Conformidade RGPD
O MaximusPI está em total conformidade com o Regulamento Geral de Proteção de Dados (RGPD/GDPR) da União Europeia.
Proteção por Design
Privacidade integrada desde a concepção do sistema
Dados Encriptados
TLS 1.3, AES-256 e encriptação em repouso
Direitos Garantidos
Acesso, rectificação, portabilidade e eliminação
Índice
1 O que é o RGPD
O Regulamento Geral de Proteção de Dados (RGPD), também conhecido como GDPR (General Data Protection Regulation), é o regulamento europeu que estabelece regras sobre a recolha, armazenamento e tratamento de dados pessoais.
Entrou em vigor a 25 de maio de 2018 e aplica-se a todas as organizações que processam dados pessoais de indivíduos na União Europeia, independentemente de onde a organização esteja sediada.
Princípios Fundamentais
- Licitude, lealdade e transparência — Tratamento lícito com informação clara
- Limitação da finalidade — Dados recolhidos para fins específicos e legítimos
- Minimização dos dados — Apenas dados necessários e adequados
- Exactidão — Dados exactos e actualizados
- Limitação da conservação — Retenção apenas pelo tempo necessário
- Integridade e confidencialidade — Segurança adequada dos dados
2 Nosso Compromisso
O MaximusPI assume o compromisso firme de proteger os dados pessoais de todos os utilizadores e colaboradores das empresas que utilizam a nossa plataforma.
Como Responsável pelo Tratamento
Quando processa os dados da sua própria equipa no MaximusPI, a sua organização actua como Responsável pelo Tratamento. O MaximusPI actua como Subcontratante, processando os dados apenas conforme as suas instruções.
Acordo de Processamento de Dados (DPA)
Disponibilizamos um Data Processing Agreement (DPA) que define claramente:
- Natureza e finalidade do tratamento
- Tipo de dados pessoais tratados
- Categorias de titulares dos dados
- Obrigações e direitos do responsável
- Medidas de segurança implementadas
- Procedimentos para violações de dados
3 Bases Legais para Tratamento
Processamos dados pessoais com base nas seguintes fundamentos legais previstos no RGPD:
| Categoria de Dados | Base Legal | Artigo RGPD |
|---|---|---|
| Dados de registo da conta | Execução de contrato | Art. 6(1)(b) |
| Dados de colaboradores | Obrigação legal | Art. 6(1)(c) |
| Dados de utilização | Interesse legítimo | Art. 6(1)(f) |
| Comunicações de marketing | Consentimento | Art. 6(1)(a) |
| Dados de saúde (atestados) | Obrigação legal laboral | Art. 9(2)(b) |
4 Seus Direitos
O RGPD garante aos titulares dos dados um conjunto de direitos fundamentais. Pode exercê-los a qualquer momento contactando o nosso DPO.
Direito de Acesso
Obter confirmação e cópia dos seus dados pessoais tratados.
Direito de Rectificação
Corrigir dados inexactos ou completar dados incompletos.
Direito ao Apagamento
Solicitar a eliminação dos seus dados ("direito a ser esquecido").
Direito à Limitação
Restringir o tratamento dos seus dados em certas circunstâncias.
Direito à Portabilidade
Receber os seus dados num formato estruturado e interoperável.
Direito de Oposição
Opor-se ao tratamento baseado em interesse legítimo ou marketing.
Prazo de resposta: Respondemos a todos os pedidos no prazo máximo de 30 dias, podendo ser prorrogado por mais 60 dias em casos de elevada complexidade.
5 Medidas de Segurança
Implementamos medidas técnicas e organizativas adequadas para garantir um nível de segurança proporcional ao risco:
Medidas Técnicas
- Encriptação em trânsito: TLS 1.3 para todas as comunicações
- Encriptação em repouso: AES-256 para dados sensíveis
- Autenticação: 2FA disponível, hashing bcrypt para palavras-passe
- Controlos de acesso: RBAC (Role-Based Access Control)
- Logs de auditoria: Registo completo de todas as operações
- Backups: Diários, encriptados, com retenção de 30 dias
Medidas Organizativas
- Políticas de segurança documentadas e revistas anualmente
- Formação regular da equipa em proteção de dados
- Acordos de confidencialidade com todos os colaboradores
- Avaliações de impacto (DPIA) para tratamentos de alto risco
- Plano de resposta a incidentes de segurança
6 Subprocessadores
Utilizamos subprocessadores cuidadosamente seleccionados para prestar os nossos serviços. Todos estão vinculados por acordos conformes com o RGPD:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Amazon Web Services (AWS) | Alojamento e infraestrutura cloud | UE (Frankfurt) |
| Cloudflare | CDN e protecção DDoS | Global |
| SendGrid (Twilio) | Envio de emails transaccionais | UE |
| Stripe | Processamento de pagamentos | UE (Irlanda) |
Notificamos os clientes sobre alterações a esta lista, permitindo oposição no prazo de 30 dias.
7 Transferências Internacionais
Os dados pessoais são primariamente armazenados e processados na União Europeia. Quando transferências para países terceiros são necessárias, garantimos mecanismos de protecção adequados:
- Decisões de adequação: Países reconhecidos pela Comissão Europeia
- Cláusulas Contratuais-Tipo (SCCs): Aprovadas pela Comissão Europeia
- Medidas suplementares: Encriptação adicional quando necessário
Não transferimos dados para países sem garantias adequadas de proteção.
8 Encarregado de Proteção de Dados
Nomeámos um Encarregado de Proteção de Dados (DPO) para supervisionar a conformidade com o RGPD e responder às suas questões.
Contactar o DPO
Pode também apresentar reclamação junto da autoridade de controlo competente. Em Portugal: CNPD (Comissão Nacional de Proteção de Dados). Em Angola: APD (Agência de Proteção de Dados).