O DONATIVA foi desenvolvido desde o início com a protecção de dados como prioridade. Esta página explica como cumprimos o Regulamento Geral sobre a Protecção de Dados (RGPD — Regulamento UE 2016/679) e como protegemos os dados das organizações que utilizam a plataforma.
O DONATIVA e o RGPD
O RGPD é o regulamento europeu que estabelece as regras sobre recolha, armazenamento e tratamento de dados pessoais. Aplica-se a todas as organizações que tratam dados de cidadãos europeus.
No contexto do DONATIVA, existem duas relações distintas:
- Rui DaCruz LDA como responsável pelo tratamento — para os dados dos utilizadores da plataforma e dados de contacto
- Rui DaCruz LDA como subcontratante — para os dados que as organizações clientes introduzem na plataforma (doadores, beneficiários, etc.)
Compromissos do DONATIVA
🇪🇺 Dados na União Europeia
Servidores de produção em Portugal e na União Europeia. Backups geo-redundantes via Google, ao abrigo das Cláusulas Contratuais Padrão da UE.
🛡️ Segurança por defeito
Encriptação SSL em todas as comunicações, autenticação segura e controlo de acesso por níveis de permissão.
📦 Backups regulares
Cópias de segurança automáticas com frequência, retenção e geo-redundância conforme o plano contratado. Detalhes no SLA.
🗑️ Direito ao apagamento
Os dados são eliminados de forma segura após o término do contrato, no prazo máximo de 30 dias.
📤 Portabilidade
A organização pode exportar todos os seus dados em formato CSV ou Excel a qualquer momento.
🔔 Notificação de incidentes
Em caso de violação de dados, a organização cliente é notificada no prazo de 72 horas, conforme exigido pelo RGPD.
Subcontratantes
Para a prestação do serviço, a Rui DaCruz LDA recorre aos seguintes subcontratantes, todos sujeitos a acordos de confidencialidade e em conformidade com o RGPD:
- Fornecedor de alojamento da plataforma: servidores onde a plataforma de produção está instalada, localizados em Portugal ou na União Europeia
- Google LLC: sistema de armazenamento de backups (Google Drive), com replicação automática em múltiplos data centers para fins de redundância geográfica. A Google opera ao abrigo das Cláusulas Contratuais Padrão da UE para transferências internacionais de dados
- IfThenPay, Lda.: prestador de serviços de pagamento (ou equivalente contratado pela organização cliente), para processamento de donativos monetários por Referência Multibanco, MBWay e transferência bancária. Opera em Portugal, em conformidade com o RGPD. Aplicável apenas a clientes que activem a funcionalidade de donativos monetários
Qualquer alteração à lista de subcontratantes é comunicada às organizações clientes com antecedência mínima de 30 dias, prazo durante o qual a organização cliente tem o direito de se opor.
Acordo de Subcontratação (DPA)
Quando as organizações utilizam o DONATIVA para gerir dados pessoais de doadores, beneficiários ou imóveis afectados (módulo SOS Catástrofes), a Rui DaCruz LDA actua como subcontratante nos termos do artigo 28.º do RGPD.
No caso específico do módulo SOS Catástrofes, quando um pedido de apoio é encaminhado de uma organização (por exemplo, uma Câmara Municipal) para outra instituição parceira (por exemplo, uma IPSS), aplica-se o princípio da minimização de dados: apenas a informação estritamente necessária ao atendimento é transmitida, e os dados pessoais do proprietário do imóvel permanecem visíveis exclusivamente à organização que os registou.
Nessa qualidade, comprometemo-nos a:
- Tratar os dados apenas segundo as instruções documentadas da organização cliente
- Garantir que as pessoas autorizadas a tratar os dados assumiram compromissos de confidencialidade
- Tomar todas as medidas de segurança exigidas pelo artigo 32.º do RGPD
- Recorrer apenas aos subcontratantes listados na secção anterior, notificando previamente a organização cliente de qualquer alteração à lista
- Auxiliar a organização cliente no cumprimento dos direitos dos titulares dos dados
- Eliminar ou devolver todos os dados no fim do contrato
- Fornecer todas as informações necessárias para demonstrar o cumprimento do RGPD
As organizações que necessitem de um Acordo de Subcontratação formal (DPA) assinado podem solicitá-lo através de info@donativa.pt. Para clientes Enterprise e Nacional, o DPA assinado faz parte integrante do contrato.
Responsabilidades da Organização Cliente
Como responsável pelo tratamento dos dados de doadores e beneficiários, a organização cliente tem as seguintes responsabilidades:
- Assegurar que existe base legal para o tratamento dos dados pessoais que introduz na plataforma
- Informar os titulares dos dados (doadores, beneficiários) sobre o tratamento efectuado
- Responder aos pedidos de exercício de direitos dos titulares
- Cumprir os demais requisitos do RGPD aplicáveis à sua actividade
Medidas de Segurança Técnicas
O DONATIVA implementa as seguintes medidas de segurança:
- Encriptação em trânsito: todas as comunicações entre o browser e o servidor são encriptadas via TLS 1.2 ou superior
- Autenticação: sistema de autenticação com sessões seguras e tempo de expiração automático
- Autenticação em dois passos (2FA): obrigatória em todas as contas administrativas com acesso a dados sensíveis ou a infra-estruturas de backup
- Controlo de acesso: três níveis de permissão (administrador, responsável, operacional) com segregação de funções
- Auditoria: registo de todas as acções críticas (entradas, saídas, alterações) com identificação do utilizador. Retenção alargada para Enterprise (180 dias) e Nacional (365 dias)
- Backups: cópias de segurança automáticas com frequência conforme plano contratado, com encriptação. Geo-redundância via infra-estrutura cloud em conformidade com o RGPD para os planos Enterprise e Nacional
- Monitorização: alertas automáticos para tentativas de acesso não autorizado
Direitos dos Titulares
Ao abrigo do RGPD, qualquer pessoa cujos dados sejam tratados no contexto do DONATIVA tem os seguintes direitos, que podem ser exercidos contactando info@donativa.pt:
- Direito de acesso — saber que dados são tratados e como
- Direito de rectificação — corrigir dados inexactos
- Direito ao apagamento — solicitar a eliminação dos dados
- Direito à portabilidade — receber os dados em formato reutilizável
- Direito de oposição — opor-se a determinados tipos de tratamento
- Direito de limitação — restringir o tratamento em determinadas circunstâncias
Os pedidos são respondidos no prazo máximo de 30 dias. Em caso de insatisfação, pode apresentar reclamação à CNPD em www.cnpd.pt.
Actualizações
Esta página é actualizada sempre que ocorram alterações relevantes nas práticas de tratamento de dados ou na legislação aplicável. A data da última actualização está indicada no topo da página.