A presente Política de Retenção e Eliminação de Dados estabelece os princípios, critérios, prazos orientadores e procedimentos aplicáveis à conservação, limitação, anonimização e eliminação de dados pessoais tratados no contexto da utilização da aplicação LEXIUM, em conformidade com o Regulamento (UE) 2016/679 (RGPD) e com a Lei n.º 58/2019, de 8 de agosto.
A política concretiza, em especial, o princípio da limitação da conservação previsto no artigo 5.º, n.º 1, alínea e), do RGPD, segundo o qual os dados pessoais devem ser conservados apenas durante o período necessário para as finalidades que determinaram a sua recolha ou tratamento, sem prejuízo dos prazos de conservação legalmente impostos ou da sua conservação para efeitos de declaração, exercício ou defesa de direitos em processo judicial.
1. Objetivo e âmbito
A presente política aplica-se a todos os dados pessoais tratados no âmbito da App LEXIUM, incluindo dados tratados pela OfiSync Tech enquanto responsável pelo tratamento e dados tratados pela OfiSync Tech enquanto subcontratante, por conta do utilizador profissional da App.
A política abrange, nomeadamente:
Dados de conta, autenticação, faturação e suporte do utilizador profissional.
Dados inseridos pelo utilizador profissional relativos a clientes, processos, consultas, agenda, documentos e registos financeiros.
Registos técnicos, de segurança, auditoria, incidentes e backups.
Pedidos de exercício de direitos, reclamações e comunicações relacionadas com proteção de dados.
2. Princípios gerais de retenção
A conservação de dados pessoais na LEXIUM obedece aos seguintes princípios:
Necessidade: os dados apenas são conservados enquanto forem necessários para a finalidade que justificou o seu tratamento.
Minimização: não devem ser mantidos dados excessivos, desatualizados ou irrelevantes.
Limitação da conservação: terminado o período necessário ou legalmente imposto, os dados devem ser eliminados, anonimizados ou sujeitos a limitação adequada.
Segurança: os dados conservados devem permanecer protegidos por medidas técnicas e organizativas adequadas, nos termos do artigo 32.º do RGPD.
Responsabilização: as decisões sobre conservação e eliminação devem poder ser justificadas e documentadas.
3. Distinção de papéis no tratamento
3.1. Dados em que a OfiSync Tech atua como responsável pelo tratamento
A OfiSync Tech atua como responsável pelo tratamento relativamente aos dados necessários à criação e gestão da conta do utilizador, autenticação, faturação, suporte técnico, segurança, prevenção de abuso, comunicações de serviço e gestão da relação contratual associada à utilização da App.
Quanto a estes dados, a OfiSync Tech define os critérios de retenção com base na finalidade do tratamento, no cumprimento de obrigações legais, na necessidade de defesa de direitos e nos princípios previstos no RGPD.
3.2. Dados em que a OfiSync Tech atua como subcontratante
Relativamente aos dados pessoais inseridos pelo utilizador profissional no exercício da sua atividade, incluindo dados de clientes, processos, documentos e demais registos profissionais, a OfiSync Tech atua, em regra, como subcontratante, nos termos do artigo 28.º do RGPD.
Nestes casos, os prazos de retenção materialmente aplicáveis são definidos pelo utilizador profissional, enquanto responsável pelo tratamento, cabendo à OfiSync Tech executar ou apoiar a eliminação, exportação, limitação ou devolução dos dados de acordo com as instruções documentadas recebidas e com os constrangimentos técnicos do serviço.
4. Critérios de definição dos prazos de retenção
Na ausência de prazo legal específico, os prazos de conservação são definidos com base nos seguintes critérios cumulativos ou alternativos:
Duração da relação contratual com o utilizador.
Necessidade operacional de disponibilização do serviço.
Prazos legais ou regulamentares de conservação aplicáveis.
Necessidade de comprovar transações, comunicações, consentimentos ou atos relevantes.
Necessidade de prevenir fraude, abusos, incidentes de segurança ou utilização indevida.
Necessidade de declarar, exercer ou defender direitos em processo judicial, arbitral, disciplinar, administrativo ou extrajudicial.
Sempre que não exista fundamento para a continuação da conservação em formato identificável, os dados devem ser apagados ou irreversivelmente anonimizados.
5. Prazos orientadores de retenção
Os prazos indicados abaixo constituem critérios orientadores internos e devem ser interpretados em articulação com obrigações legais específicas, com a arquitetura técnica efetiva da App e com as instruções do utilizador profissional quando este seja responsável pelo tratamento.
| Categoria de dados | Papel da OfiSync Tech | Prazo orientador de retenção | Critério jurídico/funcional |
|---|---|---|---|
| Dados de conta do utilizador profissional | Responsável pelo tratamento | Durante a vigência da conta e até 12 meses após encerramento, salvo necessidade legal ou contenciosa diversa | Execução do contrato, gestão de segurança, suporte e defesa de direitos. |
| Dados de autenticação e registos mínimos de acesso | Responsável pelo tratamento | Enquanto necessários à segurança, auditoria técnica e prevenção de fraude; em regra, prazo limitado e proporcional | Segurança e interesse legítimo, com limitação da conservação. |
| Dados de faturação e elementos contabilísticos | Responsável pelo tratamento | Pelo prazo legalmente exigido pela legislação fiscal, contabilística e comercial aplicável | Cumprimento de obrigação legal. |
| Pedidos de exercício de direitos e comunicações de proteção de dados | Responsável pelo tratamento | Até 3 anos após encerramento do pedido, salvo litígio ou exigência legal superior | Prova de cumprimento e defesa de direitos. |
| Registos de incidentes de segurança | Responsável pelo tratamento | Enquanto necessários à investigação, mitigação, auditoria e defesa de direitos, com revisão periódica | Segurança e responsabilização. |
| Dados de clientes, processos, consultas, documentos e agenda inseridos pelo utilizador profissional | Subcontratante | Durante a vigência da conta ou até instrução de eliminação do utilizador profissional | Instruções do responsável pelo tratamento |
| Dados constantes de backups | Responsável/Subcontratante, consoante o caso | Apenas pelo período tecnicamente necessário para assegurar recuperação e resiliência, com eliminação cíclica e inacessibilidade operacional | Segurança e continuidade do serviço. |
6. Regra especial para dados introduzidos pelo utilizador profissional
Os dados pessoais inseridos pelo utilizador profissional na LEXIUM são conservados enquanto a conta estiver ativa ou até que o utilizador profissional determine a sua eliminação, exportação ou substituição, sem prejuízo de:
conservação residual em cópias de segurança por período tecnicamente transitório;
conservação imposta por obrigação legal específica;
necessidade de preservação limitada para investigação de incidentes, auditoria de segurança ou defesa de direitos em processo judicial.
Compete ao utilizador profissional, enquanto responsável pelo tratamento, definir os prazos substantivos de retenção dos dados dos seus clientes e demais terceiros, devendo assegurar que tais prazos são compatíveis com o RGPD, com a legislação aplicável e com os deveres profissionais e deontológicos que sobre si recaem.
7. Encerramento da conta e apagamento
Quando o utilizador solicita o encerramento da conta ou a eliminação de dados, a LEXIUM deve desencadear, conforme tecnicamente aplicável, um processo de apagamento estruturado, que pode incluir:
Desativação da conta e cessação de acessos ativos.
Eliminação dos dados das bases operacionais ativas.
Marcação lógica para eliminação definitiva em sistemas auxiliares.
Expiração progressiva dos dados em backups, snapshots ou réplicas técnicas.
Conservação estritamente residual quando exista obrigação legal ou necessidade de defesa de direitos.
O apagamento não prejudica a possibilidade de retenção limitada quando os dados devam ser conservados para cumprimento de obrigação legal, para exercício de um direito num processo judicial ou para cumprimento de deveres de segurança e integridade do sistema.
8. Suspensão, limitação e anonimização
Sempre que a eliminação imediata não seja legalmente possível ou tecnicamente aconselhável, a LEXIUM poderá aplicar medidas de limitação do tratamento, bloqueio funcional, pseudonimização ou anonimização, reduzindo o acesso aos dados ao mínimo necessário.
A anonimização apenas será considerada suficiente quando seja irreversível e não permita a reidentificação do titular por meios razoavelmente utilizáveis.
9. Backups e retenção técnica transitória
Os backups destinam-se exclusivamente a garantir disponibilidade, integridade, resiliência e capacidade de recuperação dos sistemas. Os dados neles contidos não devem ser utilizados para finalidades autónomas incompatíveis com as finalidades iniciais do tratamento.
A retenção em backups deve ser limitada ao ciclo técnico estritamente necessário, com eliminação automática ou sobregravação periódica, e com restrição de acesso a pessoal estritamente autorizado.
Sempre que um pedido de apagamento não possa produzir efeitos imediatos em backups imutáveis ou de rotação cíclica, os dados devem permanecer isolados de utilização operacional normal e ser definitivamente eliminados no termo do ciclo de retenção técnica aplicável.
10. Registos de exercício de direitos e prova de conformidade
Os pedidos de acesso, retificação, apagamento, oposição, limitação, portabilidade ou reclamação podem ser conservados pelo período necessário a demonstrar o cumprimento das obrigações legais e a gestão de eventuais litígios, sem prejuízo do dever de minimização.
Devem ser conservados, na medida do estritamente necessário:
o teor do pedido;
a data de receção;
a identidade do requerente, quando necessária à validação do pedido;
a resposta dada;
os fundamentos jurídicos ou operacionais relevantes.
11. Procedimentos de eliminação segura
A eliminação de dados pessoais deve ser realizada através de procedimentos adequados ao suporte e ao contexto técnico, que assegurem, sempre que possível, a impossibilidade de recuperação indevida dos dados eliminados.
Consoante o sistema utilizado, a eliminação segura pode incluir:
apagamento lógico com remoção de referências ativas;
sobregravação ou purga segura, quando tecnicamente aplicável;
destruição segura de suportes físicos, quando existam;
eliminação de credenciais e chaves de acesso associadas, quando pertinente.
12. Revisão periódica de dados conservados
A OfiSync Tech deve promover revisões periódicas dos dados conservados sob sua responsabilidade, para identificar dados obsoletos, excessivos, desnecessários ou suscetíveis de eliminação, anonimização ou limitação.
No que respeita aos dados tratados por conta do utilizador profissional, a App pode disponibilizar funcionalidades de exportação, apagamento, eliminação em massa, arquivo ou parametrização de retenção, cabendo ao utilizador profissional decidir da sua utilização em conformidade com o regime jurídico aplicável ao seu tratamento.
13. Exercício do direito ao apagamento
O direito ao apagamento pode ser exercido nos termos do artigo 17.º do RGPD, quando os dados deixem de ser necessários, quando o consentimento seja retirado e não exista outro fundamento jurídico, quando o tratamento seja ilícito, quando exista oposição relevante ou quando o apagamento resulte de obrigação legal.
O direito ao apagamento pode, contudo, estar limitado quando o tratamento continue a ser necessário, designadamente para cumprimento de obrigação legal, exercício da liberdade de expressão e informação, interesse público relevante ou declaração, exercício ou defesa de um direito num processo judicial.
14. Autoridade de controlo e pedidos de esclarecimento
Os titulares dos dados podem solicitar esclarecimentos sobre os critérios de retenção aplicáveis aos seus dados e exercer os seus direitos junto do responsável pelo tratamento competente, sem prejuízo do direito de apresentar reclamação à autoridade de controlo.
Em Portugal, a autoridade de controlo competente é a Comissão Nacional de Proteção de Dados (CNPD), disponível em www.cnpd.pt.
15. Revisão da política
A presente política pode ser atualizada a qualquer momento para refletir alterações legais, regulamentares, tecnológicas, organizativas ou funcionais da App LEXIUM. A versão em vigor será identificada pela respetiva data de atualização.
16. Contacto
OfiSync Tech
Email: ofisync.tech@gmail.com