Visão geral
O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se a todo o tratamento de dados pessoais de indivíduos no Espaço Económico Europeu (EEE), independentemente do local onde o responsável pelo tratamento esteja estabelecido. A OctoHex trata dados pessoais de utilizadores comerciais sediados na UE e está totalmente empenhada na conformidade com o RGPD.
A nossa abordagem segue os princípios fundamentais do RGPD:
- Licitude, lealdade e transparência — tratamos os dados apenas com base numa base legal válida e somos transparentes sobre a forma como os utilizamos
- Limitação das finalidades — os dados são recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de forma incompatível com essas finalidades
- Minimização dos dados — recolhemos apenas o que é estritamente necessário para o serviço
- Exatidão — tomamos medidas razoáveis para garantir que os dados estão corretos e atualizados
- Limitação da conservação — os dados são conservados apenas durante o tempo necessário (consulte o nosso calendário de retenção)
- Integridade e confidencialidade — medidas técnicas e organizativas adequadas protegem os dados contra tratamento não autorizado, perda ou destruição
- Responsabilidade — mantemos registos das atividades de tratamento e somos capazes de demonstrar a conformidade
Responsável pelo tratamento
Para efeitos do RGPD, o responsável pelo tratamento é:
Serviço profissional de imobilizador de ECU
E-mail: privacy@octohex.com
Contacto de Proteção de Dados: dpo@octohex.com
Quando atuamos como subcontratante em seu nome (por exemplo, ao processar dados de veículos que carrega), comprometemo-nos a tratar esses dados apenas mediante as suas instruções documentadas e em conformidade com o Art. 28 do RGPD.
Base legal para o tratamento
| Atividade de tratamento | Base legal | Artigo do RGPD |
|---|---|---|
| Criação e gestão de conta | Execução de um contrato | Art. 6(1)(b) |
| Processamento de encomendas de ECU | Execução de um contrato | Art. 6(1)(b) |
| Envio de e-mails transacionais (estado da encomenda, verificação) | Execução de um contrato | Art. 6(1)(b) |
| Manutenção de registos de auditoria de encomendas | Obrigação legal + Interesses legítimos | Art. 6(1)(c) + 6(1)(f) |
| Deteção de fraude e prevenção de abusos | Interesses legítimos | Art. 6(1)(f) |
| Resposta a ordens judiciais ou pedidos de autoridades policiais | Obrigação legal | Art. 6(1)(c) |
Não dependemos do consentimento como base legal para qualquer atividade de tratamento essencial. Caso o consentimento seja obtido (por exemplo, comunicações de marketing opcionais, caso venham a ser introduzidas no futuro), este será documentado separadamente, dado livremente, específico, informado e inequívoco — e pode ser retirado a qualquer momento sem afetar o acesso ao serviço.
Direitos dos titulares dos dados
Pode exercer qualquer um dos seguintes direitos contactando-nos através de privacy@octohex.com. Confirmaremos a sua solicitação no prazo de 72 horas e responderemos dentro de 30 dias de calendário. Pedidos complexos ou múltiplos podem ser prorrogados por mais dois meses com aviso prévio.
| Direito | O que significa | Limitações |
|---|---|---|
| Acesso (Art. 15) | Obter uma cópia de todos os dados pessoais que mantemos sobre si, juntamente com detalhes de como são tratados | Podemos ocultar dados relativos a terceiros |
| Retificação (Art. 16) | Corrigir dados pessoais inexatos ou incompletos | Não é possível alterar registos de auditoria legalmente exigidos |
| Apagamento (Art. 17) | Solicitar a eliminação dos seus dados pessoais ("direito a ser esquecido") | Os registos de auditoria de encomendas são retidos para conformidade legal; registos financeiros são retidos por 5 anos |
| Limitação (Art. 18) | Solicitar que limitemos o tratamento enquanto se resolve uma disputa | A funcionalidade da conta ativa pode ser afetada |
| Portabilidade (Art. 20) | Receber os seus dados num formato estruturado, de uso comum e de leitura automática (JSON/CSV) | Aplica-se aos dados que nos forneceu e que foram tratados por meios automatizados |
| Oposição (Art. 21) | Opor-se ao tratamento baseado em interesses legítimos | Cessaremos o tratamento, a menos que possamos demonstrar motivos legítimos e imperiosos |
| Retirar Consentimento (Art. 7) | Retirar o consentimento quando este for a base legal do tratamento | Não afeta a licitude do tratamento anterior |
Como submeter um pedido
- Envie um e-mail para privacy@octohex.com com o assunto: "Pedido RGPD — [O seu e-mail registado]"
- Indique claramente o direito que está a exercer
- Podemos pedir-lhe para verificar a sua identidade antes de processar o pedido
- Os pedidos são gratuitos, a menos que sejam manifestamente infundados ou excessivos
Direito a apresentar queixa
Se acredita que não tratámos os seus dados em conformidade com o RGPD, tem o direito de apresentar queixa junto da sua autoridade de controlo nacional. Em Portugal, esta é a CNPD (cnpd.pt). Uma lista completa das autoridades de controlo da UE está disponível em edpb.europa.eu.
Transferências internacionais de dados
Procuramos armazenar e processar todos os dados pessoais dentro do Espaço Económico Europeu (EEE). Quando utilizamos infraestruturas ou subcontratantes fora do EEE (por exemplo, serviços de nuvem baseados nos EUA), garantimos uma proteção adequada através de um ou mais dos seguintes mecanismos:
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão 2021/914)
- Certificação no Quadro de Privacidade de Dados UE-EUA, quando aplicável
- Decisões de adequação emitidas pela Comissão Europeia
Pode solicitar uma cópia das salvaguardas de transferência aplicáveis contactando privacy@octohex.com.
Subcontratantes
Contratamos os seguintes subcontratantes que podem processar dados pessoais em nosso nome:
| Subcontratante | Finalidade | Localização | Salvaguarda |
|---|---|---|---|
| Fornecedor de alojamento em nuvem | Infraestrutura de servidores, alojamento de bases de dados | UE (principal) | DPA / CCT |
| PayPal (Europe) S.à r.l. | Processamento de pagamentos | Luxemburgo / UE | Entidade da UE — o RGPD aplica-se diretamente |
| NOWPayments | Processamento de pagamentos em criptomoeda | Internacional | CCT + DPA |
| Serviço de entrega de e-mails | E-mail transacional (verificação de conta, notificações de encomendas) | UE / EEE | DPA |
Realizamos diligências devidas a todos os subcontratantes antes da sua contratação e mantemos Acordos de Tratamento de Dados (DPAs) escritos com cada um deles. Notificá-lo-emos sobre qualquer nova adição de subcontratantes que possa afetar materialmente os seus dados.
Política de violação de dados
No caso de uma violação de dados pessoais, seguimos os procedimentos exigidos pelos Art. 33–34 do RGPD:
- Deteção: Mantemos monitorização e alertas para detetar potenciais violações com rapidez
- Avaliação: As violações são avaliadas quanto à sua gravidade, âmbito e probabilidade de danos no prazo de 24 horas após a sua descoberta
- Notificação à autoridade de controlo: Quando exigido, notificamos a autoridade de controlo competente no prazo de 72 horas após termos conhecimento da violação, a menos que esta não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares
- Notificação aos titulares dos dados: Quando uma violação for suscetível de resultar num elevado risco para os seus direitos e liberdades, notificá-lo-emos diretamente e sem demora injustificada, descrevendo a natureza da violação, as consequências prováveis e as medidas tomadas
- Documentação: Todas as violações, incluindo as que não exigem notificação, são documentadas internamente
Para denunciar um suspeito incidente de segurança, contacte imediatamente security@octohex.com.
Avaliação de Impacto sobre a Proteção de Dados (AIPD)
Realizámos uma Avaliação de Impacto sobre a Proteção de Dados para as nossas atividades essenciais de tratamento, especificamente no que diz respeito ao tratamento de ficheiros binários de ECU, que podem ser considerados dados técnicos sensíveis relativos a sistemas de segurança de veículos.
Principais conclusões e atenuações da nossa AIPD:
- Risco: Os ficheiros ECU poderiam teoricamente ser utilizados para identificar um veículo específico
Atenuação: Os ficheiros são eliminados imediatamente após o processamento; apenas um hash SHA-256 é retido para fins de auditoria - Risco: Registos de auditoria que contêm endereços IP e detalhes do veículo
Atenuação: Acesso estritamente limitado ao pessoal autorizado; registos retidos apenas pelo período mínimo exigido por lei - Risco: Interceção de dados de pagamento
Atenuação: Nenhum dado de cartão é armazenado nos nossos servidores; todo o processamento de pagamentos é delegado a processadores certificados em conformidade com o PCI-DSS
Encarregado da Proteção de Dados
Embora não seja legalmente exigido para todas as organizações, a OctoHex designou um contacto de Proteção de Dados para todas as questões relacionadas com o RGPD:
E-mail: dpo@octohex.com
Assunto: "RGPD — [natureza do pedido]"
Tempo de resposta: No prazo de 5 dias úteis
Para dúvidas gerais de privacidade, consulte a nossa Política de Privacidade. Para dúvidas sobre os seus direitos, consulte a secção Direitos dos titulares dos dados acima.