Esta Política descreve como o APPA8 (adiante, Fornecedor) recolhe e trata dados pessoais no âmbito da prestação do serviço a empresas e profissionais. Aplica-se ao site público, à área autenticada e a todos os subdomínios operados em appa8.com.
1. Responsável pelo tratamento
Ricardo Grangeia (empresário em nome individual), NIF 225630745, com domicílio em Rua do Grou 16, 3770-061 Oiã, Portugal. Contacto: geral@appa8.com.
Em relação aos dados que os Clientes inserem no serviço (conteúdo dos workspaces), o Fornecedor actua como subcontratante (processador) — o responsável pelo tratamento é o próprio Cliente. Esses casos são regulados pelo nosso Acordo de Tratamento de Dados (DPA).
2. Tipos de dados recolhidos
2.1. Dados de conta
- Nome e apelido do utilizador autorizado;
- Endereço de e-mail profissional;
- Empresa associada e cargo (opcional);
- Credenciais de autenticação (passwords armazenadas com hashing bcrypt — nunca em claro);
- Idioma e tema preferidos (cookies).
2.2. Dados de facturação
- Denominação social, NIF e morada para emissão de factura;
- Histórico de pagamentos e estado das subscrições;
- Os dados de cartão são recolhidos directamente pelo Stripe — o Fornecedor nunca os armazena nem os tem acesso.
2.3. Dados de utilização e técnicos
- Endereço IP e user-agent;
- Registos de início e fim de sessão (auditoria);
- Logs de acesso à API e a rotas administrativas;
- Erros e excepções aplicacionais.
2.4. Conteúdo do workspace
Equipamentos, manutenções, inventário, colaboradores e outros registos inseridos pelos utilizadores autorizados. Estes dados são propriedade do Cliente e o Fornecedor actua sobre eles como subcontratante (ver DPA).
3. Finalidade e base legal
| Finalidade | Base legal |
|---|---|
| Prestação do Serviço (criação de conta, autenticação, manutenção da plataforma) | Execução do contrato (art.º 6.º, n.º 1, b) RGPD) |
| Facturação e cobrança | Execução do contrato + obrigação legal (fiscal) (art.º 6.º, n.º 1, b) e c) RGPD) |
| Segurança, prevenção de fraude e detecção de abusos | Interesse legítimo (art.º 6.º, n.º 1, f) RGPD) |
| Resposta a contactos comerciais ou de suporte | Diligências pré-contratuais / interesse legítimo |
| Cumprimento de obrigações legais e resposta a autoridades | Obrigação legal (art.º 6.º, n.º 1, c) RGPD) |
4. Período de retenção
- Dados de conta e workspace: durante a vigência da subscrição e por mais 30 dias após cancelamento, para permitir exportação. Findo esse prazo, são apagados dos sistemas de produção.
- Backups: mantidos cifrados pelo período do ciclo de backups (até 30 dias para retenção operacional; até 1 ano para fins de auditoria), após o que são sobrescritos sem recuperação selectiva.
- Documentos fiscais (faturas): 10 anos, por imposição legal (Decreto-Lei n.º 28/2019).
- Logs de segurança: 12 meses, salvo se relacionados com investigação em curso.
5. Direitos do utilizador
Os titulares dos dados podem, a qualquer momento, exercer os direitos previstos no RGPD:
- acesso aos dados;
- rectificação;
- apagamento ("direito ao esquecimento"), quando aplicável;
- limitação do tratamento;
- portabilidade;
- oposição;
- retirada do consentimento, sem efeito retroactivo, quando o tratamento se baseie em consentimento.
Os pedidos podem ser enviados para geral@appa8.com. Quando o titular dos dados seja utilizador final do Cliente (ex.: colaborador de uma empresa cliente), o Fornecedor encaminha o pedido para o Cliente, que é o responsável pelo tratamento.
Tem ainda o direito de apresentar reclamação à autoridade de controlo competente, em Portugal a Comissão Nacional de Proteção de Dados (CNPD).
6. Segurança dos dados
O Fornecedor aplica medidas técnicas e organizativas apropriadas ao risco, descritas na página de Segurança: encriptação em trânsito (TLS), hashing de credenciais, isolamento multi-tenant ao nível da base de dados, controlo de acessos, registos de auditoria e backups encriptados off-site.
7. Localização dos dados e subprocessadores
Alojamento principal: servidor próprio do Fornecedor, fisicamente alojado nas suas instalações em Portugal (Oiã). Os dados dos clientes mantêm-se em território português.
Adicionalmente, o Fornecedor recorre a entidades terceiras que tratam dados pessoais por sua conta (subprocessadores) com sujeição a obrigações contratuais equivalentes às previstas no RGPD. Lista actual:
| Subprocessador | Finalidade | Região | DPA |
|---|---|---|---|
| Cloudflare, Inc. | CDN, proxy, mitigação de DDoS e filtragem de tráfego. | EUA + edge global (transferências com SCC + DPF da UE-EUA) | link |
| Stripe Payments Europe, Ltd. | Processamento de pagamentos das subscrições. Nunca recebe dados operacionais dos workspaces. | Irlanda (UE) | link |
| Backblaze, Inc. | Réplica encriptada off-site das cópias de segurança (bucket B2). | EUA (transferências com SCC + DPF da UE-EUA) | link |
Transferências para fora do Espaço Económico Europeu baseiam-se em Cláusulas Contratuais-Tipo (SCC) aprovadas pela Comissão Europeia e, quando aplicável, na adesão do destinatário ao EU-U.S. Data Privacy Framework.
Adições ou substituições de subprocessadores são comunicadas com pré-aviso mínimo de 30 dias.
8. Cookies
Ver detalhe na Política de Cookies.
9. Menores
O Serviço não se destina a menores de 18 anos. Não recolhemos conscientemente dados de menores; se tiver conhecimento de que tal sucedeu, contacte-nos para apagamento imediato.
10. Alterações a esta Política
Esta Política pode ser actualizada para reflectir alterações legais, técnicas ou operacionais. A versão em vigor é a publicada nesta página, com indicação da data de última actualização. Alterações materiais serão comunicadas por e-mail aos Clientes com pré-aviso mínimo de 30 dias.