Sporting CP

Loja Verde · Informação legal

Política de Privacidade

Atualizado a 2 de junho de 2026

O Loja Verde Fan Look (o «Serviço») é uma ativação de demonstração que transforma a tua foto numa imagem editorial inspirada em peças reais disponíveis ou a disponibilizar na Loja Verde Online.

Para que isto seja possível, o Sporting Clube de Portugal, com sede no Estádio José de Alvalade, Rua Professor Fernando da Fonseca, 1600-616 Lisboa enquanto responsável pela recolha e tratamento de dados - em conjunto com outras entidades do Grupo Sporting nomeadamente [Sporting Clube de Portugal Futebol SAD / Sporting Entertainment, S.A.] ou de terceiros devidamente subcontratados para o efeito – procede ao tratamento de dados pessoais disponibilizados pelos utilizadores.

A disponibilização dos dados pessoais dos Utilizadores implica o conhecimento e aceitação das condições constantes desta Política de Privacidade.

A presente Política de Privacidade é complementada pelos Termos e Condições de Utilização disponíveis na Loja Verde Online e respetiva Política de Privacidade e Política de Cookies.

De qualquer modo, a presente Política de Privacidade encontra-se elaborada de acordo com Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ("RGPD") e a Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD, em conjunto denominados por "Legislação Aplicável".

Esta página explica que dados recolhemos, com que finalidade, quem mais lhes toca, durante quanto tempo os guardamos e como podes exercer os teus direitos ao abrigo da Legislação Aplicável.

1. Quem somos e como contactar-nos

Este serviço é operado por Sporting Clube de Portugal (a seguir designado por «nós»). Para qualquer questão de privacidade, ou para exerceres os direitos descritos nesta página, podes contactar-nos nos termos do Capítulo 7.

2. Que dados recolhemos

Para gerar o teu look e enviá-lo por email, tratamos os seguintes dados:

  • A foto que carregas (JPG, PNG ou HEIC, até 8 MB).
  • O endereço de email que indicas.
  • A imagem gerada e os metadados associados.
  • Metadados operacionais: identificador do workflow, preferência de estilo da peça, jogador opcional, audiência (adulto/criança), pontuações de moderação automática, estado da geração e códigos de erro.
  • Identificador de contacto na Klaviyo (apenas se aceitares receber comunicações).
  • Metadados técnicos recolhidos pela infra-estrutura (Vercel) para entregar a página: endereço IP do pedido, agente do navegador, cabeçalhos básicos. Usados para limitação de taxa e prevenção de abuso.

3. Finalidades e fundamentos jurídicos

Tratamos os teus dados com as seguintes finalidades, ao abrigo dos seguintes fundamentos do artigo 6.º do RGPD:

  • Gerar o fan look pedido nos termos do Capítulo 4. — execução do serviço solicitado no qual o utilizador é parte (artigo 6.º, n.º 1, alínea b) do RGPD).
  • Enviar o email com o resultado e comunicações / marketing Loja Verde Online, incluindo inquéritos de satisfação e análise estatística — execução do serviço / contrato solicitado e teu consentimento, retirável a qualquer momento (art. 6.º/1, a) do RGPD).
  • Moderação automática da foto e dos resultados — interesse legítimo na protecção de menores e na integridade da activação (art. 6.º/1, f) do RGPD e cumprimento de obrigações legais.
  • Limitação de taxa e prevenção de abuso (kill-switch diário) — interesse legítimo em manter o serviço operacional e seguro (art. 6.º/1, f) do RGPD).
  • Cumprimento de obrigações legais aplicáveis — art. 6.º/1, c) do RGPD.
  • Gestão de Site e integração com plataformas — consentimento prestado pelo titular para cookies não funcionais (artigo 6.º, n.º 1, alínea a) do RGPD) e/ou interesse legítimo do Responsável pelo Tratamento para a gestão da plataforma (artigo 6.º, n.º 1, alínea f) do RGPD).

4. Tratamento por inteligência artificial

A geração do look é feita por modelos de IA executados externamente:

A tua foto é enviada para o modelo Google Gemini 2.5 Flash Image, através do Vercel AI Gateway, em conjunto com imagens de referência da peça real da Loja Verde Online.

Antes da geração corremos uma moderação automática que pode rejeitar fotos que pareçam ser de menores, enviadas em contexto adulto ou relacionado com atividades estranhas aos bons costumes e à ordem pública, conteúdo sensível, ou símbolos que não aceitamos. Após a geração corremos uma segunda verificação que compara o resultado com a tua foto e com a peça oficial.

A imagem gerada é uma interpretação estilizada da tua aparência, não uma fotografia tua. Pode conter pequenas imperfeições ou desvios na peça. Não deve ser usada como retrato fiel, prova de evento real ou material publicitário oficial.

Não usamos a tua foto para treinar modelos de IA. Os fornecedores dos modelos operam ao abrigo das suas próprias políticas de proteção de dados, identificadas na secção seguinte.

5. Subcontratantes

Recorremos aos seguintes subcontratantes, todos vinculados por acordos de tratamento de dados que respeitam, de modo integral, a Legislação Aplicável:

  • Vercel Inc. — alojamento, CDN, armazenamento Blob (private/public) e roteamento via AI Gateway. Região principal: Frankfurt (FRA1).
  • Vercel AI Gateway → Google (modelo Gemini 2.5 Flash Image) e OpenAI (moderação e classificação de audiência) para as chamadas reais aos modelos.
  • Neon Inc. — base de dados Postgres gerida com os metadados da activação.
  • Upstash — Redis para limitação de taxa e kill-switch diário.
  • Klaviyo — entrega de email transacional e gestão da tua ficha de contacto, caso aceites receber comunicações.

6. Durante quanto tempo guardamos os dados

Aplicamos prazos de conservação de dados curtos, alinhados com a natureza temporária do Serviço:

  • Foto original (Blob privado, prefixo uploads/): apagada automaticamente em ~3 dias (72 horas) ou até à conclusão do Serviço.
  • Imagem gerada (Blob público, prefixo looks/): apagada em ~30 dias para que o email entregue continue a abrir a imagem exclusivamente durante esse período ou até à conclusão do Serviço.
  • Registos na base de dados (utilizador, geração, eventos de moderação): conservados durante a vigência do Serviço. Quando exerces o direito ao apagamento (art. 17.º RGPD) eliminamos todos registos pessoais.
  • Contacto na Klaviyo: conservado até exerceres o teu direito ao cancelamento de subscrição, a todo o tempo, ou pedires a portabilidade ou apagamento.
  • Logs operacionais e sinais de abuso: até 30 dias ou até à conclusão do Serviço.

7. Os teus direitos

Tens os seguintes direitos sobre os teus dados, nos termos dos artigos 15.º a 22.º do RGPD:

  • Acesso aos dados pessoais que detemos sobre ti (art. 15.º do RGPD).
  • Retificação de dados inexatos (art. 16.º do RGPD).
  • Apagamento (art. 17.º do RGPD) — incluindo a foto e o email.
  • Limitação do tratamento (art. 18.º do RGPD).
  • Portabilidade (art. 20.º do RGPD).
  • Oposição ao tratamento baseado em interesse legítimo (art. 21.º do RGPD).
  • Retirada do consentimento a qualquer momento, sem afetar a licitude do tratamento já realizado (artigo 7.º, n.º 3 do RGPD).

Para o exercício de qualquer um dos direitos acima referidos, deverás submeter um pedido escrito dirigido ao Sporting, para os seguintes contactos:

E-mail: apoiolojaonline@sporting.pt

Morada: Estádio José de Alvalade, Rua Professor Fernando da Fonseca, 1600-616 Lisboa

Os Titulares dos Dados poderão ainda contactar o Sporting através do endereço apoiolojaonline@sporting.pt.

8. Segurança e transferências internacionais

O Sporting desenvolve os seus melhores esforços para proteger os dados pessoais dos Utilizadores contra acessos não autorizados ou ilegítimos, adulteração e/ou divulgação não autorizada ou eliminação indevida.

Para o efeito utiliza sistemas de segurança, regras e outros procedures internos e externos, de modo a garantir a proteção dos dados pessoais, bem como para prevenir o acesso não autorizado aos dados, o uso impróprio, a sua divulgação, perda ou destruição.

Aplicamos medidas técnicas e organizativas adequadas: TLS em trânsito, encriptação em repouso ao nível dos subcontratantes, princípio do mínimo privilégio nos acessos e registos de auditoria. Apesar disto, nenhum sistema é 100% inviolável.

Alguns dos nossos subcontratantes podem estar estabelecidos fora do Espaço Económico Europeu. Nesses casos, as transferências são salvaguardadas por Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia ou outros mecanismos previstos no capítulo V. do RGPD.

O Sporting compromete-se a aplicar as medidas técnicas e organizativas necessárias e adequadas para proteger os dados pessoais dos Utilizadores. Contudo, atendendo à natureza aberta e digital da Internet, o Utilizador reconhece que existem riscos de segurança inerentes ao ambiente eletrónico (como acessos ilegítimos ou software malicioso), devendo adotar também medidas de proteção adequadas no seu próprio dispositivo. No âmbito do tratamento de dados pessoais dos utilizadores, a responsabilidade do Sporting rege-se pelo estritamente disposto na Legislação Aplicável.

Qualquer comunicação ou mensagem enviada pelo Utilizador por correio eletrónico, transmissão de arquivos e ficheiros, inclusão de dados ou qualquer outra forma de comunicação não solicitada e, desde que não contenha instruções em contrário, será considerada não confidencial e livre de quaisquer restrições de uso.

9. Reclamações

Se considerares que o tratamento dos teus dados viola o RGPD, podes apresentar reclamação junto da autoridade de controlo competente — em Portugal, a Comissão Nacional de Proteção de Dados (CNPD), através de www.cnpd.pt.

10. Alterações a esta política

Podemos atualizar esta política para refletir mudanças no Serviço, nos subcontratantes ou na lei aplicável. Alterações materiais serão sinalizadas com uma nova data em «Atualizado a». Recomendamos uma releitura periódica.