RGPD e Processamento de Dados
O Aether365 foi concebido para ajudar organizações com as obrigações do RGPD, mas enquanto plataforma SaaS também processa dados pessoais em seu nome. Esta página explica a base jurídica para o processamento, os seus direitos e como exerce-los.
Funções ao Abrigo do RGPD
| Função | Parte | Âmbito |
|---|---|---|
| Responsável pelo tratamento | A sua organização | Determina as finalidades e os meios do processamento (escolheu ligar o seu tenant M365 ao Aether365) |
| Subcontratante | Aether365 | Processamos dados conforme as suas instruções (executando verificações de segurança no seu tenant) |
| Subprocessador | O nosso fornecedor de infraestrutura cloud, Stripe, etc. | Processam dados em nome do Aether365 - consulte Residência de Dados |
Base Jurídica para o Processamento
O Aether365 processa dados pessoais com base nas seguintes bases jurídicas:
| Atividade de processamento | Base jurídica | Notas |
|---|---|---|
| Criação e gestão de conta | Execução contratual (Art. 6(1)(b)) | Necessário para prestar o serviço |
| Análise da configuração do Microsoft 365 | Execução contratual (Art. 6(1)(b)) | Função principal do serviço |
| Leitura de dados do Microsoft Graph | Interesse legítimo (Art. 6(1)(f)) | A análise de segurança requer a leitura de dados de configuração |
| Envio de emails com relatórios de análise | Execução contratual | Configurou notificações por email |
| Faturação e processamento de pagamentos | Execução contratual | Necessário para planos pagos |
Dados Pessoais Processados
Quando o Aether365 analisa o seu tenant Microsoft 365, pode ler dados de configuração que incluem identificadores pessoais:
- User Principal Names (UPNs) - Endereços de email utilizados como identificadores em atribuições de políticas
- Object IDs - IDs do Microsoft Entra para utilizadores, grupos e service principals
- Nomes de apresentação - Nomes de utilizadores e grupos em contextos de atribuição de funções
Estes dados são utilizados exclusivamente para avaliar verificações de segurança e são armazenados como parte dos resultados de análise. Não são utilizados para qualquer outra finalidade.
Sem AI ou criação automatizada de perfis
O Aether365 não utiliza inteligência artificial nem machine learning para processar os dados pessoais que lê do seu tenant. Os seus dados de configuração e resultados de análise nunca são enviados para qualquer serviço de AI ou de grandes modelos de linguagem, utilizados para treinar modelos de AI, ou sujeitos a decisões automatizadas ou criação de perfis na aceção do Article 22 do GDPR.
Direitos dos Titulares de Dados
Enquanto Responsável pelo Tratamento, a sua organização é responsável por responder a pedidos de titulares de dados dos seus utilizadores Microsoft 365. O Aether365 armazena apenas dados de configuração - conteúdo individual de emails, documentos pessoais ou correspondência pessoal nunca são processados.
Enquanto titular dos dados da sua própria conta Aether365 (o seu endereço de email e dados da conta), tem os seguintes direitos ao abrigo do RGPD:
| Direito | Como exercer |
|---|---|
| Acesso (Art. 15) | Envie email para privacy@aether365.io |
| Retificação (Art. 16) | Atualize a sua conta nas Definições, ou envie-nos um email |
| Apagamento (Art. 17) | Envie email para privacy@aether365.io para solicitar a eliminação completa da conta |
| Portabilidade (Art. 20) | Exporte os seus dados de análise via CSV ou API, ou solicite uma exportação completa por email |
| Limitação (Art. 18) | Envie email para privacy@aether365.io |
| Oposição (Art. 21) | Envie email para privacy@aether365.io |
Respondemos a todos os pedidos de titulares de dados no prazo de 30 dias.
Acordo de Processamento de Dados
Um Acordo de Processamento de Dados (DPA) está disponível para clientes dos planos Pro e Enterprise. O DPA:
- Documenta as obrigações do Aether365 enquanto subcontratante
- Especifica medidas técnicas e organizativas de segurança
- Lista subprocessadores e as suas localizações
- Define procedimentos para pedidos de titulares de dados, violações de dados e direitos de auditoria
Para receber o DPA, envie email para privacy@aether365.io. Os clientes Enterprise têm o DPA incluído no seu contrato; os clientes Pro podem solicitá-lo sem custos adicionais.
Notificação de Violação de Dados
Em caso de violação de dados pessoais que afete os seus dados, o Aether365 notifica-lo-a sem demora injustificada e o mais tardar 72 horas após tomar conhecimento da violação, em conformidade com o Artigo 33 do RGPD.
As notificações serão enviadas para o endereço de email do proprietário da conta. Clientes Enterprise podem designar um endereço de contacto de segurança separado.
Para reportar um incidente de segurança: security@aether365.io
Autoridade de Supervisão
O Aether365 está registado na UE. A nossa autoridade de supervisão principal é a Autoridade Sueca para a Proteção da Privacidade (IMY - Integritetsskyddsmyndigheten).
Tem o direito de apresentar uma reclamação junto da sua autoridade de supervisão local se considerar que processamos os seus dados de forma ilícita.