Compromisso RGPD

O OficinaGest está em conformidade com o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) e com a Lei n.º 58/2019, de 8 de agosto, que executa o RGPD na ordem jurídica nacional.

1. Papéis nos termos do RGPD

2. Acordo de Subcontratação (DPA)

Quando a oficina usa o OficinaGest para gerir dados dos seus próprios clientes, existe uma relação Responsável–Subcontratante. Os termos da nossa subcontratação seguem o art.º 28.º do RGPD e incluem:

• Tratamento exclusivamente sob instruções documentadas do Cliente;
• Confidencialidade vinculativa de toda a equipa com acesso a dados;
• Medidas técnicas e organizativas adequadas (encriptação, acesso por role, logs auditáveis);
• Notificação de violações de dados em até 24 horas após deteção;
• Apoio na resposta a pedidos de titulares e na realização de DPIAs;
• Eliminação ou devolução dos dados após cessação do contrato.

Um DPA formal e assinado está disponível mediante pedido para clientes do plano principal e Enterprise. Contactar geral@qwsolutions.pt.

3. Subprocessadores autorizados

A OficinaGest recorre aos seguintes subprocessadores para a prestação do Serviço. Todos foram avaliados quanto a conformidade RGPD e localização de tratamento:

Em caso de alteração da lista de subprocessadores, os clientes ativos serão notificados com 30 dias de antecedência e poderão objetar formalmente.

4. Transferências internacionais

Por omissão, todos os dados pessoais ficam armazenados em servidores na União Europeia. Quando alguma operação técnica envolve transferência para fora da UE/EEE (por exemplo, processamento de cartão de crédito via Stripe), são aplicadas as seguintes salvaguardas:

• Cláusulas Contratuais-Tipo da Comissão Europeia (decisão 2021/914);
• Verificação prévia de adequação do país recetor;
• Avaliação de impacto da transferência (TIA) documentada.

5. Medidas de Segurança

Técnicas

• Encriptação TLS 1.2+ em todas as comunicações;
• Encriptação em repouso (AES-256) das bases de dados;
• Hash de passwords com bcrypt e salting;
• Autenticação multi-fator opcional (em desenvolvimento);
• Backups diários encriptados em geografia separada;
• Patching automático de dependências de segurança.

Organizativas

• Controlo de acesso por roles (admin / mecânico) com princípio do menor privilégio;
• NDAs e formação RGPD obrigatória para toda a equipa;
• Procedimento documentado de resposta a incidentes;
• Auditorias internas anuais.

6. Direitos dos Titulares

Garantimos a possibilidade de exercer todos os direitos previstos no RGPD, incluindo a portabilidade total dos dados em formato CSV/Excel.

Para qualquer pedido relativo a dados de clientes finais da oficina, o titular deve contactar primeiro a oficina (que é Responsável pelo Tratamento). A OficinaGest dá apoio técnico à oficina na resposta ao pedido.

7. Violações de Dados

Em caso de violação de dados pessoais com risco para os titulares, comprometemo-nos a:

• Notificar o cliente afetado em até 24 horas;
• Notificar a CNPD em até 72 horas, se aplicável;
• Comunicar aos titulares afetados, em linguagem clara, se o risco for elevado;
• Adotar medidas corretivas e prevenir reincidência.

8. Encarregado de Proteção de Dados (DPO)

Embora a OficinaGest não esteja legalmente obrigada à designação de um DPO, mantemos um ponto de contacto único para todas as questões de privacidade e proteção de dados:

✉️ geral@qwsolutions.pt

9. CNPD (Autoridade de Controlo)

A autoridade de controlo competente em Portugal é a Comissão Nacional de Proteção de Dados (CNPD).

Av. D. Carlos I, 134 — 1.º · 1200-651 Lisboa
📞 +351 213 928 400
🌐 www.cnpd.pt