Regulamento: RGPD — Regulamento (UE) 2016/679 do Parlamento Europeu | Vigência: 25 de maio de 2018 | Autoridade PT: CNPD
1. Compromisso com o RGPD
O VaultSync está em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Esta página descreve como implementamos os requisitos do RGPD para garantir os direitos fundamentais de privacidade e proteção de dados dos nossos utilizadores e clientes na União Europeia.
2. Responsável pelo Tratamento
Entidade: VaultSync
Website: https://vaultsync.pt
E-mail de privacidade: suporte@vaultsync.pt
Encarregado de Proteção de Dados (DPO): suporte@vaultsync.pt
3. Bases Jurídicas para o Tratamento (Art. 6º RGPD)
| Tratamento | Base Jurídica | Art. 6º |
|---|---|---|
| Execução do serviço de backup contratado | Execução de contrato | 1(b) |
| Autenticação e segurança do dashboard | Interesse legítimo | 1(f) |
| Logs de auditoria e conformidade fiscal | Obrigação jurídica | 1(c) |
| Envio de alertas e relatórios operacionais | Execução de contrato | 1(b) |
| Suporte técnico | Execução de contrato | 1(b) |
4. Direitos dos Titulares (Arts. 15º-22º RGPD)
| Direito | Artigo | Prazo de Resposta |
|---|---|---|
| Direito de acesso — obter cópia dos dados tratados | Art. 15º | 30 dias |
| Direito de retificação — corrigir dados incorretos | Art. 16º | 30 dias |
| Direito ao apagamento ("direito ao esquecimento") | Art. 17º | 30 dias |
| Direito à limitação do tratamento | Art. 18º | 30 dias |
| Direito à portabilidade dos dados | Art. 20º | 30 dias |
| Direito de oposição ao tratamento | Art. 21º | 30 dias |
Para exercer qualquer direito, envie um e-mail para suporte@vaultsync.pt com o assunto "RGPD — [Direito]" e identificação do titular. Respondemos no prazo máximo de 30 dias.
5. Princípios de Proteção de Dados Aplicados
O VaultSync implementa os princípios do Art. 5º do RGPD:
- Licitude, lealdade e transparência: Tratamento com base jurídica clara e informação transparente ao titular
- Limitação das finalidades: Dados recolhidos apenas para finalidades específicas e legítimas
- Minimização dos dados: Apenas os dados estritamente necessários ao serviço são tratados
- Exatidão: Dados mantidos atualizados; o cliente pode corrigir a qualquer momento
- Limitação da conservação: Dados eliminados após o período de retenção definido
- Integridade e confidencialidade: Encriptação RSA-2048 + AES-256-GCM, HTTPS/TLS 1.3
- Responsabilidade (accountability): Documentação completa das práticas de tratamento
6. Privacy by Design e Privacy by Default
Em conformidade com o Art. 25º do RGPD, o VaultSync incorpora a privacidade na arquitectura do sistema:
- Os ficheiros de backup são encriptados antes de qualquer transmissão — o VaultSync não tem acesso ao conteúdo
- As definições mais restritivas de privacidade são ativas por defeito
- Os dados de acesso ao dashboard são separados dos dados operacionais de backup
- As credenciais são armazenadas encriptadas (DPAPI) — nunca em texto claro
- Os tokens de acesso ao Azure têm permissões mínimas (princípio do menor privilégio)
7. Contratos de Processamento de Dados (Art. 28º RGPD)
Quando o VaultSync trata dados pessoais em nome do cliente (como subcontratante/processador), celebramos um Acordo de Processamento de Dados (APD) conforme exigido pelo Art. 28º do RGPD, que inclui:
- Instrução documental do responsável pelo tratamento
- Compromisso de confidencialidade por parte da equipa VaultSync
- Medidas técnicas e organizacionais de segurança
- Condições de subcontratação (Microsoft Azure, Hostinger)
- Procedimentos de notificação de violações de dados
- Eliminação ou devolução dos dados no fim do contrato
Solicite o APD assinado em suporte@vaultsync.pt.
8. Transferências para Países Terceiros
Os dados podem ser transferidos para os seguintes países fora do EEE:
| País / Região | Finalidade | Garantia |
|---|---|---|
| Brasil (Azure Brazil South) | Armazenamento de backups de clientes brasileiros | Cláusulas Contratuais Padrão (SCCs) + Adequação em análise pela CE |
| Reino Unido (Hostinger server913) | Alojamento do website | Decisão de adequação da CE (Art. 45º) |
9. Notificação de Violações de Dados (Art. 33º-34º RGPD)
Em caso de violação de dados pessoais, o VaultSync compromete-se a:
- Notificar a CNPD (Portugal) no prazo de 72 horas após o conhecimento (Art. 33º)
- Comunicar aos titulares afetados sem demora injustificada se a violação apresentar risco elevado (Art. 34º)
- Documentar todas as violações, incluindo as que não exijam notificação (Art. 33º, §5)
10. Autoridade de Controlo
Tem o direito de apresentar reclamação junto da autoridade de controlo competente:
- Portugal: CNPD — Comissão Nacional de Proteção de Dados | cnpd.pt
- UE: A autoridade de controlo do Estado-Membro onde reside ou trabalha
Dúvidas sobre esta política? Contacte-nos em suporte@vaultsync.pt ou consulte as outras páginas legais abaixo.