Última actualização: 10 de Maio de 2026
Política de Privacidade
1. Quem somos
Rubrica (referida ao longo deste documento como "Rubrica", "nós" ou "a Plataforma") é uma plataforma B2B que permite a empresas em Angola gerar, editar, assinar e arquivar documentos legais. A entidade responsável pelo tratamento dos dados pessoais é a empresa titular da conta Rubrica que está a utilizar a Plataforma; Rubrica actua como subcontratante (processador) nos termos da Lei n.º 22/11 de 17 de Junho.
Para questões relativas a esta política, contacte-nos em privacidade@rubrica.co.ao.
2. Dados que tratamos
Recolhemos e tratamos as seguintes categorias de dados pessoais:
- Dados de conta: email, nome completo, password (apenas em hash, nunca em texto plano), empresa associada, função.
- Dados de assinantes: nome, BI ou Passaporte (apenas últimos 4 dígitos para verificação), email, telefone, função empresarial — quando o utilizador da plataforma cria perfis de assinantes.
- Dados de assinatura: imagem visual da assinatura (desenhada, escrita ou carregada), endereço IP, identificador do navegador (user agent), e timestamp do momento da assinatura.
- Conteúdo de documentos: texto e variáveis dos contratos gerados ou editados na plataforma.
- Dados de auditoria: eventos de criação, edição, envio, leitura, assinatura, exportação e cancelamento de documentos, com identificador do utilizador, IP e timestamp.
3. Finalidades do tratamento
- Prestar o serviço contratado (geração, edição, assinatura, arquivo).
- Verificar a identidade dos signatários antes da assinatura.
- Manter um registo legalmente válido (audit trail) das operações efectuadas em cada documento.
- Melhorar a fiabilidade do serviço (registo de erros, monitorização operacional).
- Cumprir obrigações legais e fiscais aplicáveis.
4. Base legal
O tratamento ocorre nos termos da Lei n.º 22/11 e baseia-se em:
- Execução de contrato — quando o utilizador da plataforma é o titular da conta empresarial.
- Consentimento expresso — para tratamento de dados de assinantes externos. O consentimento é obtido na altura em que o assinante recebe o convite por email e clica no link de confirmação.
- Cumprimento de obrigação legal — para a manutenção do audit trail e para cumprimento de pedidos de autoridades competentes.
5. Subcontratantes
Recorremos aos seguintes prestadores para operar a plataforma. Em todos os casos existe contrato de subcontratação que assegura o cumprimento da Lei n.º 22/11:
- Supabase (Frankfurt, Alemanha) — base de dados, autenticação, armazenamento de assinaturas.
- Vercel (Frankfurt, Alemanha) — hospedagem da aplicação web e gestão de tráfego.
- Resend (UE) — envio de emails transaccionais (convites, recuperação de password, notificações).
- Sentry (Frankfurt, Alemanha) — monitorização de erros técnicos. Configurado com filtros de privacidade que removem conteúdo de documentos antes do envio.
- Upstash (Frankfurt, Alemanha) — limitação de taxa para prevenção de abuso. Apenas armazena identificadores de sessão temporários, não dados pessoais.
- Google Gemini (UE) — geração assistida de documentos. As variáveis introduzidas pelo utilizador (nomes, valores, datas) são enviadas como input ao modelo. Apenas tratamos o output como rascunho legal — ver Termos.
- Twilio (EUA) — envio do código de confirmação por SMS (OTP) no momento da assinatura. Recebe apenas o número de telemóvel do signatário e o texto da mensagem com o código; não tem acesso ao conteúdo do documento.
6. Transferências internacionais
A generalidade dos subcontratantes opera em centros de dados na União Europeia (Frankfurt sempre que possível). A única excepção é o Twilio (EUA), utilizado exclusivamente para entregar o código de confirmação por SMS no momento da assinatura: nessa operação transferimos apenas o número de telemóvel do signatário e a mensagem com o código. Esta transferência assenta no consentimento inequívoco do signatário, que fornece o seu número e aceita receber o código para concluir a assinatura (Art. 33.º, n.º 1, al. a) da Lei n.º 22/11), e está coberta pelos compromissos contratuais de protecção de dados do Twilio. Não transferimos quaisquer outros dados para países terceiros. Alterações futuras serão sujeitas a autorização da Agência de Protecção de Dados (APD) ou ao consentimento inequívoco escrito do titular, conforme exigido pelo Art. 33.º da Lei n.º 22/11.
7. Período de conservação
- Dados de conta e documentos activos: enquanto a conta empresarial estiver activa.
- Documentos assinados e respectivo audit trail: indefinidamente, ou pelo período exigido pela legislação fiscal e comercial angolana — o que for maior — para cumprimento de obrigações legais.
- Logs técnicos (Sentry, Vercel, Upstash): 30 dias.
- Dados após cessação de conta: 6 meses para permitir reactivação, após o que os dados não relacionados com documentos assinados são eliminados.
8. Direitos do titular
Nos termos da Lei n.º 22/11, tem direito a:
- Acesso aos seus dados pessoais.
- Rectificação de dados incorrectos ou desactualizados.
- Oposição ao tratamento dos seus dados, sem prejuízo das obrigações legais que nos vinculam.
- Portabilidade dos dados em formato estruturado.
- Apagamento dos dados, excepto quando obrigados a conservar por lei.
- Apresentar reclamação à Agência de Protecção de Dados (APD).
Para exercer estes direitos, contacte privacidade@rubrica.co.ao. Responderemos no prazo de 30 dias.
9. Segurança
Aplicamos medidas técnicas e organizativas adequadas para proteger os dados pessoais, incluindo: cifragem em trânsito (HTTPS), cifragem em repouso (Supabase), controlo de acesso baseado em funções, isolamento por empresa via Row-Level Security, limitação de taxa em pontos sensíveis, registo de auditoria imutável, e monitorização de erros com filtros de privacidade.
10. Cookies
A plataforma utiliza cookies essenciais para autenticação (token de sessão Supabase) e cookies funcionais para preservar preferências de interface (idioma, filtros). Não utilizamos cookies de publicidade nem de analítica de terceiros.
11. Alterações a esta política
Podemos actualizar esta política para reflectir alterações nas nossas práticas ou nos requisitos legais. Notificaremos os utilizadores activos por email e/ou no painel quando ocorrerem alterações materiais. A data da última actualização figura no topo deste documento.
12. Contacto
Encarregado de Protecção de Dados: dpo@rubrica.co.ao
Autoridade de controlo: Agência de Protecção de Dados (APD), Angola