Política de Privacidade

A P7CO® EcoResupply protege a privacidade e os dados pessoais em conformidade com o RGPD, Lei n.º 58/2019, Lei n.º 41/2004 (ePrivacy), Lei n.º 93/2021 (denúncias), DSA e boas práticas cloud.

  • Date 6 Sep 2025
  • Tags Privacidade RGPD CNPD Cookies Consentimento Denúncias P7CO EcoResupply

Política de Privacidade P7CO EcoResupply

1. Quem somos

P7CO EcoResupply é uma marca operada pela pH7x Systems JOAO P.S.V.T. LIVIO.
NIF 198690851
Sede Rua Pulido Valente, 24 RC DTO, 2910-642 Setúbal, Portugal
Contacto de privacidade privacy@ph7x.com
Contacto do DPO (se aplicável) abuse@p7co.org

Esta Política aplica-se aos sites, aplicações e canais de suporte do P7CO EcoResupply direcionados à União Europeia e ao Espaço Económico Europeu. O enquadramento jurídico principal é o Regulamento (UE) 2016/679 — RGPD, complementado em Portugal pela Lei n.º 58/2019, pela Lei n.º 41/2004 (comunicações eletrónicas e cookies) e pela Lei n.º 93/2021 (proteção de denunciantes). Para serviços intermediados e deveres de diligência aplica-se o Regulamento (UE) 2022/2065 — DSA, na medida em que seja aplicável ao modelo de serviço.

A autoridade de controlo principal é a CNPD — Comissão Nacional de Proteção de Dados em Portugal (mecanismo one-stop-shop do RGPD). Os utilizadores podem apresentar reclamação à CNPD ou à autoridade do seu país de residência no EEE.

2. Finalidades e bases legais

Tratamos dados pessoais para finalidades determinadas e legítimas. Abaixo indicam-se exemplos representativos.

Categoria Exemplos Finalidade Base legal
Conta nome, email, palavra-passe com hash, idioma criação e gestão de conta, autenticação, prevenção de abuso execução de contrato (RGPD art. 6.º/1-b) e interesse legítimo (6.º/1-f)
Operações mensagens entre partes, propostas, ficheiros, registos de transação facilitar ofertas de excedentes e reutilização, cumprimento de serviços execução de contrato (6.º/1-b)
Suporte pedidos, anexos, eventuais gravações consentidas atendimento, prova de suporte e melhoria de processos interesse legítimo (6.º/1-f)
Analítica eventos técnicos, métricas mínimas melhoria de desempenho e experiência consentimento (6.º/1-a) quando exigido por ePrivacy
Cookies identificadores não estritamente necessários preferências, medição e publicidade quando usada consentimento (6.º/1-a), ver secção 9
Conformidade logs de segurança, registos de auditoria, faturação cumprimento de obrigações legais e de segurança obrigação legal (6.º/1-c)
Denúncias relato, anexos, metadados do canal receção e gestão de denúncias ambientais obrigação legal (6.º/1-c) e interesse público (6.º/1-e), nos termos da Diretiva (UE) 2019/1937 e leis nacionais

Não solicitamos categorias especiais de dados (RGPD art. 9.º). Se forem apresentados pelo próprio em contextos como denúncias, apenas serão tratados quando estritamente necessários e com fundamento jurídico adequado (por exemplo, exercício de direitos em processo judicial) e com medidas reforçadas.

3. Menores e idades de consentimento digital

Quando o tratamento depender de consentimento do menor para serviços da sociedade da informação aplica-se a idade mínima definida por lei nacional do país de residência.

País Idade mínima
Portugal 13
Espanha 14
França 15
Alemanha 16
Itália 14
Países Baixos 16
Irlanda 16
Noruega 13
Islândia 13
Liechtenstein 16

Se o menor não tiver a idade mínima exige-se consentimento verificável do titular das responsabilidades parentais (RGPD art. 8.º).

4. Conservação de dados

Os dados são conservados apenas pelo tempo necessário às finalidades ou ao cumprimento de obrigações legais e contratuais. Exemplos práticos
Conta e registos transacionais enquanto a relação estiver ativa e até cinco anos para defesa de direitos.
Logs de segurança tipicamente doze meses, podendo ser superior em caso de incidentes.
Documentos de faturação e contabilísticos em Portugal dez anos (Decreto-Lei n.º 28/2019).
Dossiês de denúncia até dois anos após o fecho, salvo obrigação superior ou processo judicial.
Candidaturas de recrutamento doze meses quando subsista consentimento para manter CV.

Quando ocorram operações noutros países poderão aplicar-se prazos fiscais ou comerciais específicos do respetivo ordenamento.

5. Destinatários e subencarregados

Partilhamos dados com prestadores que atuam por nossa conta ao abrigo de contratos (RGPD art. 28.º) e sujeição a instruções escritas. Exemplos
Microsoft Azure (preferência por regiões UE/EEE).
Fornecedores de email transacional na UE/EEE (por ex., Mailjet, Sendinblue/Brevo — confirmar na seleção final).
Cloudflare (CDN/segurança com minimização e controlo regional).
GitHub (repositórios de código sem dados pessoais de produção).

Quando necessário são utilizadas Cláusulas Contratuais Tipo — Decisão de Execução (UE) 2021/914 e medidas técnicas e organizativas adicionais (cifragem, gestão de chaves, avaliações de impacto de transferência).

6. Transferências internacionais

Sempre que possível, o tratamento permanece na UE/EEE. Se houver necessidade de transferência para país terceiro aplicam-se mecanismos adequados
Decisões de adequação da Comissão Europeia, quando existentes.
Cláusulas Contratuais Tipo 2021/914 com medidas complementares técnicas e organizativas.
Pseudonimização e minimização antes da transferência, sempre que exequível.

7. Direitos dos titulares

Nos termos dos artigos 12.º a 22.º do RGPD, o titular pode exercer direito de acesso, retificação, apagamento, limitação, portabilidade, oposição e o direito a não ficar sujeito a decisões exclusivamente automatizadas com efeitos legais ou similares (art. 22.º).
Pedidos devem ser enviados para privacy@ph7x.com. O prazo de resposta é de um mês, prorrogável nos termos do RGPD. Poderá ser necessário confirmar identidade para proteger a conta.

8. Decisões automatizadas e perfis

Não realizamos decisões exclusivamente automatizadas com efeitos legais significativos. Se viermos a usar perfis com impacto relevante, disponibilizaremos informação clara, intervenção humana, possibilidade de contestação e mecanismos de opt-out quando aplicável (RGPD art. 22.º e orientações do EDPB).

9. Cookies e tecnologias semelhantes

Cumprimos a Diretiva 2002/58/CE (ePrivacy) e legislação nacional aplicável.
Cookies estritamente necessários são usados para funcionalidades essenciais (autenticação, segurança) e não exigem consentimento.
Cookies de preferências, analítica e publicidade, quando existentes, exigem consentimento livre, específico, informado e documentado. O banner deve permitir aceitar, recusar ou configurar por categorias, e a rejeição deve ser tão simples quanto aceitar. O registo de consentimento é mantido e a renovação ocorre ao fim de doze meses ou quando mudarmos o conjunto de cookies.
Referências úteis: Guia CNIL sobre cookies e Guia AEPD sobre cookies.

10. Segurança

Aplicamos medidas proporcionais ao risco nos termos do RGPD art. 32.º, incluindo TLS atual, cifragem em repouso, princípio de menor privilégio, autenticação multifator para contas administrativas, registos e monitorização, testes periódicos e pseudonimização sempre que possível.

11. Violações de dados

Em caso de violação de dados pessoais com risco para os titulares, notificamos a autoridade de controlo sem demora injustificada e, quando possível, no prazo de 72 horas (RGPD art. 33.º) e comunicamos aos titulares quando exigido (art. 34.º). Mantemos registo interno e plano de resposta. Ver também as orientações do EDPB.

12. Canais de denúncia

Mantemos canal seguro para denúncias relativas a infrações no domínio ambiental e outros previstos na lei. O tratamento observa confidencialidade, restrição de acessos, prazos definidos e proibição de retaliação em conformidade com a Diretiva (UE) 2019/1937 e com a transposição nacional, incluindo:
Portugal — Lei n.º 93/2021
Espanha — Ley 2/2023
França — Loi 2022-401
Alemanha — HinSchG 2023

13. Autoridades de controlo

Portugal — CNPD
Espanha — AEPD
França — CNIL
Alemanha — BfDI
Itália — Garante
Países Baixos — Autoriteit Persoonsgegevens
Irlanda — Data Protection Commission
Noruega — Datatilsynet
Islândia — Persónuvernd
Liechtenstein — Datenschutzstelle

O utilizador pode apresentar reclamação à sua autoridade local ou à CNPD quando o estabelecimento principal se situe em Portugal.

14. Encarregado de Proteção de Dados

Se existir nomeação, o contacto é abuse@p7co.org. Se não for obrigatória a nomeação, o ponto de contacto para privacidade é privacy@ph7x.com.

15. Alterações

Podemos atualizar esta Política para refletir mudanças legais ou operacionais. Alterações materiais serão comunicadas no site/aplicação e, quando adequado, por correio eletrónico, indicando a data de entrada em vigor. Versões anteriores podem ser disponibilizadas mediante pedido.

16. Anexo A — bases legais mais frequentes

Execução de contrato para criação de conta e serviços transacionais.
Consentimento para cookies não estritamente necessários e comunicações de marketing.
Interesse legítimo para segurança, prevenção de fraude e melhoria do serviço, sujeito a teste de ponderação.
Obrigação legal para fiscalidade, resposta a autoridades e gestão de canais de denúncia.
Interesse público e exercício de direitos para gestão de denúncias e defesa em processos.

17. Anexo B — registos de tratamento

Mantemos registos nos termos do RGPD art. 30.º com finalidades, categorias de titulares, categorias de dados, destinatários, transferências internacionais, prazos e medidas de segurança, disponíveis à autoridade mediante solicitação.

18. Anexo C — transferências fora do EEE (exemplo)

Destinatário País Mecanismo Medidas adicionais
Fornecedor de email transacional Estados Unidos Decisão de adequação aplicável ou Cláusulas Contratuais Tipo 2021/914 TLS, cifragem em repouso, gestão de chaves, DLP, minimização
Azure União Europeia Processamento intra-UE cifragem, gestão de chaves, logs, segregação de ambientes

19. Como exercer os direitos

Envie pedido para privacy@ph7x.com. Indique o direito que pretende exercer, elementos mínimos de identificação e contexto (por exemplo, ID de conta). Poderemos solicitar validação adicional para proteger a sua conta. Responderemos dentro do prazo legal.

Share: