Lei: LGPD — Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) | Vigência: 18 de setembro de 2020 | Autoridade: ANPD
1. Compromisso com a LGPD
O VaultSync está comprometido com o cumprimento integral da Lei Geral de Proteção de Dados Pessoais (LGPD). Esta página descreve como implementamos os princípios e obrigações estabelecidos na lei para proteger os dados pessoais dos nossos clientes e dos titulares cujos dados são tratados no contexto dos nossos serviços.
2. Papel do VaultSync no Tratamento de Dados
| Contexto | Papel VaultSync | Descrição |
|---|---|---|
| Dados de clientes do dashboard | Controlador | Determina a finalidade e os meios do tratamento dos dados de acesso ao dashboard |
| Dados nos ficheiros de backup | Operador | Trata dados em nome do cliente. O conteúdo dos backups é encriptado e inacessível ao VaultSync |
Quando o VaultSync atua como operador, celebra um Acordo de Processamento de Dados (APD) com o cliente, estabelecendo as obrigações de ambas as partes ao abrigo da LGPD.
3. Bases Legais para o Tratamento (Art. 7º LGPD)
| Tratamento | Base Legal | Artigo |
|---|---|---|
| Execução do serviço de backup | Execução de contrato | Art. 7º, V |
| Autenticação no dashboard | Legítimo interesse | Art. 7º, IX |
| Logs de auditoria | Cumprimento de obrigação legal | Art. 7º, II |
| Envio de alertas e relatórios | Execução de contrato | Art. 7º, V |
| Comunicações de suporte | Execução de contrato | Art. 7º, V |
4. Direitos dos Titulares (Art. 18º LGPD)
O VaultSync garante o exercício de todos os direitos previstos no Art. 18º da LGPD:
- Confirmação e acesso — Confirmar a existência de tratamento e aceder aos dados
- Correção — Corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação — De dados desnecessários ou tratados em desconformidade
- Portabilidade — Receber os dados em formato estruturado e interoperável
- Eliminação — Solicitar a eliminação dos dados tratados com base no consentimento
- Informação — Ser informado sobre entidades públicas e privadas com as quais os dados são partilhados
- Revogação do consentimento — Revogar o consentimento a qualquer momento
- Oposição — Opor-se a tratamento em desconformidade com a LGPD
Para exercer qualquer direito, contacte suporte@vaultsync.pt. O prazo de resposta é de 15 dias.
5. Encarregado de Proteção de Dados (DPO)
Encarregado (DPO): VaultSync — Equipa de Privacidade
Contacto: suporte@vaultsync.pt
Canal de comunicação: E-mail com assunto "LGPD — [Direito/Questão]"
6. Medidas Técnicas e Organizacionais de Segurança
Em conformidade com o Art. 46º da LGPD, adotamos as seguintes medidas:
- Encriptação: RSA-2048-OAEP + AES-256-GCM. Os dados são encriptados no servidor do cliente antes de qualquer transferência. O VaultSync não tem acesso ao conteúdo dos backups.
- Minimização de dados: Recolhemos apenas os dados estritamente necessários à prestação do serviço.
- Controlo de acesso: Autenticação com bcrypt (custo 12), tokens CSRF, rate limiting e proteção contra força bruta.
- Armazenamento seguro: Microsoft Azure Blob Storage com redundância geográfica e certificações de segurança internacionais.
- Transmissão segura: HTTPS/TLS 1.3 obrigatório em todas as comunicações.
- Credenciais protegidas: Credenciais locais protegidas pelo Windows DPAPI (nunca em texto claro).
7. Transferência Internacional de Dados
Os dados de clientes brasileiros podem ser armazenados nos centros de dados da Microsoft Azure (Brazil South — São Paulo e West Europe — Países Baixos). Esta transferência é realizada:
- Com base em cláusulas contratuais padrão aprovadas (Art. 33º, II LGPD)
- Com fornecedores que oferecem nível de proteção adequado (Microsoft é certificado ISO 27001, SOC 2)
8. Notificação de Incidentes
Em caso de incidente de segurança com impacto nos dados pessoais, o VaultSync compromete-se a:
- Notificar a ANPD no prazo de 72 horas após o conhecimento do incidente
- Notificar os titulares afetados em tempo razoável
- Fornecer informação sobre a natureza do incidente, dados afetados e medidas tomadas
9. Acordo de Processamento de Dados (APD)
Para clientes em que o VaultSync atua como operador (tratando dados pessoais de terceiros nos ficheiros de backup), celebramos um Acordo de Processamento de Dados que estabelece:
- As instruções do controlador (cliente) ao operador (VaultSync)
- As medidas de segurança implementadas
- Os procedimentos em caso de incidente
- As condições de subcontratação
Solicite o APD em suporte@vaultsync.pt.
Dúvidas sobre esta política? Contacte-nos em suporte@vaultsync.pt ou consulte as outras páginas legais abaixo.