contratuais-Tipo (SCC), decisões de adequação (por exemplo, o Quadro de Privacidade de Dados UE-EUA para entidades certificadas) ou instrumentos equivalentes (IDTA no Reino Unido), além de medidas técnicas/organizativas complementares. Manteremos atualizado o inventário de subcontratantes posteriores por categorias.

7) Prazos de conservação

Aplicamos os princípios da minimização e limitação do prazo:

  • Clientes/encomendas: relação contratual e, posteriormente, 6 anos (documentação comercial) e 4 anos (fiscal).
  • Apoio/consultas: até 3 anos, consoante a natureza.
  • Marketing: até à revogação ou 3 anos de inatividade.
  • Fidelização/referências: vigência do programa e prazos legais posteriores.
  • Cookies/identificadores: de acordo com as durações declaradas na CMP.
  • Avaliações/inquéritos: enquanto forem úteis; possível anonimização após um período razoável.

Conservaremos os dados bloqueados durante os prazos de prescrição para fazer face a eventuais responsabilidades.

8) Direitos dos titulares dos dados

Direitos (UE/EEE e Reino Unido): acesso, retificação, apagamento, oposição, limitação do tratamento, portabilidade e retirada do consentimento a qualquer momento.
Como exercê-los:

  1. Envie um email para tienda[garroba]armonyarns.com, utilize o formulário www.garmonyarns.com/pt/pages/contato ou envie uma carta para a morada indicada.
  2. Poderemos solicitar uma verificação (confirmação por email/telefone e/ou dados associados, como o número da encomenda).
  3. Representante autorizado: em conformidade com a legislação aplicável, pode designar um representante para apresentar pedidos em seu nome. Antes de dar seguimento ao pedido, poderemos solicitar um comprovativo da autorização e, quando aplicável, a verificação direta da sua identidade.
  4. Prazo de resposta: 1 mês (prorrogável por mais 2 meses em casos complexos, sendo informado desse facto).
  5. Caso não fique satisfeito, pode apresentar uma reclamação junto da AEPD (www.aepd.es) ou de outra autoridade competente no seu país.

Não discriminação pelo exercício de direitos: não adotaremos práticas que impliquem um tratamento desfavorável pelo exercício destes direitos.

Cancelamento de comunicações de marketing: disponível em cada email/SMS ou mediante pedido através dos canais anteriores. No WhatsApp Business 1-a-1, poderá solicitar a qualquer momento que não lhe sejam enviadas comunicações comerciais.

9) Dados de menores

Os Serviços não se destinam a menores. Não recolhemos conscientemente dados de menores, de acordo com a legislação aplicável. Caso seja mãe/pai/tutor e considere que um menor nos forneceu dados, contacte-nos para que sejam eliminados. À data, não temos conhecimento efetivo da venda ou partilha (na aceção da legislação que assim o define) de dados de menores de 16 anos.

10) Sites e ligações de terceiros

Os Serviços podem conter ligações para sites/plataformas de terceiros. Não controlamos a respetiva segurança ou privacidade; recomendamos que consulte as suas políticas antes de os utilizar. Os conteúdos que publicar em áreas públicas (incluindo redes sociais) podem ficar visíveis para terceiros sem limitações.

11) Segurança

Embora apliquemos medidas adequadas, nenhuma medida é inviolável. Evite enviar-nos informações sensíveis através de canais não seguros. Conservamos os dados durante o tempo necessário para: manter a sua conta, prestar-lhe serviços, cumprir obrigações legais, resolver litígios e fazer cumprir os nossos termos, de acordo com os prazos indicados nesta Política.

Aplicamos medidas técnicas e organizativas adequadas ao risco, incluindo:

  • Encriptação em trânsito (TLS) e configuração segura de plataformas na nuvem.
  • Controlo de acessos com MFA ou ligações de utilização única; princípio do privilégio mínimo e segregação de funções.
  • Gestão de cópias fornecida pelos serviços na nuvem; realização periódica de testes razoáveis.
  • Políticas internas de confidencialidade e formação básica do pessoal.
  • Registo e gestão de incidentes; procedimentos de apagamento/anonimização.
  • Avaliação periódica da eficácia e revisão dos subcontratantes posteriores.

Violações de dados: notificaremos a AEPD e, quando aplicável, as pessoas afetadas no prazo máximo de 72 horas após termos tomado conhecimento, em conformidade com os arts. 33.º e 34.º do RGPD.

12) Cookies, SDK e Consent Mode v2

Utilizamos cookies e tecnologias semelhantes para fins técnicos, de preferências, análise e publicidade. Gerimos o consentimento através da Consentmo GDPR (CMP), que permite aceitar/rejeitar por categorias, retirar o consentimento e consultar/atualizar preferências.

  • Bloqueio prévio: ativado para etiquetas publicitárias/de rastreamento até que manifeste a sua escolha.
  • Consent Mode v2: implementado para transmitir sinais agregados/estado do consentimento à Google, quando aplicável.
  • Matriz de cookies e durações: disponível na CMP e na Política de Cookies (fornecedores, finalidades, vida útil e tipologia).
  • Publicidade, medição e remarketing: se aceitar a categoria correspondente na CMP, poderemos utilizar tecnologias publicitárias da Google e da Meta para medir resultados, atribuir conversões, criar públicos e apresentar publicidade personalizada ou de remarketing. No caso da Meta, a integração pode utilizar o Meta Pixel e a API de Conversões da Meta (Conversions API), que permite transmitir determinados eventos e dados da Shopify para a Meta também através de comunicação entre servidores. O TikTok Ads poderá ser incorporado no futuro e ficará igualmente sujeito à configuração de consentimento aplicável.
  • Meta Pixel e API de Conversões da Meta: quando tiver prestado o consentimento necessário, poderemos partilhar com a Meta informações sobre a sua interação com a nossa loja, como visualizações de páginas e produtos, pesquisas, produtos adicionados ou removidos do carrinho, início do processo de pagamento, informações relacionadas com o pagamento e compras. Para melhorar a medição, a atribuição e a correspondência de utilizadores, também poderão ser transmitidos determinados identificadores e dados pessoais, como nome, endereço de email, número de telefone, morada ou localização e outros identificadores técnicos, consoante os dados disponíveis e a configuração da integração. Parte destas informações pode ser transmitida através do Meta Pixel a partir do navegador e outra parte através da API de Conversões a partir dos sistemas da Shopify. A Meta pode utilizar estes dados em conformidade com os seus termos e políticas aplicáveis às suas tecnologias empresariais.

13) Comunicações comerciais e operacionais

  • Email (Shopify Email): envios comerciais apenas mediante consentimento (duplo opt-in).
  • SMS (Shopify): campanhas e avisos mediante consentimento.
  • WhatsApp Business: atendimento 1-a-1; listas de difusão apenas mediante consentimento específico.
  • Carrinhos abandonados e lembretes operacionais: com base na sua interação e em conformidade com as suas preferências na CMP quando impliquem identificadores publicitários.

Pode retirar o seu consentimento a qualquer momento e continuará a receber comunicações estritamente necessárias para a execução do contrato (confirmações de encomendas, avisos de envio, etc.).

14) Relação com a Shopify (plataforma e funcionalidades)

A nossa loja está alojada na Shopify, que recolhe e trata informações pessoais para prestar e melhorar os serviços da plataforma (alojamento, checkout, pagamentos compatíveis, segurança, análises agregadas, funcionalidades de personalização/publicidade quando der o seu consentimento). Para determinadas utilizações ao nível de toda a plataforma (por exemplo, proteger, desenvolver e melhorar o seu ecossistema; funcionalidades avançadas que combinam sinais de várias lojas), a Shopify atua como responsável pelo tratamento. Nesses casos, a Shopify determinará as finalidades e os meios e dará resposta aos direitos relativos a essas utilizações.
Para mais informações e para exercer os seus direitos junto da Shopify, consulte a respetiva Política de Privacidade do Consumidor e o seu portal de privacidade: https://privacy.shopify.com/en.

Fluxos e transferências: a Shopify e os seus subcontratantes posteriores podem operar a partir de países fora do EEE/Reino Unido. Exigimos garantias (por exemplo, Cláusulas Contratuais-Tipo, quadros de adequação como o Quadro de Privacidade de Dados UE-EUA para entidades certificadas ou instrumentos equivalentes), além de medidas técnicas e organizativas complementares.

Integrações de marketing e medição: utilizamos integrações de marketing e medição com terceiros, incluindo a Google e a Meta. No caso da Meta, a integração oficial Facebook & Instagram da Shopify pode utilizar o Meta Pixel, a API de Conversões e outras tecnologias publicitárias compatíveis para transmitir eventos de navegação e conversão e, quando aplicável, determinados dados pessoais destinados a melhorar a correspondência de utilizadores, a medição, a atribuição e a publicidade. Estas tecnologias serão utilizadas de acordo com a configuração de consentimento aplicável. O TikTok poderá ser incorporado no futuro.

Serviços Melhorados (Shopify Network Intelligence): a Shopify pode combinar sinais da sua atividade na nossa loja com sinais de outros comerciantes do ecossistema Shopify e da própria Shopify para oferecer Serviços Melhorados (por exemplo, segurança/prevenção de fraude e melhorias da plataforma). No EEE/Reino Unido/Suíça, qualquer publicidade ou personalização baseada nessa combinação de sinais apenas será ativada se der o seu consentimento na CMP; poderá retirá-lo a qualquer momento através da CMP e/ou do portal de privacidade da Shopify ( https://privacy.shopify.com/en).”

15) Publicidade e medição com a Meta

Utilizamos a integração Facebook & Instagram da Shopify para sincronizar o nosso catálogo de produtos com as tecnologias da Meta e, quando tiver prestado o consentimento necessário, medir a atividade relacionada com as nossas campanhas publicitárias, realizar a atribuição de conversões, criar públicos e apresentar publicidade personalizada ou de remarketing no Facebook, Instagram e noutros serviços da Meta.

Para estas finalidades, podemos utilizar o Meta Pixel, a API de Conversões da Meta (Conversions API) e outras tecnologias publicitárias compatíveis integradas através da Shopify. Estas ferramentas podem registar eventos como visualizações de páginas e produtos, pesquisas, produtos adicionados ou removidos do carrinho, início do processo de pagamento, informações relacionadas com o pagamento e compras.

Dependendo do evento e dos dados disponíveis, podem ser tratados identificadores online e técnicos, informações sobre o navegador e o dispositivo, endereço IP, identificadores de cookies, URL visitados, produtos consultados, identificadores de produto, conteúdo do carrinho, valor e moeda da transação e dados relativos a encomendas e conversões. Para melhorar a correspondência entre a atividade da nossa loja e os utilizadores das tecnologias da Meta, também poderão ser transmitidos determinados dados pessoais disponíveis, como nome, endereço de email, número de telefone, morada ou informações de localização. Estes dados podem ser sujeitos a medidas técnicas de proteção, como hashing, antes da sua transmissão, quando aplicável.

As informações podem ser transmitidas a partir do seu navegador através do Meta Pixel e/ou dos sistemas da Shopify através da API de Conversões, que permite a comunicação de determinados eventos e dados entre servidores. A utilização de uma transmissão entre servidores não altera o fundamento jurídico aplicável nem elimina os controlos de consentimento correspondentes.

O fundamento jurídico para a utilização destas tecnologias para fins de publicidade personalizada, remarketing e medição publicitária é o seu consentimento, quando exigível. Pode aceitar, rejeitar ou retirar o seu consentimento a qualquer momento através do nosso painel de preferências de privacidade ou cookies. A retirada do consentimento não afeta a licitude do tratamento realizado anteriormente.

A Meta pode utilizar as informações recebidas de acordo com os termos aplicáveis às suas ferramentas empresariais e com as suas próprias políticas de privacidade. O tratamento pode implicar transferências internacionais de dados, que serão realizadas através dos mecanismos e garantias reconhecidos pela legislação aplicável.

A sincronização do catálogo de produtos da Garmon Yarns com o Facebook e o Instagram não implica, por si só, que partilhemos com a Meta os dados pessoais de todos os nossos clientes. O tratamento de dados pessoais para medição, correspondência, atribuição, criação de públicos ou publicidade dependerá das funcionalidades utilizadas e da configuração de privacidade e consentimento aplicável.

16) Programa de fidelização e referências

A adesão ao programa de fidelização “Club Garmon”, gerido através da Zing Loyalty (Shopify App), é voluntária e rege-se pelos Termos do Programa.

Finalidades: administrar a sua participação (adesão/cancelamento), acumular e trocar pontos (“hebras”), calcular e atribuir níveis VIP e recompensas, aplicar incentivos/bónus (por exemplo, boas-vindas, aniversário, caso o forneça), gerir referências, prevenir fraude/abuso (por exemplo, trocas suspeitas, devoluções repetidas) e prestar apoio relacionado com o programa.

Dados tratados: dados de identificação e contacto; ID de cliente da Shopify; ID do programa, saldo de pontos, histórico de acumulações/trocas e caducidades; nível/tier e progressão; cupões ou descontos gerados e respetivo estado; eventos do programa (data/hora, canal, loja/checkout); dados mínimos relativos a referências (códigos/ligações e métricas agregadas); opcionalmente, data de aniversário e preferências que decida fornecer. Não publicamos rankings nem montantes gastos.

Fundamento jurídico: (i) execução de contrato (art. 6.º, n.º 1, alínea b), do RGPD) para operar o programa em conformidade com os respetivos termos; (ii) interesse legítimo (art. 6.º, n.º 1, alínea f)) para segurança/prevenção de fraude, qualidade e métricas internas não publicitárias; (iii) consentimento (art. 6.º, n.º 1, alínea a)) para comunicações comerciais sobre o programa e para atributos opcionais (por exemplo, aniversário) ou píxeis/cookies publicitários, que apenas são ativados se os aceitar na CMP.

Automatização e definição de perfis: o cálculo de pontos, a atribuição de níveis e a elegibilidade para recompensas são efetuados de forma automatizada, sem efeitos jurídicos ou outros efeitos igualmente significativos (art. 22.º do RGPD). Pode opor-se à definição de perfis para fins de marketing e solicitar uma revisão humana de incidentes (por exemplo, recusa de uma troca).

Prevenção de fraude e reversões: poderemos reter temporariamente pontos ou reverter acumulações/trocas caso existam devoluções/cancelamentos ou indícios razoáveis de abuso (por exemplo, criação de várias contas). Documentaremos o incidente e poderá apresentar as alegações que considere adequadas.

Destinatários/subcontratantes: a Zing Loyalty atua como subcontratante; pode integrar-se com a Shopify (checkout/descontos) e, quando aplicável, com o nosso fornecedor de email/SMS para comunicações do programa. Não cederemos os seus dados a terceiros para finalidades próprias.

Transferências internacionais: a Zing Loyalty e/ou os seus subcontratantes posteriores podem operar fora do EEE/Reino Unido. Exigimos garantias (por exemplo, SCC, Quadro de Privacidade de Dados UE-EUA, quando aplicável) e medidas técnicas/organizativas adequadas.

Conservação: enquanto pertencer ao programa; após o cancelamento, conservaremos o histórico operacional e os comprovativos de trocas com impacto na contabilidade/fiscalidade durante os prazos legais (6/4 anos em Espanha). Os restantes dados do programa serão eliminados ou anonimizados no prazo máximo de 3 anos após o cancelamento, salvo se existirem incidentes em aberto.

Cancelamento e efeitos: pode cancelar a sua adesão a qualquer momento. O cancelamento implica a perda dos pontos não trocados e dos benefícios associados ao nível. Poderá continuar a comprar normalmente sem o programa. Pode optar por não receber marketing e continuar no programa (apenas comunicações operacionais).

Cookies/rastreamento: qualquer etiqueta ou cookie utilizado para a personalização ou medição do programa rege-se pela sua escolha na CMP e é previamente bloqueado até que dê o seu consentimento.

17) Avaliações e UGC

Tratamos as avaliações verificadas para confirmar a compra, melhorar a qualidade do serviço e orientar outros clientes.

Dados tratados: nome ou pseudónimo, email (não visível), número ou referência da encomenda para verificação, conteúdo e classificação da avaliação, data e metadados técnicos mínimos; opcionalmente, imagens e/ou vídeos que decida fornecer.

Publicação e visibilidade: a avaliação (e, quando aplicável, o seu nome/pseudónimo) pode ser apresentada na página do produto e indexada por motores de pesquisa. Não publicamos montantes nem rankings económicos de clientes.

Fundamento jurídico: (i) interesse legítimo (art. 6.º, n.º 1, alínea f), do RGPD) para solicitar avaliações após a compra, verificar a sua autenticidade, moderar conteúdos ilícitos ou ofensivos e detetar fraude; (ii) consentimento (art. 6.º, n.º 1, alínea a)) quando a avaliação incluir uma imagem, voz ou outros identificadores que possam torná-lo reconhecível, ou para qualquer reutilização promocional distinta da sua publicação na própria página do produto.

Moderação e limites: poderemos não publicar, editar (para eliminar dados pessoais de terceiros) ou retirar avaliações que contenham linguagem ofensiva, publicidade de terceiros, informações enganosas, dados pessoais de terceiros ou conteúdos que violem direitos (por exemplo, propriedade intelectual ou direito à imagem). Poderemos solicitar-lhe um comprovativo da experiência de compra para manter a avaliação como “verificada”.

Fornecedor e transferências: utilizamos a Judge.me como subcontratante para a gestão e verificação de avaliações. Este fornecedor pode realizar transferências internacionais; exigimos garantias adequadas (por exemplo, SCC/quadros de adequação) e medidas técnicas/organizativas complementares.

Conservação e direitos específicos: conservaremos a avaliação enquanto for pertinente (normalmente, enquanto o produto estiver disponível na loja) e, posteriormente, poderemos anonimizá-la ou pseudonimizá-la. Pode editar, retirar ou solicitar a anonimização da sua avaliação através dos nossos canais de contacto indicados nesta Política. A retirada de uma avaliação não afeta a licitude do tratamento anterior.

18) Apoio ao cliente e formulários

Tratamos os dados que nos fornece através dos formulários de contacto/apoio, bem como por email, telefone, WhatsApp Business (1-a-1) e chat online, para as seguintes finalidades: (i) responder a consultas e gerir incidentes, devoluções ou garantias; (ii) identificar a encomenda ou o produto referido; (iii) acompanhar a conversa e melhorar a qualidade do serviço; e (iv) prevenir abusos/spam e manter a segurança do canal.

Dados tratados: dados de identificação e contacto; conteúdo da mensagem; referências da encomenda/produto; metadados técnicos mínimos (data/hora, identificador da sessão e IP abreviado); e, quando aplicável, anexos que nos envie (evite incluir categorias especiais de dados).

Fundamento jurídico: diligências pré-contratuais (consultas sobre produtos/registo), execução de contrato (apoio relativo a encomendas, garantias, devoluções), obrigação legal (consumo/garantias) e interesse legítimo (qualidade, rastreabilidade, segurança e prevenção de spam).

Natureza obrigatória/opcional: os campos assinalados como obrigatórios são indispensáveis para dar resposta ao seu pedido; os campos opcionais ajudam-nos a atribuir prioridades e a resolver a situação mais rapidamente. Caso não forneça os dados obrigatórios, não poderemos gerir o seu pedido.

Conservação: até 3 anos após a última interação. Caso a situação esteja associada a uma venda, poderão também aplicar-se os prazos comerciais/fiscais indicados nesta Política. Os comprovativos de segurança/prevenção de spam poderão ser conservados durante o período estritamente necessário para investigar incidentes.

Destinatários/subcontratantes: os nossos sistemas de email (fornecedor dondominio.com), a plataforma Shopify quando o formulário estiver integrado e as ferramentas internas de atendimento; não cedemos os seus dados a terceiros para finalidades próprias.

Segurança do canal: encriptação em trânsito (TLS), controlos de acesso, honeypot/captcha e filtros antispam. Caso nos contacte através das redes sociais, o tratamento também se rege pela política de privacidade da respetiva plataforma.

19) Pagamentos e financiamento

Processamos pagamentos através da Shopify Payments (e dos métodos compatíveis apresentados no checkout, como cartões e carteiras digitais). Relativamente à autorização, liquidação e controlos de risco, a Shopify Payments atua como responsável independente pelo tratamento. A Garmon Yarns não armazena dados completos de cartões; recebemos apenas identificadores da transação, estado (autorizado/recusado, reembolsado/estornado), método utilizado e, quando aplicável, dados mascarados (por exemplo, últimos 4 dígitos e marca).

Finalidades e fundamentos jurídicos

  • Cobrança de encomendas, emissão de reembolsos e gestão de cancelamentos → Execução de contrato (art. 6.º, n.º 1, alínea b), do RGPD).
  • Cumprimento de obrigações contabilísticas e fiscais → Obrigação legal (art. 6.º, n.º 1, alínea c)).
  • Prevenção de fraude, gestão de estornos e segurança dos pagamentos → Interesse legítimo (art. 6.º, n.º 1, alínea f)), com salvaguardas proporcionais.

Tratamentos realizados pelo fornecedor de pagamentos

  • Avaliação automatizada do risco e controlos de prevenção de fraude.
  • Autenticação forte do cliente (SCA/PSD2), por exemplo, 3-D Secure 2, quando aplicável.
  • Decisões automatizadas para autorizar ou recusar operações, que podem produzir efeitos económicos (por exemplo, recusa da cobrança). Relativamente a estes tratamentos, os direitos deverão ser exercidos diretamente junto da Shopify Payments, em conformidade com o respetivo aviso de privacidade.

Estornos e litígios
Em caso de estorno, poderemos partilhar com a entidade adquirente/fornecedor de pagamentos as informações estritamente necessárias (por exemplo, comprovativos de entrega, comunicações com o cliente, dados da encomenda) para defender a transação.

Transferências internacionais e conservação
O fornecedor pode tratar dados fora do EEE/Reino Unido ao abrigo de garantias reconhecidas (por exemplo, SCC, Quadro de Privacidade de Dados UE-EUA, quando aplicável). Conservamos os comprovativos de pagamento associados à encomenda em conformidade com os prazos comerciais e fiscais indicados nesta Política; o fornecedor conserva os respetivos dados de acordo com a sua própria política.

Exercício de direitos
Relativamente aos tratamentos pelos quais a Shopify Payments seja responsável, pode consultar e exercer os seus direitos no respetivo portal de privacidade. Quanto aos tratamentos realizados por nós (por exemplo, reconciliação contabilística e reembolsos), pode escrever-nos para tienda[garroba]armonyarns.com.

20) Logística e pós-venda

Para gerir entregas, devoluções, trocas e pós-venda, comunicamos à Packlink Pro (plataforma de intermediação) e às transportadoras selecionadas (por exemplo, Correos, Correos Express, SEUR, InPost/Mondial Relay) os dados estritamente necessários: nome e apelidos, morada completa e/ou ponto de recolha, email e/ou telefone para avisos de acompanhamento, número/ID da encomenda, referências do envio (volumes, peso/volume aproximado), número de rastreamento, instruções de entrega e, nos envios internacionais, os dados aduaneiros indispensáveis.

A Packlink Pro atua como subcontratante (criação de etiquetas e documentos, encaminhamento e rastreabilidade); as transportadoras atuam, de modo geral, como responsáveis independentes no âmbito da prestação do serviço de transporte e do cumprimento das suas próprias obrigações (rastreabilidade, comprovativo de entrega, incidentes, reclamações e legislação setorial). Estes fornecedores utilizarão os seus dados de contacto exclusivamente para fins logísticos (por exemplo, avisos de entrega/recolha) e não para fins promocionais.

Fundamento jurídico: execução de contrato (entrega da encomenda/gestão de devoluções), obrigação legal (consumo, segurança dos produtos, obrigações fiscais/aduaneiras, quando aplicável) e interesse legítimo (segurança e rastreabilidade dos envios, prevenção de fraude).

Conservação e transferências: conservamos a documentação de envio e o comprovativo de entrega durante os prazos legais aplicáveis. Nos envios para fora do EEE/Reino Unido, a comunicação de dados a operadores postais/autoridades aduaneiras do país de destino pode implicar transferências internacionais; nesses casos, exigimos garantias adequadas (por exemplo, SCC ou decisões de adequação) e medidas técnicas/organizativas complementares.

21) Consultoria e obrigações fiscais

Comunicamos dados à Domo Gestión (empresa de contabilidade) para efeitos de contabilidade e cumprimento das obrigações fiscais e comerciais.

Função: a Domo Gestión atua como subcontratante (art. 28.º do RGPD) e apenas trata as informações de acordo com as nossas instruções; poderá atuar como responsável independente relativamente às suas próprias obrigações profissionais e de arquivo.

Dados comunicados (mínimos necessários): identificação e contacto (nossos e, quando aplicável, do cliente que consta do documento de venda), número da encomenda e da fatura, datas, linhas e montantes, NIF/IVA, moradas, meio de pagamento (token/estado; nunca dados completos do cartão), descontos/impostos aplicados e documentação comprovativa de devoluções/garantias.

Canais e segurança: a troca de informações é efetuada através de canais encriptados e repositórios controlados (por exemplo, ficheiros num portal seguro ou SFTP, acesso restrito e registos de acesso); evitamos o envio de ficheiros sensíveis através de email não protegido.

Fundamento jurídico: obrigação legal (fiscal/contabilística e legislação comercial) e interesse legítimo (controlo interno e auditoria). Conservação: mantemos a documentação durante 6 anos (comercial) e 4 anos (fiscal); a Domo Gestión conservará as informações durante o período indispensável à prestação do serviço e ao cumprimento das suas obrigações profissionais.

Exercício de direitos: os pedidos relativos ao RGPD relacionados com estes tratamentos devem ser dirigidos à Garmon Yarns; encaminharemos para a empresa de contabilidade os pedidos correspondentes à sua função de subcontratante.

22) Exercício de direitos — detalhes operacionais

  1. Canais para apresentação do pedido: envie-nos um email para tienda[arroba]garmonyarns.com, utilize o formulário https://www.garmonyarns.com/pages/contacto ou envie uma carta para Paseo de la Alameda 21 (Loja Garmon Yarns), 28804, Alcalá de Henares (Madrid), Espanha.
  2. Conteúdo mínimo do pedido: indique o direito que pretende exercer (acesso, retificação, apagamento, oposição, limitação, portabilidade ou retirada do consentimento), o âmbito/período afetado e, quando aplicável, os dados que nos ajudem a localizar as informações (por exemplo, email utilizado nas suas compras, número da encomenda, canal de registo). Caso atue em nome de outra pessoa, consulte o ponto 4.
  3. Verificação da identidade: daremos prioridade aos pedidos recebidos através do email associado à sua conta/encomendas. Caso não seja possível ou existam dúvidas razoáveis, poderemos solicitar um comprovativo adicional (por exemplo, confirmação telefónica ou documento oficial). Caso envie um documento, oculte os dados que não sejam necessários (recomendação: ocultar a fotografia, a MRZ e o número de suporte; deixe visíveis o nome, o documento e a data de validade).
  4. Representante autorizado: aceitamos pedidos de representantes caso apresentem uma acreditação válida (procuração/autorização assinada) e a identificação do titular. Poderemos confirmar diretamente com o titular dos dados antes de tomar qualquer medida.
  5. Prazos e forma de resposta: responderemos no prazo de 1 mês após a receção; este prazo poderá ser prorrogado por mais 2 meses caso o pedido seja complexo ou múltiplo (será informado no primeiro mês). A resposta será gratuita e fornecida por meios eletrónicos, salvo se solicitar outro formato ou se tal não for possível.
  6. Limitações e recusas: poderemos limitar/recusar o pedido quando este for manifestamente infundado ou excessivo, quando não conseguirmos identificar o requerente com diligência razoável ou quando o cumprimento violar direitos de terceiros ou obrigações legais (por exemplo, conservação comercial/fiscal, segurança, prevenção de fraude). Nestes casos, explicaremos o motivo e as suas opções de recurso.
  7. Custo: o exercício dos direitos é gratuito; em caso de pedidos infundados ou excessivos, poderemos cobrar uma taxa razoável baseada nos custos administrativos ou recusar-nos a atuar (art. 12.º, n.º 5, do RGPD).
  8. Reclamações e não discriminação: caso não fique satisfeito, pode apresentar uma reclamação junto da AEPD (https://www.aepd.es) ou de outra autoridade competente. Não o discriminaremos pelo exercício dos seus direitos.

23) Alterações à Política

Publicaremos as atualizações nesta página, indicando a data de entrada em vigor, e manteremos um histórico de versões disponível mediante pedido. Caso as alterações sejam substanciais (por exemplo, novas finalidades, novos fundamentos jurídicos ou novos destinatários), comunicá-las-emos com uma antecedência razoável por email ou através de um aviso destacado no site e, quando legalmente necessário, solicitaremos novamente o seu consentimento.

24) Contacto

  • Email: tienda[garroba]garmonyarns.com
  • Formulário de contacto: www.garmonyarns.com/pt/pages/contato
  • Morada postal: Paseo de la Alameda 21 (Loja Garmon Yarns), 28804, Alcalá de Henares (Madrid), Espanha

Anexo A — Teste de interesse legítimo (resumo)

Tratamentos: apoio ao cliente pré/pós-venda; inquéritos de satisfação e avaliações verificadas; segurança/prevenção de fraude estritamente necessária; personalização básica com um nível mínimo de intrusão iniciada pelo utilizador.
Necessidade: operações essenciais para a qualidade e segurança do serviço.
Equilíbrio: impacto baixo/médio mitigado por opções de oposição, opt-out e controlo de preferências na CMP.
Conclusão: o interesse legítimo prevalece, mantendo-se salvaguardas e transparência.

Anexo B — Tabela de conservação

Âmbito

Prazo

Cliente/encomendas

Relação + 6 anos (comercial) / 4 anos (fiscal)

Apoio/consultas

Até 3 anos

Marketing

Até à revogação ou 3 anos de inatividade

Fidelização

Vigência + prazos legais

Avaliações

Enquanto forem pertinentes; possível anonimização

Cookies/ID

De acordo com a CMP e a Política de Cookies

Anexo C — Categorias de fornecedores (subcontratantes)

  • Plataforma de comércio eletrónico: Shopify.
  • Consentimento/cookies: Consentmo GDPR.
  • Email marketing: Shopify Email.
  • Avaliações: Judge.me.
  • Logística/envios: Packlink Pro + transportadoras (Correos, Correos Express, SEUR, InPost/Mondial Relay; a lista pode variar).
  • Venda adicional/venda cruzada/reposição de stock: Essentials Upsell; Doran Back In Stock.
  • Email empresarial/DNS: dondominio.com.
  • Consultoria/contabilidade: Domo Gestión.
  • Gestão/Verifactu: Holded.

Anexo D — Cookies/SDK (vista por categorias)

  • Técnicos: indispensáveis para a navegação, segurança e carrinho.
  • Preferências: idioma, região, interface do utilizador.
  • Análise/medição: GA4/Consent Mode v2 (agregação/sinais).
  • Publicidade, medição e remarketing: Google Ads e Meta Ads, incluindo o Meta Pixel e a API de Conversões da Meta, quando aplicável; futuras tecnologias do TikTok condicionadas ao consentimento e à respetiva ativação.

Para obter detalhes sobre cada cookie/SDK (nome, fornecedor, finalidade, validade), consulte o painel da CMP e a Política de Cookies.