Avamboo Encrypt

Política de privacidade – Avamboo Encrypt for Outlook (New)

§ 1 Aspetos gerais

A presente política de privacidade aplica-se ao suplemento do Microsoft Outlook «Avamboo Encrypt for Outlook (New)» (a seguir, «o Suplemento»), desenvolvido e operado por: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefone: 0821 57086670 info@avamboo.de Os seus dados pessoais são tratados apenas em conformidade com as disposições do direito alemão de proteção de dados e do Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia.

§ 2 Que dados são tratados?

(1) Azure AD Object ID (OID) Para identificar o utilizador é utilizado o Azure AD Object ID (OID). É disponibilizado pelo Microsoft Identity (MSAL / Nested App Authentication) e serve exclusivamente para associar a licença e as definições. O OID é armazenado nos nossos servidores. (2) Endereço de e-mail do utilizador O endereço de e-mail do utilizador autenticado é tratado para efeitos de gestão de licenças e de contacto. É armazenado nos nossos servidores. (3) Endereços de e-mail dos destinatários (com hash) Para aplicar os limites de envio baseados na licença, os endereços de e-mail dos destinatários são armazenados sob a forma de hash SHA-256. Não é tecnicamente possível recuperar o endereço original. (4) Dados de licença e de utilização As informações relativas à licença ativa, aos limites de envio (diários/mensais) e aos carimbos temporais de ativação são armazenadas para efeitos de gestão de licenças. (5) Definições do utilizador As definições do Suplemento (por ex., comportamento de cifragem, modelos) são armazenadas nos nossos servidores e associadas ao utilizador. (6) Material de chaves cifrado No âmbito do gestor de palavras-passe, são armazenadas nos nossos servidores chaves privadas cifradas e chaves mestras cifradas. Estes dados só podem ser decifrados com a chave de utilizador pessoal, que nunca nos é transmitida (arquitetura zero-knowledge). (7) Palavras-passe dos destinatários (cifradas) As palavras-passe guardadas no gestor de palavras-passe são cifradas do lado do cliente com AES-256-GCM. Não temos acesso às palavras-passe não cifradas. (8) Registos de operação Para efeitos de rastreabilidade das ações do sistema e de segurança operacional, são mantidos registos internos. Estes não contêm conteúdos de e-mail não cifrados nem palavras-passe.

§ 3 Finalidade do tratamento

Os dados são tratados exclusivamente para as seguintes finalidades: • Autenticação e identificação do utilizador • Gestão de licenças e aplicação dos limites de utilização • Disponibilização e armazenamento das definições do utilizador • Funcionamento do gestor de palavras-passe (cifrado, zero-knowledge) • Apoio técnico e resolução de problemas

§ 4 Fundamentos jurídicos

O tratamento assenta nos seguintes fundamentos jurídicos: • Art. 6.º, n.º 1, al. b) RGPD (execução de um contrato) — para os dados de licença e de utilização • Art. 6.º, n.º 1, al. f) RGPD (interesse legítimo) — para os registos de auditoria e a segurança

§ 5 Arquitetura zero-knowledge

O Suplemento utiliza uma arquitetura zero-knowledge para todas as chaves criptográficas e palavras-passe: • Todas as operações de cifragem e decifragem são realizadas exclusivamente no dispositivo do utilizador (do lado do cliente). • A chave de utilizador pessoal nunca é transmitida aos nossos servidores. • As chaves privadas são armazenadas apenas em forma cifrada. • As palavras-passe dos destinatários saem do dispositivo exclusivamente em forma cifrada. • A Avamboo GmbH não tem qualquer acesso técnico a chaves, palavras-passe ou conteúdos de e-mail não cifrados.

§ 6 Transmissão de dados a terceiros

Os seus dados pessoais não são transmitidos a terceiros, exceto: • a prestadores de serviços de alojamento no âmbito da subcontratação do tratamento (operação dos servidores) • quando estejamos legalmente obrigados a fazê-lo Os nossos servidores estão localizados na UE/Alemanha.

§ 7 Prazo de conservação

• OID, endereço de e-mail, dados de licença e de definições: durante o período da licença ativa + obrigações legais de conservação (no máx. 10 anos, nos termos do § 257 HGB, § 147 AO) • Endereços de e-mail de destinatários com hash: eliminação automática no final do respetivo período de faturação • Material de chaves cifrado e palavras-passe: até à eliminação pelo utilizador ou mediante pedido expresso de eliminação enviado para info@avamboo.de • Registos de operação: durante o período necessário à segurança operacional

§ 8 Direitos do titular dos dados

Tem os seguintes direitos perante nós: 1. Direito de acesso (art. 15.º RGPD) 2. Direito de retificação (art. 16.º RGPD) 3. Direito ao apagamento (art. 17.º RGPD) 4. Direito à limitação do tratamento (art. 18.º RGPD) 5. Direito de portabilidade dos dados (art. 20.º RGPD) 6. Direito de oposição (art. 21.º RGPD) 7. Direito de retirar o consentimento (art. 7.º, n.º 3 RGPD) 8. Direito de apresentar reclamação junto de uma autoridade de controlo (art. 77.º RGPD) Para exercer os seus direitos, contacte-nos através de: info@avamboo.de

§ 9 Direito de reclamação junto de uma autoridade de controlo

Sem prejuízo de quaisquer outras vias de recurso administrativo ou judicial, tem o direito de apresentar uma reclamação junto de uma autoridade de controlo se considerar que o tratamento dos seus dados pessoais viola o RGPD. Autoridade de controlo competente: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de

§ 10 Responsável pelo tratamento

Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefone: 0821 57086670 info@avamboo.de