https://ethicsportal.eu/pt/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.pt-PTThu, 18 Jun 2026 20:09:21 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/pt/whistleblower-laws/portugal/Wed, 10 Jun 2026 00:00:00 +0000https://ethicsportal.eu/pt/whistleblower-laws/portugal/A Lei 93/2021 de Portugal: o limiar dos 50 trabalhadores, a denúncia externa específica por autoridade e as fontes oficiais portuguesas que importam.<h1 id="lei-de-proteção-de-denunciantes-em-portugal"> Lei de proteção de denunciantes em Portugal <a href="#lei-de-prote%c3%a7%c3%a3o-de-denunciantes-em-portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Portugal aplicou a Diretiva (UE) 2019/1937 através da <strong>Lei n.º 93/2021, de 20 de dezembro</strong>. O principal critério de aplicação no setor privado segue a habitual linha dos <strong>50 trabalhadores</strong>, mas a denúncia externa continua a ser específica por autoridade, em vez de centralizada numa única entidade universal de denúncia.</p> <h2 id="lei-aplicável"> Lei aplicável <a href="#lei-aplic%c3%a1vel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><a href="https://files.diariodarepublica.pt/gratuitos/1s/2021/12/24400.pdf" rel="nofollow">Lei n.º 93/2021 — texto oficial</a> </li> <li><a href="https://justica.gov.pt/Regime-Geral-de-Protecao-de-Denunciantes-de-Infracoes" rel="nofollow">Explicação do Ministério da Justiça</a> </li> </ul> <h2 id="quem-deve-estabelecer-um-canal-interno"> Quem deve estabelecer um canal interno <a href="#quem-deve-estabelecer-um-canal-interno" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Pessoas coletivas com 50 ou mais trabalhadores</strong> (incluindo o Estado e as entidades de direito público).</li> <li><strong>Entidades financeiras / antibranqueamento, da segurança dos transportes e ambientais</strong> — independentemente do número de trabalhadores.</li> <li>As entidades de média dimensão (50 a 249 trabalhadores) podem partilhar recursos para a receção e o seguimento de denúncias; os municípios com menos de 10 000 habitantes estão excluídos.</li> </ul> <h2 id="sanções-e-execução"> Sanções e execução <a href="#san%c3%a7%c3%b5es-e-execu%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Portugal fixa uma <strong>coima explícita por não dispor de canal</strong>. Não manter um canal interno conforme é uma <em>contraordenação grave</em> nos termos do <strong>artigo 27.º, n.º 3, alínea a)</strong> — textualmente, <em>“Não dispor de canal de denúncia interno, nos termos previstos no artigo 8.º…”</em>. O escalão mais severo está reservado às condutas contra os denunciantes.</p> <table> <thead> <tr> <th>Escalão de infração (art. 27.º)</th> <th>Pessoas coletivas</th> <th>Pessoas singulares</th> </tr> </thead> <tbody> <tr> <td><strong>Grave</strong> — <strong>sem canal interno</strong> (art. 27.º, n.º 3, al. a)), salvaguardas inadequadas, sem responsável designado</td> <td><strong>1000–125 000 €</strong></td> <td>500–12 500 €</td> </tr> <tr> <td><strong>Muito grave</strong> — obstrução (art. 7.º), retaliação (art. 21.º), violação da confidencialidade (art. 18.º), denúncia falsa consciente (art. 27.º, n.º 1)</td> <td><strong>10 000–250 000 €</strong></td> <td>1000–25 000 €</td> </tr> </tbody> </table> <p><strong>Uma avaliação honesta da execução.</strong> A coima por ausência de canal é real e atinge os <strong>125 000 €</strong> para uma empresa. Na prática, porém, a execução contra violações relativas ao canal de denúncia ainda não se concretizou: em novembro de 2025, a <strong>MENAC</strong> tinha aberto 11 processos de <em>contraordenação</em> — mas esses dizem respeito ao regime distinto de prevenção da corrupção (RGPC), <strong>não</strong> às obrigações de canal da Lei 93/2021, e <strong>nenhuma coima foi aplicada</strong> por incumprimento relativo ao canal de denúncia até à data. A obrigação e a coima estão firmemente no papel; a autoridade responsável pela execução (MENAC, ao abrigo do art. 29.º) está operacional, mas ainda não sancionou nenhuma violação de canal.</p> <h2 id="autoridade-de-denúncia-externa"> Autoridade de denúncia externa <a href="#autoridade-de-den%c3%bancia-externa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Portugal não utiliza uma única autoridade externa de denúncia que abranja tudo. A <a href="https://justica.gov.pt/Regime-Geral-de-Protecao-de-Denunciantes-de-Infracoes" rel="nofollow">orientação do Ministério da Justiça</a> encaminha os denunciantes para a autoridade competente em razão da matéria.</p> <h2 id="autoridade-de-proteção-de-dados"> Autoridade de proteção de dados <a href="#autoridade-de-prote%c3%a7%c3%a3o-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para reclamações relativas ao RGPD e à confidencialidade, a autoridade relevante é a <a href="https://www.cnpd.pt/cidadaos/participacoes/" rel="nofollow">Comissão Nacional de Proteção de Dados (CNPD)</a> .</p> <h2 id="pontos-chave-de-conformidade"> Pontos-chave de conformidade <a href="#pontos-chave-de-conformidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>A orientação oficial portuguesa trata a denúncia externa como específica por autoridade, pelo que o regulador correto depende da matéria em causa.</li> <li>A lei está estruturada em torno de uma receção segura e confidencial e da proteção contra a retaliação.</li> <li>Para a maioria dos empregadores privados, a questão prática da implementação continua a ser saber se a organização atingiu o limiar dos 50 trabalhadores.</li> </ul> <h2 id="fontes-oficiais"> Fontes oficiais <a href="#fontes-oficiais" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><a href="https://files.diariodarepublica.pt/gratuitos/1s/2021/12/24400.pdf" rel="nofollow">Lei 93/2021 — texto oficial</a> </li> <li><a href="https://justica.gov.pt/Regime-Geral-de-Protecao-de-Denunciantes-de-Infracoes" rel="nofollow">Ministério da Justiça — regime geral de proteção de denunciantes</a> </li> <li><a href="https://mec-anticorrupcao.pt/faq/regime-geral-de-protecao-de-denunciantes-de-infracoes/" rel="nofollow">MENAC — perguntas frequentes sobre o regime de denúncia (autoridade responsável pela execução)</a> </li> <li><a href="https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=3544&tabela=leis" rel="nofollow">Lei 93/2021 — texto consolidado (PGDLisboa)</a> </li> <li><a href="https://www.cnpd.pt/cidadaos/participacoes/" rel="nofollow">CNPD — reclamações e participações</a> </li> </ul> <hr> <p><a href="/pricing/">Ative o seu canal de denúncia →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/sla/Objetivo mensal de disponibilidade dos portais do denunciante e do operador do EthicsPortal, como é medido e o que está excluído.<h1 id="acordo-de-nível-de-serviço"> Acordo de nível de serviço <a href="#acordo-de-n%c3%advel-de-servi%c3%a7o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>O EthicsPortal compromete-se com um objetivo mensal de disponibilidade dos portais do denunciante e do operador. Esta página indica o objetivo, como é medido e o que está excluído.</p> <p>Última atualização: 2026-05-17.</p> <hr> <h2 id="objetivo-de-disponibilidade"> Objetivo de disponibilidade <a href="#objetivo-de-disponibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>99,5% de tempo de atividade mensal</strong> para:</p> <ul> <li>O portal de denúncia — a superfície onde os denunciantes submetem e dão seguimento aos processos.</li> <li>O portal do operador e do gestor — a superfície onde os gestores designados acedem e trabalham os processos.</li> </ul> <p>99,5% mensal permite aproximadamente 3 horas e 36 minutos de indisponibilidade não planeada por mês de calendário.</p> <p>O site de marketing e a documentação são fornecidos com o melhor empenho e não estão cobertos.</p> <hr> <h2 id="medição"> Medição <a href="#medi%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O tempo de atividade é medido mensalmente como a percentagem de minutos durante os quais as superfícies cobertas respondem a pedidos HTTP com um estado sem erro. A medição é feita a partir de um serviço externo de monitorização, não auto-reportada.</p> <hr> <h2 id="o-que-conta-contra-a-disponibilidade"> O que conta contra a disponibilidade <a href="#o-que-conta-contra-a-disponibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>Indisponibilidades da infraestrutura da aplicação do EthicsPortal.</li> <li>Indisponibilidades de um subcontratante (alojamento, email, armazenamento de objetos) que degradem uma superfície coberta.</li> <li>Incidentes de segurança que exijam colocar uma superfície coberta offline.</li> </ul> <p>As indisponibilidades dos subcontratantes não estão excluídas. O compromisso reflete o que os operadores e os denunciantes efetivamente vivenciam.</p> <hr> <h2 id="exclusões"> Exclusões <a href="#exclus%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A disponibilidade é medida excluindo:</p> <ul> <li><strong>Manutenção planeada</strong> anunciada com pelo menos 48 horas de antecedência. Agendada fora do horário de expediente europeu e normalmente com menos de 30 minutos.</li> <li><strong>Força maior</strong> — perturbações regionais da Internet, catástrofes naturais, falhas de DNS ou de autoridades de certificação fora da nossa cadeia de fornecedores.</li> <li><strong>Uso não autorizado ou abuso</strong> que exija medidas de proteção como limitação de débito ou suspensão de conta.</li> </ul> <hr> <h2 id="objetivos-de-recuperação"> Objetivos de recuperação <a href="#objetivos-de-recupera%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Num cenário de recuperação de desastre, o EthicsPortal tem como objetivos:</p> <ul> <li><strong>Objetivo de ponto de recuperação (RPO): 24 horas.</strong> Os dados escritos nas 24 horas anteriores a uma falha catastrófica podem ser perdidos.</li> <li><strong>Objetivo de tempo de recuperação (RTO): 4 horas.</strong> As superfícies cobertas são restauradas para um estado funcional no prazo de quatro horas após um incidente declarado.</li> </ul> <p>O mecanismo de cópias de segurança, o local de armazenamento, a conservação e a cadência de teste de restauro estão documentados na <a href="/security/#backups-and-restore">página de segurança</a> .</p> <hr> <h2 id="divulgação-de-indisponibilidade"> Divulgação de indisponibilidade <a href="#divulga%c3%a7%c3%a3o-de-indisponibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A disponibilidade em tempo real das superfícies cobertas é publicada em <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>As indisponibilidades materiais são registadas no <a href="/incidents/">registo de incidentes</a> . Qualquer indisponibilidade superior a duas horas numa superfície coberta dá origem a uma entrada no registo.</p> <p>Os valores mensais de tempo de atividade estão disponíveis aos operadores a pedido.</p> <hr> <h2 id="créditos-de-serviço"> Créditos de serviço <a href="#cr%c3%a9ditos-de-servi%c3%a7o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os planos padrão não incluem créditos de serviço monetários. As soluções para violações materiais ou repetidas estão indicadas nos <a href="/terms/">Termos de serviço</a> e no <a href="/dpa/">Acordo de tratamento de dados</a> . Na medida máxima permitida por lei, as reclamações decorrentes ou relacionadas com este SLA integram o mesmo limite agregado de responsabilidade aplicável ao Serviço.</p> <hr> <h2 id="questões"> Questões <a href="#quest%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para questões sobre a disponibilidade ou para solicitar valores mensais de tempo de atividade, contacte <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/dpa/Acordo de tratamento de dados nos termos do artigo 28.º do RGPD para clientes do EthicsPortal. Abrange o âmbito, as medidas de segurança, os subcontratantes e as transferências internacionais.<h1 id="acordo-de-tratamento-de-dados"> Acordo de tratamento de dados <a href="#acordo-de-tratamento-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p><strong>Data de entrada em vigor:</strong> 22 de abril de 2026</p> <p>Este Acordo de tratamento de dados (“DPA”) faz parte do acordo entre o cliente (“Responsável pelo tratamento”) e o EthicsPortal (“Subcontratante”) para a disponibilização da plataforma de denúncia EthicsPortal (“Serviço”).</p> <blockquote> <p><strong>Precisa de uma cópia assinada?</strong> Contacte <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> para solicitar uma versão em PDF contra-assinada deste DPA para os seus registos.</p> </blockquote> <hr> <h2 id="1-partes"> 1. Partes <a href="#1-partes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>Responsável pelo tratamento:</strong> A organização que subscreve o EthicsPortal e determina as finalidades e os meios do tratamento de dados pessoais através do Serviço.</p> <p><strong>Subcontratante:</strong> EthicsPortal, operado por Yaroslav Shmarov, registado em ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia. Contacto: <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-âmbito-e-finalidade-do-tratamento"> 2. Âmbito e finalidade do tratamento <a href="#2-%c3%a2mbito-e-finalidade-do-tratamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O Subcontratante trata dados pessoais por conta do Responsável pelo tratamento exclusivamente para fornecer o Serviço, o que inclui:</p> <ul> <li>Receber e armazenar denúncias</li> <li>Permitir a comunicação segura entre denunciantes e gestores do caso</li> <li>Gerir fluxos de processos (atribuição, acompanhamento de estado, resolução)</li> <li>Gerar registos de auditoria e registos de conformidade</li> <li>Enviar notificações de email transacional aos gestores do caso e aos administradores da organização</li> <li>Processar pagamentos do Serviço</li> </ul> <p>O Subcontratante não trata dados pessoais para qualquer finalidade que não seja a prestação do Serviço conforme instruído pelo Responsável pelo tratamento.</p> <hr> <h2 id="3-tipos-de-dados-pessoais-tratados"> 3. Tipos de dados pessoais tratados <a href="#3-tipos-de-dados-pessoais-tratados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Categoria de dados</th> <th>Exemplos</th> <th>Cifrados em repouso</th> </tr> </thead> <tbody> <tr> <td>Identidade do denunciante (opcional)</td> <td>Nome, endereço de email, número de telefone</td> <td>Sim (não determinística)</td> </tr> <tr> <td>Conteúdo da denúncia</td> <td>Descrição da preocupação denunciada</td> <td>Sim (não determinística)</td> </tr> <tr> <td>Conteúdo da comunicação</td> <td>Mensagens entre o denunciante e o gestor do caso</td> <td>Sim (não determinística)</td> </tr> <tr> <td>Ficheiros anexados</td> <td>Documentos, imagens, áudio, vídeo carregados pelos denunciantes</td> <td>Armazenados com metadados removidos</td> </tr> <tr> <td>Códigos de acesso</td> <td>Códigos únicos usados pelos denunciantes para aceder às suas denúncias</td> <td>Sim</td> </tr> <tr> <td>Dados de gestores e administradores</td> <td>Nome, endereço de email, função, adesão à organização</td> <td>Não (dados operacionais)</td> </tr> <tr> <td>Entradas do registo de auditoria</td> <td>Datas/horas, identidade do ator, tipo de ação</td> <td>Não (registos críticos para a integridade)</td> </tr> <tr> <td>Dados técnicos</td> <td>Endereços IP em hash unidirecional (não reversível) apenas para limitação de débito</td> <td>Não aplicável (hash, não é dado pessoal)</td> </tr> </tbody> </table> <hr> <h2 id="4-categorias-de-titulares-dos-dados"> 4. Categorias de titulares dos dados <a href="#4-categorias-de-titulares-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Denunciantes</strong> — indivíduos que submetem denúncias através do portal (podem ser anónimos)</li> <li><strong>Gestores do caso</strong> — indivíduos designados pelo Responsável pelo tratamento para receber e gerir denúncias</li> <li><strong>Administradores da organização</strong> — indivíduos que gerem a conta e as definições do EthicsPortal do Responsável pelo tratamento</li> </ul> <hr> <h2 id="5-duração-do-tratamento"> 5. Duração do tratamento <a href="#5-dura%c3%a7%c3%a3o-do-tratamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O Subcontratante trata dados pessoais durante a vigência da subscrição do Serviço pelo Responsável pelo tratamento. Após a cessação:</p> <ul> <li>O Responsável pelo tratamento pode exportar os seus dados antes do fim da subscrição.</li> <li>Os dados das denúncias são conservados de acordo com o prazo de conservação configurado pelo Responsável pelo tratamento (12, 24, 36, 48 ou 60 meses após o encerramento da denúncia) e depois eliminados permanentemente. Uma denúncia sem qualquer atividade durante 18 meses é encerrada automaticamente para que o prazo de conservação se inicie.</li> <li>Mediante pedido escrito, o Subcontratante eliminará todos os dados remanescentes do Responsável pelo tratamento no prazo de 30 dias após a cessação da subscrição, salvo se a conservação for exigida pela legislação aplicável.</li> </ul> <hr> <h2 id="6-obrigações-do-subcontratante"> 6. Obrigações do Subcontratante <a href="#6-obriga%c3%a7%c3%b5es-do-subcontratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="61-instruções-de-tratamento"> 6.1 Instruções de tratamento <a href="#61-instru%c3%a7%c3%b5es-de-tratamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante trata dados pessoais apenas mediante instruções documentadas do Responsável pelo tratamento, salvo se a tal for obrigado pelo direito da UE ou de um Estado-Membro. Se surgir tal exigência legal, o Subcontratante informará o Responsável pelo tratamento antes do tratamento, salvo se a lei proibir tal notificação.</p> <h3 id="62-confidencialidade"> 6.2 Confidencialidade <a href="#62-confidencialidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Todas as pessoas autorizadas a tratar dados pessoais comprometeram-se com a confidencialidade ou estão sujeitas a uma adequada obrigação legal de confidencialidade.</p> <h3 id="63-medidas-de-segurança"> 6.3 Medidas de segurança <a href="#63-medidas-de-seguran%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante implementa e mantém as medidas técnicas e organizativas descritas na página de <a href="/security/">Segurança</a> , incluindo:</p> <ul> <li>Cifragem não determinística em repouso para todos os dados sensíveis das denúncias</li> <li>Sem armazenamento de endereços IP brutos dos denunciantes na base de dados (hash unidirecional apenas para limitação de débito)</li> <li>Remoção automática dos metadados dos ficheiros (EXIF, GPS, dados do autor)</li> <li>Controlo de acesso baseado em funções com políticas de autorização Pundit</li> <li>Registo de atividades só com acrescentos para todas as ações</li> <li>Limitação de débito em todos os pontos de extremidade do portal público</li> <li>HTTPS/TLS para todas as ligações</li> <li>Proteção CSRF</li> </ul> <p>As vulnerabilidades de segurança e as comunicações de incidentes podem ser enviadas para <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . As questões de titulares dos dados e de natureza de EPD podem ser enviadas para <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> ou <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-subcontratantes-subsequentes"> 6.4 Subcontratantes subsequentes <a href="#64-subcontratantes-subsequentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante usa os subcontratantes subsequentes listados na Secção 8. O Subcontratante notificará o Responsável pelo tratamento com pelo menos 30 dias de antecedência face à adição ou substituição de um subcontratante subsequente. O Responsável pelo tratamento pode opor-se à alteração; se não se chegar a uma resolução, o Responsável pelo tratamento pode cessar o acordo.</p> <h3 id="65-direitos-dos-titulares-dos-dados"> 6.5 Direitos dos titulares dos dados <a href="#65-direitos-dos-titulares-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante apoia o Responsável pelo tratamento a responder a pedidos de titulares dos dados que exerçam os seus direitos ao abrigo do RGPD (acesso, retificação, apagamento, limitação, portabilidade, oposição), fornecendo as capacidades técnicas necessárias no Serviço.</p> <h3 id="66-notificação-de-violação-de-dados"> 6.6 Notificação de violação de dados <a href="#66-notifica%c3%a7%c3%a3o-de-viola%c3%a7%c3%a3o-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Em caso de violação de dados pessoais, o Subcontratante notificará o Responsável pelo tratamento sem demora injustificada e, em qualquer caso, <strong>no prazo de 72 horas</strong> após tomar conhecimento da violação. A notificação incluirá:</p> <ul> <li>Uma descrição da natureza da violação</li> <li>As categorias e o número aproximado de titulares dos dados afetados</li> <li>As consequências prováveis da violação</li> <li>As medidas tomadas ou propostas para fazer face à violação</li> </ul> <h3 id="67-avaliações-de-impacto-sobre-a-proteção-de-dados"> 6.7 Avaliações de impacto sobre a proteção de dados <a href="#67-avalia%c3%a7%c3%b5es-de-impacto-sobre-a-prote%c3%a7%c3%a3o-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante apoia o Responsável pelo tratamento nas avaliações de impacto sobre a proteção de dados e nas consultas prévias às autoridades de controlo, na medida em que as atividades de tratamento do Subcontratante exijam tal apoio.</p> <h3 id="68-eliminação-e-devolução-de-dados"> 6.8 Eliminação e devolução de dados <a href="#68-elimina%c3%a7%c3%a3o-e-devolu%c3%a7%c3%a3o-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Após a cessação do Serviço, o Subcontratante irá, à escolha do Responsável pelo tratamento:</p> <ul> <li>Devolver todos os dados pessoais ao Responsável pelo tratamento nos formatos de exportação disponibilizados pelo Serviço no momento da cessação, incluindo exportações de processos em PDF e anexos associados, ou</li> <li>Eliminar todos os dados pessoais e confirmar a eliminação por escrito</li> </ul> <p>salvo se o direito da UE ou de um Estado-Membro exigir o armazenamento continuado.</p> <p>Se o Responsável pelo tratamento razoavelmente necessitar de um formato de portabilidade adicional para migração ou revisão regulamentar, o Subcontratante avaliará o pedido de boa-fé e, quando tecnicamente exequível, fornecê-lo-á mediante pedido escrito separado.</p> <h3 id="69-direitos-de-auditoria"> 6.9 Direitos de auditoria <a href="#69-direitos-de-auditoria" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante disponibiliza ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações do artigo 28.º do RGPD. O Responsável pelo tratamento pode realizar auditorias, incluindo inspeções, diretamente ou através de um auditor mandatado, mediante aviso prévio razoável (pelo menos 30 dias) e durante o horário normal de expediente. O Subcontratante cooperará com tais auditorias.</p> <h3 id="610-sem-tratamento-por-ia-ou-llm-do-conteúdo-das-denúncias"> 6.10 Sem tratamento por IA ou LLM do conteúdo das denúncias <a href="#610-sem-tratamento-por-ia-ou-llm-do-conte%c3%bado-das-den%c3%bancias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Subcontratante compromete-se a que os dados pessoais tratados ao abrigo deste DPA — incluindo o conteúdo das denúncias, a identidade do denunciante, as mensagens dos gestores, os ficheiros anexados e as entradas do registo de auditoria — <strong>não sejam transmitidos a qualquer grande modelo de linguagem, serviço de IA generativa ou classificador baseado em IA</strong>, quer seja operado pelo Subcontratante quer por um terceiro (incluindo, entre outros, OpenAI, Anthropic, Google e Mistral). O Serviço não realiza categorização, triagem, resumo, tradução ou sugestões de resposta com recurso a IA sobre dados pessoais. O Responsável pelo tratamento pode confiar neste compromisso ao avaliar as obrigações de decisão automatizada ao abrigo do <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> do RGPD e ao definir o âmbito da divulgação de subcontratantes nos seus próprios avisos de privacidade e avaliações de impacto sobre a proteção de dados. Qualquer alteração a este compromisso seria uma alteração material do Serviço e seria notificada ao Responsável pelo tratamento ao abrigo da Secção 6.4 (Subcontratantes subsequentes) e da Secção 11 (Vigência e cessação).</p> <p>A tradução automática estatística autoalojada que corre inteiramente em infraestrutura controlada pelo Subcontratante (nenhum dado sai da infraestrutura do Subcontratante, nenhuma chamada de inferência externa) não está abrangida por esta restrição e pode ser usada para traduzir mensagens do denunciante ou do gestor quando o Responsável pelo tratamento a tiver ativado.</p> <p>Este compromisso é revisto anualmente. A data de “Última atualização” no topo deste DPA reflete a confirmação mais recente. Se o Subcontratante, a qualquer momento, pretender introduzir o tratamento por IA ou LLM de dados pessoais abrangidos por este DPA, o Subcontratante notificará o Responsável pelo tratamento em conformidade com a Secção 6.4 e a alteração só produzirá efeitos após o período de aviso aí indicado.</p> <h3 id="611-chaves-de-cifragem-geridas-pelo-cliente-byok"> 6.11 Chaves de cifragem geridas pelo cliente (BYOK) <a href="#611-chaves-de-cifragem-geridas-pelo-cliente-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O Serviço não suporta chaves de cifragem geridas pelo cliente — quer sejam descritas como bring-your-own-key (BYOK), hold-your-own-key (HYOK) ou integração com um serviço externo de gestão de chaves (KMS). Trata-se de uma opção arquitetónica deliberada, não de uma limitação operacional, e assenta em duas garantias de confidencialidade e de ciclo de vida que o Subcontratante assume noutras partes deste DPA:</p> <ul> <li><strong>Fronteira de chaves denunciante-gestor.</strong> Os dados pessoais abrangidos por este DPA são cifrados em repouso com chaves geridas pelo Subcontratante e mantidas dentro do Serviço. A fronteira de cifragem que protege a identidade do denunciante e o conteúdo da denúncia de partes externas é a mesma que os protege dos próprios administradores de TI do Responsável pelo tratamento. Encaminhar a custódia das chaves para o Responsável pelo tratamento deslocaria essa fronteira para o ambiente do Responsável pelo tratamento, onde os administradores do lado do Responsável pelo tratamento ficariam, em princípio, capazes de decifrar a identidade do denunciante — invertendo o modelo de confidencialidade exigido pelo <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> da Diretiva 2019/1937.</li> <li><strong>Garantia de eliminação de ponta a ponta.</strong> A eliminação baseada na conservação (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> do RGPD) e a eliminação contratual na cessação (Secção 6.8 acima) assentam na capacidade do Subcontratante de destruir cripto e fisicamente os dados cifrados de forma independente do Responsável pelo tratamento. Uma chave detida pelo Responsável pelo tratamento criaria uma classe de falha em que o Subcontratante não poderia, por si só, garantir a eliminação completa dentro do prazo contratual.</li> </ul> <p>O esquema de cifragem em repouso do Subcontratante, as propriedades de cifragem não determinística e o isolamento de chaves estão documentados na página de <a href="/security/#data-encryption">Segurança</a> . Uma alteração a esta posição seria uma alteração material do Serviço e seria notificada ao Responsável pelo tratamento ao abrigo da Secção 6.4 (Subcontratantes subsequentes) e da Secção 11 (Vigência e cessação).</p> <hr> <h2 id="7-obrigações-do-responsável-pelo-tratamento"> 7. Obrigações do Responsável pelo tratamento <a href="#7-obriga%c3%a7%c3%b5es-do-respons%c3%a1vel-pelo-tratamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O Responsável pelo tratamento é responsável por:</p> <ul> <li>Assegurar um fundamento jurídico para o tratamento de dados pessoais através do Serviço</li> <li>Fornecer os avisos de privacidade exigidos aos titulares dos dados (o EthicsPortal apresenta um aviso de privacidade no formulário de submissão do portal)</li> <li>Configurar prazos de conservação de dados adequados no Serviço</li> <li>Designar gestores e administradores autorizados</li> <li>Responder a pedidos de titulares dos dados, com o apoio do Subcontratante conforme descrito acima</li> </ul> <hr> <h2 id="8-subcontratantes-subsequentes"> 8. Subcontratantes subsequentes <a href="#8-subcontratantes-subsequentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os seguintes subcontratantes subsequentes estão autorizados à data de entrada em vigor deste DPA:</p> <table> <thead> <tr> <th>Subcontratante subsequente</th> <th>Finalidade</th> <th>Localização</th> <th>Salvaguardas</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Alojamento da aplicação, base de dados e armazenamento de anexos de ficheiros</td> <td>Nuremberga, Alemanha (UE)</td> <td>Dados tratados inteiramente na UE</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Processamento de pagamentos</td> <td>Irlanda (UE)</td> <td>Nenhuma credencial de pagamento armazenada pelo Subcontratante; a Stripe é certificada PCI DSS Nível 1</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Entrega de email transacional</td> <td>França (UE)</td> <td>Dados tratados inteiramente na UE</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN e entrega de borda para o site de marketing</td> <td>Estados Unidos</td> <td>As transferências, quando envolvem dados pessoais, assentam em cláusulas contratuais-tipo e em salvaguardas complementares</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Monitorização de erros e do desempenho da aplicação para as interfaces de administrador e gestor</td> <td>Países Baixos (UE)</td> <td>Dados tratados inteiramente na UE; os endereços IP dos denunciantes nunca são registados</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>Chat de gestor na aplicação e apoio à verificação de identidade</td> <td>França (UE)</td> <td>Carregado apenas no portal do gestor; não é carregado no site de marketing nem nas páginas dirigidas aos denunciantes</td> </tr> </tbody> </table> <p>As análises de marketing (Cloudflare Web Analytics) são isentas de cookies e não tratam dados pessoais.</p> <p><strong>Sem subcontratante de IA ou LLM.</strong> Nenhum grande modelo de linguagem, serviço de IA generativa ou classificador baseado em IA é subcontratante subsequente do Subcontratante. Os dados pessoais tratados ao abrigo deste DPA não são transmitidos à OpenAI, Anthropic, Google, Mistral ou a qualquer outro fornecedor de inferência de IA. Ver a Secção 6.10.</p> <hr> <h2 id="9-transferências-internacionais-de-dados"> 9. Transferências internacionais de dados <a href="#9-transfer%c3%aancias-internacionais-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os dados essenciais das denúncias, incluindo o conteúdo das denúncias e o armazenamento de anexos de ficheiros, são alojados na <strong>União Europeia</strong> (Hetzner, Alemanha). O processamento de pagamentos ocorre na UE (Stripe), e o email transacional é entregue a partir da UE (Mailjet, França).</p> <p>Os pedidos ao site de marketing são encaminhados através da Cloudflare (CDN, Estados Unidos), que trata metadados de rede (endereços IP dos visitantes e cabeçalhos dos pedidos) para entrega de conteúdo e proteção contra DDoS. Nenhuma denúncia, dados de gestores ou dados de conta são partilhados com a Cloudflare. As transferências assentam em cláusulas contratuais-tipo e em salvaguardas complementares. O portal de denúncia e o portal do gestor não carregam a Cloudflare. A AppSignal (Países Baixos) e a Crisp (França) estão sediadas na UE; a Crisp é carregada apenas no portal do gestor.</p> <hr> <h2 id="10-responsabilidade"> 10. Responsabilidade <a href="#10-responsabilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações de responsabilidade estabelecidas no acordo de serviço principal entre as partes. Na medida máxima permitida por lei, as reclamações decorrentes ou relacionadas com este DPA integram o mesmo limite agregado de responsabilidade aplicável ao Serviço.</p> <hr> <h2 id="11-vigência-e-cessação"> 11. Vigência e cessação <a href="#11-vig%c3%aancia-e-cessa%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Este DPA produz efeitos quando o Responsável pelo tratamento começa a usar o Serviço e mantém-se em vigor enquanto o Subcontratante tratar dados pessoais por conta do Responsável pelo tratamento. As obrigações deste DPA subsistem após a cessação na medida necessária para concluir a eliminação ou a devolução dos dados pessoais.</p> <hr> <h2 id="12-lei-aplicável"> 12. Lei aplicável <a href="#12-lei-aplic%c3%a1vel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Este DPA é regido pela lei da República da Polónia, sem consideração pelos princípios de conflitos de leis. Os tribunais competentes de Varsóvia, Polónia, têm jurisdição exclusiva sobre os litígios decorrentes deste DPA.</p> <hr> <h2 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para questões sobre este DPA ou para solicitar uma cópia assinada:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/product/Ative um canal de denúncia interno seguro para a conformidade com a Diretiva 2019/1937, com configuração do portal, gestão de processos e exportações de auditoria incluídas.<h1 id="como-funciona-o-ethicsportal"> Como funciona o EthicsPortal <a href="#como-funciona-o-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <h2 id="fluxo-de-implementação"> Fluxo de implementação <a href="#fluxo-de-implementa%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="1-configure-o-seu-portal"> 1. Configure o seu portal <a href="#1-configure-o-seu-portal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Configure a conta da organização e, em seguida, defina:</p> <ul> <li><strong>Nome e logótipo da organização:</strong> o seu portal, a sua identidade</li> <li><strong>Categorias de denúncia:</strong> fraude, assédio, segurança ou defina as suas próprias</li> <li><strong>Prazo de conservação dos dados:</strong> 12, 24, 36 ou 60 meses, sendo depois eliminados automaticamente</li> </ul> <p>É atribuído ao portal um URL único assim que a configuração é guardada.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-edit.png" alt="Ecrã de configuração do portal" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-partilhe-o-link"> 2. Partilhe o link <a href="#2-partilhe-o-link" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Cada portal recebe um <strong>link partilhável</strong> e um <strong>código QR</strong>. Coloque o código QR em salas de pausa, casas de banho, no manual do trabalhador, nos pacotes de integração. Os trabalhadores acedem ao portal a partir de qualquer navegador. Não é necessária aplicação, conta nem rede da empresa.</p> <p>Veja o próprio canal de denúncia do EthicsPortal em produção: <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> .</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-public-desktop.png" alt="Partilha do link e do código QR do portal" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-opere-o-fluxo-de-processos"> 3. Opere o fluxo de processos <a href="#3-opere-o-fluxo-de-processos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Quando chega uma denúncia, recebe uma notificação por email. A partir do painel, gere cada processo numa única vista:</p> <ul> <li><strong>Atribua e triagem:</strong> encaminhe os processos para o gestor certo</li> <li><strong>Filtre e pesquise:</strong> encontre processos por estado, categoria ou prazo</li> <li><strong>Registe denúncias externas:</strong> recebeu uma denúncia por telefone, email ou presencialmente? Crie-a manualmente para que tudo fique num só lugar</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-reports.png" alt="Painel de denúncias com lista de processos, filtros e estado" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Abra um processo para o tratar de ponta a ponta:</p> <ul> <li><strong>Leia a denúncia completa:</strong> descrição, categoria, respostas estruturadas de receção e ficheiros carregados. As denúncias que assinalam uma preocupação de retaliação têm um indicador de urgência destacado (art. 19.º da Diretiva)</li> <li><strong>Acuse a receção:</strong> a Diretiva exige-o no prazo de 7 dias. O EthicsPortal acompanha o prazo e assinala automaticamente os processos em atraso</li> <li><strong>Comunique com o denunciante:</strong> mensagens seguras bidirecionais através de código de acesso. O denunciante mantém-se anónimo e os nomes dos seus gestores nunca são revelados</li> <li><strong>Dê seguimento:</strong> a Diretiva exige-o no prazo de 3 meses. Acompanhado automaticamente</li> <li><strong>Acrescente notas internas:</strong> notas invisíveis para o denunciante, visíveis para a sua equipa</li> <li><strong>Exporte para PDF:</strong> gere um processo completo para revisão jurídica, auditores ou documentação de conformidade</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-report.png" alt="Vista individual do processo com mensagens seguras, prazos e registo de atividades" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="o-que-os-denunciantes-vivenciam"> O que os denunciantes vivenciam <a href="#o-que-os-denunciantes-vivenciam" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A experiência do denunciante importa porque determina se as pessoas usam efetivamente o canal.</p> <ul> <li><strong>Sem conta, sem aplicação, sem início de sessão.</strong> Apenas um navegador em qualquer dispositivo, incluindo um telemóvel pessoal com dados móveis</li> <li><strong>Totalmente anónimo por predefinição.</strong> Sem registo de IP. Os metadados dos ficheiros (EXIF, GPS, autor) são removidos automaticamente antes do armazenamento</li> <li><strong>Divulgação opcional da identidade.</strong> Os denunciantes podem partilhar o seu nome se assim o entenderem. Nunca é exigido</li> <li><strong>Perguntas guiadas opcionais.</strong> Um conjunto curto e ignorável de perguntas alinhadas com a Diretiva — relação com a organização (art. 4.º), como teve conhecimento, quando ocorreu, se já tinha sido denunciado e se teme retaliação (art. 19.º) — ajuda os gestores na triagem. Cada pergunta é opcional, pelo que o anonimato nunca é comprometido por uma resposta obrigatória</li> <li><strong>Acesso ao processo com dois fatores.</strong> O denunciante escolhe um código de acesso de 6 dígitos na submissão e recebe um ID do caso (<code>WB-XXXX-XXXX</code>). Ambos são necessários para consultar atualizações e responder às mensagens do gestor</li> <li><strong>Os nomes dos gestores nunca são mostrados.</strong> O denunciante vê “Gestor do caso” e nada mais</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-new-report-desktop.png" alt="Formulário de denúncia anónima" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Quando os denunciantes regressam para consultar o seu processo, introduzem o ID do caso e o código de acesso de 6 dígitos e veem apenas o que precisam: estado, mensagens do gestor e quaisquer ficheiros que tenham carregado. As identidades dos gestores permanecem ocultas atrás de uma etiqueta genérica “Gestor do caso”.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-public-report-desktop.png" alt="Vista do denunciante sobre o seu processo submetido, com mensagens seguras bidirecionais" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="o-que-está-por-baixo"> O que está por baixo <a href="#o-que-est%c3%a1-por-baixo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Cada decisão técnica serve um propósito: manter a sua conformidade e proteger os seus denunciantes.</p> <ul> <li><strong>Cifrado em repouso.</strong> Todos os dados das denúncias são cifrados na base de dados</li> <li><strong>Análise de vírus.</strong> Todos os ficheiros carregados são analisados em busca de software malicioso do lado do servidor. Os ficheiros infetados são removidos automaticamente</li> <li><strong>Registo de atividades só com acrescentos.</strong> Cada ação é registada. As entradas não podem ser modificadas após a criação. Os auditores obtêm quem fez o quê e quando</li> <li><strong>Autenticação de dois fatores.</strong> 2FA baseada em TOTP para contas de gestor e administrador, através de qualquer aplicação de autenticação padrão. Os denunciantes também se autenticam com dois fatores: o ID do caso mais um código de acesso de 6 dígitos escolhido pelo denunciante (armazenado apenas como um digest bcrypt)</li> <li><strong>Acompanhamento automático de prazos.</strong> Prazos de 7 dias para acusar a receção e de 3 meses para dar seguimento, com notificações de atraso</li> <li><strong>Dados das denúncias alojados na UE.</strong> Os dados essenciais das denúncias são armazenados em servidores da Hetzner em Nuremberga, Alemanha. O site de marketing é entregue através da Cloudflare (CDN, Estados Unidos); os portais de denúncia e de gestão não. As salvaguardas de transferência estão documentadas na lista publicada de subcontratantes</li> <li><strong>Sem rastreio.</strong> Sem registo de IP, sem cookies de análise, sem scripts de terceiros no portal de denúncia</li> </ul> <hr> <p>Para o mapa artigo a artigo de como cada funcionalidade satisfaz a Diretiva, consulte o <a href="/directive-coverage/">mapa de cobertura da Diretiva 2019/1937</a> . Para as posições interpretativas sobre as disposições ambíguas da Diretiva, consulte as <a href="/directive-interpretations/">interpretações da Diretiva 2019/1937</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/trust/Parte contratante, residência dos dados, certificações e materiais de aprovisionamento do EthicsPortal.<h1 id="confiança"> Confiança <a href="#confian%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Tudo o que um revisor de aprovisionamento, um EPD ou uma equipa jurídica precisa para avaliar o EthicsPortal.</p> <p>Última atualização: 2026-05-24.</p> <hr> <h2 id="parte-contratante"> Parte contratante <a href="#parte-contratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Nome do serviço:</strong> EthicsPortal</li> <li><strong>Operador:</strong> Yaroslav Shmarov</li> <li><strong>Morada registada:</strong> ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia</li> <li><strong>Número de identificação fiscal (NIP):</strong> 5272755790</li> <li><strong>Signatário autorizado para acordos comerciais, DPA e questionários de segurança:</strong> Yaroslav Shmarov</li> <li><strong>Contacto comercial:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Contacto de segurança:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Contacto de privacidade e proteção de dados:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Os elementos de registo e os documentos contratuais assinados são fornecidos a pedido durante o aprovisionamento.</p> <hr> <h2 id="residência-dos-dados-e-relação-de-subcontratação"> Residência dos dados e relação de subcontratação <a href="#resid%c3%aancia-dos-dados-e-rela%c3%a7%c3%a3o-de-subcontrata%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>No modelo de subscrição padrão, o cliente é o responsável pelo tratamento e o EthicsPortal atua como subcontratante dos dados das denúncias do cliente.</p> <p>Os dados essenciais das denúncias, incluindo a aplicação, a base de dados e o armazenamento de ficheiros, são alojados em Nuremberga, Alemanha, na <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . O email transacional corre através da Mailjet (França). O site de marketing usa um subcontratante extra-UE identificado, a Cloudflare (CDN), listado na íntegra na página de <a href="/subprocessors/">subcontratantes</a> . O portal de denúncia e o portal do gestor não carregam a Cloudflare.</p> <hr> <h2 id="continuidade-e-pessoal"> Continuidade e pessoal <a href="#continuidade-e-pessoal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>Os dados do cliente são recuperáveis independentemente da disponibilidade do operador.</strong> A qualquer momento durante a relação e à saída do contrato, as organizações-cliente têm direito a uma exportação completa e legível por máquina dos seus dados, mais um período definido de cessação para migrar para um fornecedor alternativo. Estas disposições constam do <a href="/dpa/">Acordo de tratamento de dados</a> e estão desenvolvidas no <a href="/policies/business-continuity/">plano de continuidade do negócio</a> , que define os fatores de ativação, <strong>RPO de 24 horas / RTO de 4 horas</strong> e o procedimento de incapacidade do operador.</p> <p><strong>Cópias de segurança.</strong> Cópias diárias cifradas do PostgreSQL para o Hetzner Object Storage (UE, conservação de 7 dias) mais instantâneos do servidor da Hetzner (conservação de 7 dias). Último ensaio de restauro: 2026-05-14.</p> <p><strong>Âmbito do pessoal.</strong> Todos os dados do cliente são tratados pelo operador identificado. Não existem outros trabalhadores nem prestadores de serviços — uma decisão de âmbito deliberada que remove do modelo de ameaças os riscos de pessoal do lado do fornecedor (falhas na verificação de antecedentes, fugas na entrada/saída de pessoal, dispersão de prestadores). Os controlos de acesso privilegiado do operador identificado estão documentados e disponíveis durante a revisão de aprovisionamento.</p> <hr> <h2 id="estado-de-certificação"> Estado de certificação <a href="#estado-de-certifica%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal não reivindica atualmente neste site uma certificação ISO 27001 acreditada. Não consta atualmente em registo um teste de intrusão externo independente. Quando qualquer um deles se alterar, o nome da certificação (ou o âmbito, a data e o resumo da correção do teste) será publicado aqui.</p> <p>Em vez de uma certificação acreditada, o EthicsPortal publica uma autoavaliação estruturada face aos mesmos conjuntos de controlos que uma auditoria externa avaliaria:</p> <ul> <li>Um <a href="/iso-27001/">mapa de controlos do Anexo A da ISO/IEC 27001:2022</a> que abrange todos os 93 controlos, com o estado (Implementado / Autoavaliado / Não aplicável / Controlo compensatório) e indicações de evidência para cada um.</li> <li>Um <a href="/iso-37002/">mapa de alinhamento com as orientações da ISO 37002:2021</a> que abrange o ciclo de vida da gestão da denúncia cláusula a cláusula, com a fronteira software/operador indicada. (A ISO 37002 é uma norma de orientações — nenhuma organização pode ser certificada face a ela; o alinhamento é a única afirmação honesta que qualquer fornecedor pode fazer.)</li> <li>Documentos de política identificados em <a href="/policies/">/policies/</a> : <a href="/policies/information-security/">política de segurança da informação</a> , <a href="/policies/business-continuity/">plano de continuidade do negócio</a> , <a href="/policies/risk-register/">registo de riscos</a> .</li> <li>Um <a href="/caiq/">questionário pré-preenchido alinhado com o CAIQ</a> para as perguntas cujas respostas já estão documentadas publicamente.</li> </ul> <p>A autoavaliação é a substância que uma acreditação atestaria. O EthicsPortal publica-a diretamente para que um revisor de aprovisionamento possa avaliar a mesma evidência sem esperar por um auditor.</p> <hr> <h2 id="ciclo-de-vida-operacional"> Ciclo de vida operacional <a href="#ciclo-de-vida-operacional" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Questão</th> <th>Resposta</th> </tr> </thead> <tbody> <tr> <td>Disponibilidade em tempo real</td> <td>Publicada em <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> para as superfícies cobertas. Ver o <a href="/sla/">Acordo de nível de serviço</a> para a metodologia de medição e as exclusões.</td> </tr> <tr> <td>Ciclo de vida de sessões e acessos</td> <td>As sessões expiram automaticamente após 14 dias de inatividade e são varridas todas as noites. Os utilizadores podem rever e revogar as suas próprias sessões a qualquer momento. Cada sessão regista <code>last_seen_at</code> para que os dispositivos obsoletos sejam identificáveis. A desativação de um membro corta o acesso na fronteira do pedido, desatribui as denúncias abertas e remove as participações, preservando o histórico de auditoria. Ver <a href="/security/#access-control">Segurança</a> .</td> </tr> <tr> <td>Cópias de segurança e restauro</td> <td>Cópias diárias cifradas do PostgreSQL para o Hetzner Object Storage (UE, conservação de 7 dias) mais instantâneos do servidor da Hetzner (conservação de 7 dias). <strong>RPO de 24 horas, RTO de 4 horas.</strong> Último ensaio de restauro: 2026-05-14. Ver <a href="/security/#backups-and-restore">Segurança</a> .</td> </tr> <tr> <td>Gestão de dependências e correções</td> <td>SCA contínua em CI (Brakeman, bundler-audit, importmap audit) mais atualizações semanais do Dependabot. Sem componentes em fim de vida implementados. Ver <a href="/security/#dependency-and-patch-management">Segurança</a> .</td> </tr> <tr> <td>Exportação e eliminação</td> <td>A exportação de processos em PDF está disponível na aplicação para cada processo (descrição, mensagens, registo de atividades, anexos). A exportação em massa legível por máquina do conjunto completo de dados da organização está disponível a pedido à saída do contrato. Os compromissos contratuais constam do <a href="/dpa/">Acordo de tratamento de dados</a> .</td> </tr> <tr> <td>Objetivos de recuperação</td> <td>Ver <a href="/sla/#recovery-objectives">Acordo de nível de serviço</a> .</td> </tr> </tbody> </table> <hr> <h2 id="posições-contratuais"> Posições contratuais <a href="#posi%c3%a7%c3%b5es-contratuais" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Uma única fonte de verdade para as questões contratuais que as equipas de aprovisionamento empresarial mais frequentemente colocam. Cada linha remete para o documento que prevalece.</p> <table> <thead> <tr> <th>Item</th> <th>Posição do EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Limite agregado de responsabilidade</td> <td>12 meses de quantias pagas nos 12 meses anteriores ao facto que deu origem à reclamação (<a href="/terms/">Termos §11</a> ). O Acordo de tratamento de dados, o Acordo de nível de serviço e a indemnização por propriedade intelectual integram-se todos no mesmo limite agregado.</td> </tr> <tr> <td>Indemnização por violação de propriedade intelectual</td> <td>O operador defenderá o Responsável pelo tratamento contra reclamações de terceiros relativas a direitos de autor, marca ou patente decorrentes da utilização do Serviço em conformidade com os Termos, sujeito às exclusões habituais (modificações do cliente, utilização não autorizada, combinações não autorizadas) e ao limite agregado de responsabilidade. Ver <a href="/terms/">Termos §12</a> .</td> </tr> <tr> <td>Prazo de notificação de violação</td> <td>Sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento (<a href="/dpa/">DPA §6.6</a> ), em conformidade com o <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 33</a> do RGPD. Não é oferecido contratualmente um prazo mais curto nos planos padrão, porque prazos mais curtos arriscam uma notificação prematura e entram em conflito com o limiar forense exigido pelo RGPD.</td> </tr> <tr> <td>Direitos de auditoria</td> <td>Nos termos do <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> do RGPD, com pelo menos 30 dias de aviso prévio e durante o horário normal de expediente (<a href="/dpa/">DPA §6.9</a> ). O Subcontratante responderá a questionários de segurança escritos em vez de auditoria no local, sempre que a revisão do Responsável pelo tratamento possa ser satisfeita dessa forma.</td> </tr> <tr> <td>Créditos de serviço</td> <td>Os planos padrão não incluem créditos de serviço monetários. As soluções para falhas de disponibilidade materiais ou repetidas regem-se pelo limite agregado de responsabilidade (<a href="/sla/">SLA</a> ).</td> </tr> <tr> <td>Chaves de cifragem geridas pelo cliente (BYOK / KMS externo)</td> <td>Não suportado. As chaves geridas pelo subcontratante são necessárias para manter a fronteira de chaves denunciante-gestor e a garantia de eliminação de ponta a ponta. Ver <a href="/dpa/">DPA §6.11</a> .</td> </tr> <tr> <td>Caução de código-fonte</td> <td>Não oferecida. A continuidade é tratada através das disposições de incapacidade do operador do <a href="/policies/business-continuity/">plano de continuidade do negócio</a> e dos direitos de exportação e eliminação de dados do Responsável pelo tratamento ao abrigo do <a href="/dpa/">DPA §6.8</a> .</td> </tr> <tr> <td>Aviso de alteração de subcontratante</td> <td>Pelo menos 30 dias antes de adicionar ou substituir um subcontratante; o Responsável pelo tratamento pode opor-se e cessar o contrato se não se chegar a uma resolução (<a href="/dpa/">DPA §6.4</a> ).</td> </tr> <tr> <td>Exportação e eliminação de dados à saída</td> <td>Exportação de processos em PDF em autosserviço no produto, mais exportação em massa legível por máquina a pedido à saída, mais eliminação no prazo de 30 dias após a cessação da subscrição mediante pedido escrito (<a href="/dpa/">DPA §6.8</a> ).</td> </tr> <tr> <td>Seguro de responsabilidade cibernética</td> <td>Em análise. O montante de cobertura e a seguradora serão publicados aqui quando estiverem em vigor.</td> </tr> <tr> <td>Teste de intrusão externo independente</td> <td>Nenhum atualmente em registo. O âmbito, a data e o resumo da correção serão publicados aqui quando for realizado.</td> </tr> <tr> <td>Lei aplicável e foro</td> <td>Lei da Polónia; tribunais de Varsóvia (<a href="/terms/">Termos §13</a> ). Os consumidores da UE mantêm o direito de instaurar processos no seu país de residência.</td> </tr> </tbody> </table> <p>Estas posições estão refletidas nos <a href="/terms/">Termos de serviço</a> , no <a href="/dpa/">Acordo de tratamento de dados</a> e no <a href="/sla/">Acordo de nível de serviço</a> publicados. Não são concedidos desvios materiais nos planos padrão.</p> <hr> <h2 id="documentos-públicos"> Documentos públicos <a href="#documentos-p%c3%bablicos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Tudo o que um revisor de aprovisionamento precisa está publicado abertamente. Agrupado pelo que o documento faz.</p> <h3 id="contratual"> Contratual <a href="#contratual" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O que rege a relação entre o EthicsPortal e o cliente.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidade</th> </tr> </thead> <tbody> <tr> <td><a href="/terms/">Termos de serviço</a> </td> <td>Termos de subscrição, cancelamento, reembolsos, limite de responsabilidade, indemnização por PI</td> </tr> <tr> <td><a href="/dpa/">Acordo de tratamento de dados</a> </td> <td>Termos de subcontratação ao abrigo do artigo 28.º do RGPD</td> </tr> <tr> <td><a href="/sla/">Acordo de nível de serviço</a> </td> <td>Objetivo de disponibilidade e medição</td> </tr> <tr> <td><a href="/privacy/">Política de privacidade</a> </td> <td>Como são tratados os dados pessoais</td> </tr> </tbody> </table> <h3 id="operacional"> Operacional <a href="#operacional" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Como o Serviço funciona no dia a dia e quem mais está envolvido.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidade</th> </tr> </thead> <tbody> <tr> <td><a href="/security/">Segurança</a> </td> <td>Medidas técnicas e organizativas</td> </tr> <tr> <td><a href="/subprocessors/">Subcontratantes</a> </td> <td>Subcontratantes identificados e o seu âmbito</td> </tr> <tr> <td><a href="/incidents/">Registo de incidentes</a> </td> <td>Incidentes materiais que afetem dados pessoais</td> </tr> <tr> <td><a href="/accessibility/">Acessibilidade</a> </td> <td>Estado de conformidade com o EAA / EN 301 549</td> </tr> </tbody> </table> <h3 id="referência-da-diretiva"> Referência da Diretiva <a href="#refer%c3%aancia-da-diretiva" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Como o EthicsPortal mapeia, e lê, a Diretiva (UE) 2019/1937.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidade</th> </tr> </thead> <tbody> <tr> <td><a href="/directive-coverage/">Mapa de cobertura da Diretiva 2019/1937</a> </td> <td>Mapa funcionalidade-artigo da Diretiva 2019/1937</td> </tr> <tr> <td><a href="/directive-interpretations/">Interpretações da Diretiva 2019/1937</a> </td> <td>Posições interpretativas sobre disposições ambíguas da Diretiva</td> </tr> <tr> <td><a href="/whistleblower-laws/">Leis de proteção de denunciantes por país</a> </td> <td>Transposições nacionais, autoridades responsáveis pela execução</td> </tr> <tr> <td><a href="/penalties/">Sanções por país</a> </td> <td>Coimas e responsabilidade penal por Estado-Membro</td> </tr> </tbody> </table> <h3 id="autoavaliação"> Autoavaliação <a href="#autoavalia%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Documentos de política identificados e os mapeamentos de controlos que uma auditoria externa avaliaria.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidade</th> </tr> </thead> <tbody> <tr> <td><a href="/policies/information-security/">Política de segurança da informação</a> </td> <td>Declaração de intenções, âmbito, funções, compromissos de controlo</td> </tr> <tr> <td><a href="/policies/business-continuity/">Plano de continuidade do negócio</a> </td> <td>Fatores de ativação, objetivos de recuperação, divulgação de incapacidade do operador</td> </tr> <tr> <td><a href="/policies/risk-register/">Registo de riscos</a> </td> <td>Principais riscos, tratamento, posição residual</td> </tr> <tr> <td><a href="/iso-27001/">Mapa de controlos do Anexo A da ISO/IEC 27001:2022</a> </td> <td>Autoavaliação estruturada face a todos os 93 controlos</td> </tr> <tr> <td><a href="/caiq/">Questionário alinhado com o CAIQ</a> </td> <td>Avaliação de segurança de fornecedor pré-preenchida (estrutura de domínios do CSA CAIQ v4)</td> </tr> </tbody> </table> <hr> <h2 id="disponível-durante-a-revisão-de-aprovisionamento"> Disponível durante a revisão de aprovisionamento <a href="#dispon%c3%advel-durante-a-revis%c3%a3o-de-aprovisionamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os materiais seguintes são partilhados em divulgação controlada, em vez de publicados abertamente:</p> <ul> <li>DPA assinado</li> <li>Extrato de registo e prova de NIP / fiscal</li> <li>Questionário de segurança preenchido</li> <li>Resumo de acesso privilegiado de produção</li> <li>Resumo de resposta a incidentes</li> <li>Respostas sobre continuidade do negócio, saída e exportação de dados do cliente</li> <li>Resumo do teste de intrusão externo (quando em registo)</li> </ul> <p>Para os solicitar, envie um email para <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Para questões de revisão de segurança, envie um email para <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/industries/manufacturing/Requisitos de denúncia para fabricantes ao abrigo da Diretiva (UE) 2019/1937, da lei alemã da cadeia de abastecimento (LkSG) e da futura CSDDD da UE.<h1 id="conformidade-com-a-denúncia-para-a-indústria-e-a-cadeia-de-abastecimento"> Conformidade com a denúncia para a indústria e a cadeia de abastecimento <a href="#conformidade-com-a-den%c3%bancia-para-a-ind%c3%bastria-e-a-cadeia-de-abastecimento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Os fabricantes enfrentam obrigações de denúncia em duas frentes: a Diretiva da UE relativa à denúncia (2019/1937) para a denúncia interna, e as leis de dever de diligência na cadeia de abastecimento que exigem explicitamente mecanismos de reclamação que abranjam trabalhadores <em>e</em> terceiros.</p> <h2 id="regulamentos-que-exigem-canais-de-denúncia"> Regulamentos que exigem canais de denúncia <a href="#regulamentos-que-exigem-canais-de-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Diretiva (UE) 2019/1937</strong> — aplica-se a todos os fabricantes com 50 ou mais trabalhadores. Canais internos para trabalhadores.</li> <li><strong>Lei alemã da cadeia de abastecimento (LkSG)</strong> — em vigor desde janeiro de 2023. Obriga as empresas com 1000 ou mais trabalhadores (e os seus fornecedores diretos) a estabelecer um <strong>procedimento de reclamação</strong> acessível às pessoas afetadas na cadeia de abastecimento — não apenas aos trabalhadores. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Secção 8 da LkSG</a> </li> <li><strong>Diretiva da UE relativa ao dever de diligência das empresas em matéria de sustentabilidade (CSDDD)</strong> — adotada em 2024, com aplicação faseada a partir de 2027. Obriga as empresas com 1000 ou mais trabalhadores e um volume de negócios igual ou superior a 450 milhões de euros a estabelecer mecanismos de reclamação para violações dos direitos humanos e do ambiente nas suas cadeias de valor.</li> <li><strong>Regulamento da UE relativo à segurança dos produtos (2023/988)</strong> — obriga os fabricantes a dispor de canais internos para a comunicação de preocupações de segurança dos produtos.</li> </ul> <h2 id="lksg-versus-diretiva-relativa-à-denúncia"> LkSG versus Diretiva relativa à denúncia <a href="#lksg-versus-diretiva-relativa-%c3%a0-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th></th> <th>Diretiva relativa à denúncia</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Quem pode denunciar</td> <td>Trabalhadores, prestadores de serviços</td> <td>Trabalhadores, fornecedores, terceiros afetados</td> </tr> <tr> <td>Âmbito</td> <td>Violações do direito da UE/nacional</td> <td>Violações dos direitos humanos e do ambiente na cadeia de abastecimento</td> </tr> <tr> <td>Anonimato exigido</td> <td>Varia consoante o país</td> <td>Não exigido, mas recomendado (orientação da BAFA)</td> </tr> <tr> <td>Execução</td> <td>Autoridades nacionais de denúncia</td> <td>BAFA (Serviço Federal <a href="/whistleblower-laws/germany/">Alemão</a> de Assuntos Económicos)</td> </tr> <tr> <td>Sanções</td> <td>Variam consoante o país</td> <td>Até 2% do volume de negócios anual a nível mundial</td> </tr> </tbody> </table> <p>As empresas sujeitas a ambas as leis precisam de um canal que sirva obrigações duplas — denúncia interna <em>e</em> reclamação na cadeia de abastecimento. Um único canal de denúncia pode cobrir ambas se for configurado corretamente.</p> <h2 id="o-que-é-denunciado"> O que é denunciado <a href="#o-que-%c3%a9-denunciado" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>Violações da segurança no trabalho em instalações de produção</li> <li>Incumprimento ambiental (emissões, eliminação de resíduos)</li> <li>Trabalho forçado ou condições de exploração em instalações de fornecedores</li> <li>Defeitos de segurança dos produtos ocultados dos reguladores</li> <li>Corrupção no aprovisionamento ou nas relações com fornecedores</li> <li>Contorno de controlos de exportação ou de sanções</li> </ul> <h2 id="por-que-isto-importa-agora"> Por que isto importa agora <a href="#por-que-isto-importa-agora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A CSDDD alarga as obrigações de dever de diligência na cadeia de abastecimento a toda a UE, e não apenas à Alemanha. As empresas que se preparam para a conformidade em 2027 precisam de ter mecanismos de reclamação em funcionamento. Esperar significa adaptar sob pressão de prazos — o mesmo padrão que levou cinco Estados-Membros a serem multados por transposição tardia da Diretiva.</p> <hr> <p><a href="/pricing/">Ative o seu canal de denúncia →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/industries/public-sector/Requisitos de denúncia para municípios, organismos públicos e entidades públicas ao abrigo da Diretiva (UE) 2019/1937. Sem limiar de 50 trabalhadores.<h1 id="conformidade-com-a-denúncia-para-o-setor-público"> Conformidade com a denúncia para o setor público <a href="#conformidade-com-a-den%c3%bancia-para-o-setor-p%c3%bablico" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>As entidades do setor público têm uma obrigação mais rigorosa do que as empresas privadas. Ao abrigo da Diretiva (UE) 2019/1937, <strong>todas as organizações do setor público devem estabelecer canais de denúncia internos</strong> — não existe um mínimo de 50 trabalhadores. A maioria das transposições nacionais preserva este âmbito mais alargado.</p> <h2 id="como-a-diretiva-se-aplica-de-forma-diferente"> Como a Diretiva se aplica de forma diferente <a href="#como-a-diretiva-se-aplica-de-forma-diferente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Setor privado</th> <th>Setor público</th> </tr> </thead> <tbody> <tr> <td>Limiar de trabalhadores</td> <td>50 ou mais trabalhadores</td> <td><strong>Sem limiar</strong> (todas as entidades)</td> </tr> <tr> <td>Prazo</td> <td>Dezembro de 2023 para 50 a 249 trabalhadores</td> <td>Dezembro de 2021 (maioria dos Estados-Membros)</td> </tr> <tr> <td>Canais partilhados</td> <td>Permitidos para municípios com menos de 10 000 habitantes</td> <td>Permitidos para municípios com menos de 10 000 habitantes</td> </tr> <tr> <td>Denúncia anónima</td> <td>Varia consoante o país</td> <td>Obrigatória em alguns Estados-Membros</td> </tr> </tbody> </table> <p>O artigo 8.º, n.º 9, da Diretiva permite que os municípios com menos de 10 000 habitantes ou menos de 50 trabalhadores partilhem canais de denúncia. Esta é a única concessão — todas as outras entidades públicas devem operar o seu próprio canal.</p> <h2 id="variações-nacionais"> Variações nacionais <a href="#varia%c3%a7%c3%b5es-nacionais" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong><a href="/whistleblower-laws/germany/">Alemanha</a> (HinSchG)</strong> — todos os empregadores públicos devem estabelecer canais internos. Coimas de 20 000 € a 50 000 € por incumprimento (até 500 000 € para pessoas coletivas).</li> <li><strong><a href="/whistleblower-laws/france/">França</a> (Loi Waserman)</strong> — todos os organismos públicos abrangidos. Os denunciantes podem denunciar diretamente às autoridades externas sem usar primeiro os canais internos.</li> <li><strong><a href="/whistleblower-laws/poland/">Polónia</a> </strong> — todas as entidades públicas abrangidas. Procedimentos internos exigidos a partir de 1 de janeiro de 2025.</li> <li><strong><a href="/whistleblower-laws/spain/">Espanha</a> (Ley 2/2023)</strong> — todas as entidades públicas abrangidas, independentemente da dimensão. Coimas até 1 000 000 €.</li> </ul> <h2 id="o-que-é-denunciado"> O que é denunciado <a href="#o-que-%c3%a9-denunciado" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>Uso indevido de fundos públicos ou fraude no aprovisionamento</li> <li>Conflitos de interesses na contratação</li> <li>Violações ambientais em obras públicas</li> <li>Falhas de segurança no trabalho em instalações públicas</li> <li>Violações da proteção de dados que envolvam dados dos cidadãos</li> <li>Abuso de autoridade</li> </ul> <h2 id="por-que-os-municípios-estão-em-risco"> Por que os municípios estão em risco <a href="#por-que-os-munic%c3%adpios-est%c3%a3o-em-risco" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A maioria dos grandes organismos públicos dispõe de infraestrutura de conformidade. Os municípios e os organismos públicos de menor dimensão muitas vezes não. Pressupõem que a Diretiva não se lhes aplica por terem menos de 50 trabalhadores. Aplica-se. Um canal de denúncia interno para um município pode ser implementado diretamente, sem um projeto alargado de integração informática.</p> <hr> <p><a href="/pricing/">Ative o seu canal de denúncia →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/industries/financial-services/Requisitos de denúncia para bancos, empresas de investimento e seguradoras ao abrigo da Diretiva (UE) 2019/1937, da DMIF II, do MAR e das diretivas antibranqueamento.<h1 id="conformidade-com-a-denúncia-para-serviços-financeiros"> Conformidade com a denúncia para serviços financeiros <a href="#conformidade-com-a-den%c3%bancia-para-servi%c3%a7os-financeiros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>As instituições financeiras operam ao abrigo da Diretiva da UE relativa à denúncia <em>e</em> de regulamentos setoriais que, de forma autónoma, exigem canais de denúncia internos. O incumprimento expõe as empresas a sanções tanto das leis nacionais de transposição como dos reguladores financeiros.</p> <h2 id="regulamentos-que-exigem-canais-de-denúncia"> Regulamentos que exigem canais de denúncia <a href="#regulamentos-que-exigem-canais-de-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Diretiva (UE) 2019/1937</strong> — aplica-se a todas as empresas com 50 ou mais trabalhadores. Exige canais de denúncia confidenciais, prazos de 7 dias para acusar a receção e de 3 meses para dar seguimento.</li> <li><strong>DMIF II (2014/65/UE)</strong> — o artigo 73.º exige que as empresas de investimento disponham de procedimentos para que os trabalhadores possam denunciar internamente potenciais violações. Os reguladores nacionais aplicam-no de forma autónoma face à Diretiva relativa à denúncia.</li> <li><strong>Regulamento Abuso de Mercado (UE 596/2014)</strong> — o artigo 32.º exige que os Estados-Membros estabeleçam mecanismos para a denúncia de abusos de mercado efetivos ou potenciais. As empresas devem garantir a existência de canais internos para que os trabalhadores possam denunciar antes de recorrer aos reguladores.</li> <li><strong>Diretivas antibranqueamento (AMLD 4/5/6)</strong> — exigem procedimentos de denúncia interna para transações suspeitas. O futuro pacote AMLD (2024) reforça as proteções dos denunciantes na denúncia antibranqueamento.</li> <li><strong>Solvência II (2009/138/CE)</strong> — o artigo 71.º exige que as seguradoras mantenham procedimentos de denúncia.</li> </ul> <h2 id="reguladores-setoriais-com-poderes-de-execução"> Reguladores setoriais com poderes de execução <a href="#reguladores-setoriais-com-poderes-de-execu%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>País</th> <th>Regulador</th> <th>Âmbito</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Alemanha</a> </td> <td>BaFin</td> <td>Banca, seguros, valores mobiliários</td> </tr> <tr> <td><a href="/whistleblower-laws/france/">França</a> </td> <td>AMF / ACPR</td> <td>Mercados / banca e seguros</td> </tr> <tr> <td><a href="/whistleblower-laws/netherlands/">Países Baixos</a> </td> <td>AFM / DNB</td> <td>Mercados / supervisão prudencial</td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Itália</a> </td> <td>Consob / Banca d’Italia</td> <td>Mercados / banca</td> </tr> <tr> <td><a href="/whistleblower-laws/spain/">Espanha</a> </td> <td>CNMV</td> <td>Mercados de valores mobiliários</td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polónia</a> </td> <td>KNF</td> <td>Todos os setores financeiros</td> </tr> <tr> <td><a href="/whistleblower-laws/ireland/">Irlanda</a> </td> <td>Central Bank of Ireland</td> <td>Todos os setores financeiros</td> </tr> </tbody> </table> <p>Estes reguladores podem aplicar coimas de forma autónoma face às autoridades nacionais de denúncia.</p> <h2 id="o-que-é-denunciado"> O que é denunciado <a href="#o-que-%c3%a9-denunciado" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>Manipulação de mercado e abuso de informação privilegiada</li> <li>Falhas nos procedimentos antibranqueamento/conhecimento do cliente (KYC)</li> <li>Comercialização indevida de produtos financeiros</li> <li>Evasão a sanções</li> <li>Negociação não autorizada ou violação de limites de risco</li> <li>Conflitos de interesses em funções de consultoria</li> </ul> <h2 id="por-que-importa-um-canal-dedicado"> Por que importa um canal dedicado <a href="#por-que-importa-um-canal-dedicado" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os trabalhadores do setor financeiro que denunciam através de canais gerais de recursos humanos correm o risco de a sua divulgação ser encaminhada para a pessoa responsável pela violação. O artigo 9.º da Diretiva exige canais que protejam a confidencialidade e previnam conflitos de interesses — algo crucial em organizações onde a conformidade, a negociação e a gestão se sobrepõem.</p> <hr> <p><a href="/pricing/">Ative o seu canal de denúncia →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/contact/Contacte a equipa do EthicsPortal para questões sobre a conformidade com a denúncia na UE.<h1 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Tem questões sobre o EthicsPortal ou sobre a conformidade com a denúncia na UE? Envie-nos um email diretamente.</p> <hr> <ul> <li><strong>Geral:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Privacidade / direitos RGPD:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> <li><strong>Encarregado da proteção de dados:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> </li> <li><strong>Divulgações de segurança:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Jurídico / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </li> <li><strong>Acessibilidade:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> </ul> <p>Respondemos normalmente no prazo de um dia útil.</p> <hr> <h2 id="perguntas-frequentes"> Perguntas frequentes <a href="#perguntas-frequentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>“Quanto custa?”</strong> 60 €/mês ou 500 €/ano. Tudo incluído. Ver <a href="/pricing/">preços</a> .</p> <p><strong>“Podemos avaliar a plataforma antes da implementação?”</strong> Sim. Crie a conta da organização em <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> para avaliar e configurar o portal. A operação em produção requer um plano ativo.</p> <p><strong>“É conforme à Diretiva (UE) 2019/1937?”</strong> Sim. Consulte o nosso <a href="/directive-coverage/">mapa de cobertura da Diretiva 2019/1937</a> para uma análise artigo a artigo.</p> <p><strong>“Onde são armazenados os meus dados?”</strong> Os dados essenciais das denúncias são alojados na infraestrutura da Hetzner em Nuremberga, Alemanha. O site de marketing é entregue através da Cloudflare (Estados Unidos); os portais de denúncia e de gestão não. Consulte as nossas páginas de <a href="/dpa/">DPA</a> e de <a href="/subprocessors/">subcontratantes</a> .</p> <p><strong>“Disponibilizam um DPA?”</strong> Sim. Consulte o nosso <a href="/dpa/">acordo de tratamento de dados</a> ou envie um email para obter um PDF contra-assinado.</p> <p><strong>“Quem é a parte contratante?”</strong> Consulte a nossa página de <a href="/trust/">confiança</a> para detalhes da parte contratante e do aprovisionamento.</p> <p><strong>“Podem apoiar a revisão de aprovisionamento?”</strong> Sim. O DPA assinado, os elementos de registo e materiais adicionais de revisão de aprovisionamento estão disponíveis a pedido. Ver <a href="/trust/">confiança</a> .</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/accessibility/O compromisso do EthicsPortal com a acessibilidade e a conformidade com a EN 301 549 e as WCAG 2.2 Nível AA.<h1 id="declaração-de-acessibilidade"> Declaração de acessibilidade <a href="#declara%c3%a7%c3%a3o-de-acessibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Última atualização: 2026-05-24.</p> <p>O EthicsPortal está empenhado em tornar a sua plataforma de denúncia acessível a todos os utilizadores, em conformidade com a <strong>norma europeia de acessibilidade EN 301 549 V3.2.3</strong> e as <strong>Diretrizes de Acessibilidade para o Conteúdo Web (WCAG) 2.2 Nível AA</strong>. A EN 301 549 V3.2.1 continua a ser a versão citada na lista de normas harmonizadas ao abrigo da Diretiva relativa à acessibilidade da Web; reportamos face à mais recente V3.2.3 por ser a versão publicada atual da norma e por substituir a V3.2.1 no seu âmbito técnico.</p> <p>Esta declaração aplica-se a:</p> <ul> <li>A aplicação web do EthicsPortal em <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>Os portais públicos de denúncia alojados em <code>*.ethicsportal.eu</code></li> <li>O site de marketing em <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="estado-de-conformidade"> Estado de conformidade <a href="#estado-de-conformidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal está <strong>parcialmente conforme</strong> à EN 301 549 V3.2.3 e às WCAG 2.2 Nível AA. “Parcialmente conforme” significa que algumas partes do conteúdo ainda não cumprem totalmente a norma de acessibilidade. As não conformidades e as alternativas disponíveis estão listadas abaixo.</p> <p>Uma autoavaliação cláusula a cláusula está publicada como <a href="/en-301-549-conformance/">relatório de conformidade EN 301 549</a> e pode ser fornecida em PDF a pedido durante o aprovisionamento.</p> <h2 id="como-o-ethicsportal-apoia-a-acessibilidade"> Como o EthicsPortal apoia a acessibilidade <a href="#como-o-ethicsportal-apoia-a-acessibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O produto é construído e testado face aos requisitos:</p> <ul> <li><strong>Operação só por teclado</strong> em toda a aplicação e no portal público de denúncia — cada elemento interativo é alcançável e operável sem rato</li> <li><strong>Suporte de leitor de ecrã</strong> verificado com o VoiceOver (macOS, Safari) e o NVDA (Windows, Firefox)</li> <li><strong>Autenticação sem palavra-passe</strong> por link mágico ou código de utilização única, com TOTP opcional — elimina a barreira cognitiva da memorização de palavras-passe (WCAG 2.2 §3.3.8 Autenticação Acessível)</li> <li><strong>Suporte de movimento reduzido</strong> — as animações e transições são desativadas quando o sistema operativo o solicita</li> <li><strong>Ampliação e redistribuição</strong> — os esquemas redistribuem-se a 200% de ampliação do navegador sem deslocamento horizontal, exceto para tabelas e blocos de código</li> <li><strong>A ampliação por gesto está ativada</strong> em todas as páginas</li> <li><strong>Alvos de toque</strong> de pelo menos 24×24 pixels CSS, aumentados para 44×44 em apontadores grossos sempre que o esquema o permita (WCAG 2.2 §2.5.8)</li> <li><strong>Texto de elevado contraste</strong> — o texto do corpo usa um tom quase preto sobre branco (≈21:1) no tema claro e o equivalente no tema escuro</li> <li><strong>Localizado</strong> em todas as línguas oficiais da UE, com o atributo de idioma definido em todas as páginas</li> </ul> <h2 id="conteúdo-não-acessível"> Conteúdo não acessível <a href="#conte%c3%bado-n%c3%a3o-acess%c3%advel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O conteúdo seguinte não é totalmente acessível. Estamos a trabalhar para resolver cada item.</p> <h3 id="não-conformidade-com-a-norma-de-acessibilidade"> Não conformidade com a norma de acessibilidade <a href="#n%c3%a3o-conformidade-com-a-norma-de-acessibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <ul> <li><strong>Documentos PDF gerados</strong> — os relatórios de conformidade, os certificados de conformidade, os modelos de política de denúncia, os avisos de privacidade, os cartazes, o manual do gestor do caso e as exportações de processos são produzidos como PDF sem etiquetas. Não cumprem a EN 301 549 §10.1 (estrutura etiquetada, ordem de leitura, texto alternativo). Os utilizadores que necessitem de uma versão acessível de qualquer documento podem solicitar uma alternativa em HTML contactando <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — ver <a href="#feedback">Comentários</a> abaixo. Estamos a migrar estes documentos para um fluxo de PDF etiquetado; as alternativas em HTML servidas a partir da aplicação são a solução interina prevista.</li> <li><strong>Páginas de erro estáticas (HTTP 400, 404, 422, 500 e a página de recurso para navegador não suportado)</strong> — estas páginas são servidas em inglês independentemente da localização do utilizador (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Idioma da Página). São encontradas raramente; a mesma informação é apresentada no idioma do utilizador dentro da aplicação. As próprias páginas usam HTML semântico e cumprem os restantes requisitos web da §9.</li> </ul> <h3 id="conteúdo-isento-dos-requisitos-de-acessibilidade"> Conteúdo isento dos requisitos de acessibilidade <a href="#conte%c3%bado-isento-dos-requisitos-de-acessibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <ul> <li>O conteúdo de terceiros incorporado no produto — por exemplo, o widget de chat ao vivo Crisp e as páginas de pagamento alojadas pela Stripe — não está sob o controlo direto do EthicsPortal. Selecionámos fornecedores que publicam documentação de acessibilidade e revemos estas escolhas anualmente.</li> <li>O conteúdo gerado pelos utilizadores carregado pelos gestores do caso (notas, ficheiros anexados) não está sob o controlo direto de autoria do produto. A interface do gestor solicita descrições e alternativas acessíveis sempre que aplicável, nos termos da EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="preparação-desta-declaração"> Preparação desta declaração <a href="#prepara%c3%a7%c3%a3o-desta-declara%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Esta declaração foi preparada em <strong>14 de maio de 2026</strong> com base numa autoavaliação realizada pelo EthicsPortal face à <strong>EN 301 549 V3.2.3</strong> e às <strong>WCAG 2.2 Nível AA</strong>. A avaliação combinou:</p> <ul> <li>Verificações automáticas em CI através de <code>axe-core-capybara</code> nos fluxos do portal público de denúncia (página inicial, submissão de denúncia, consulta)</li> <li>Testes manuais de teclado, VoiceOver e ampliação a 200% no fluxo de submissão de denúncia do portal, no fluxo de trabalho do gestor do caso, na autenticação e na gestão da conta</li> <li>Revisão de código face à lista de verificação interna de acessibilidade documentada no nosso repositório de engenharia</li> </ul> <p>A declaração será revista pelo menos trimestralmente e após qualquer alteração significativa da plataforma.</p> <h2 id="comentários"> Comentários <a href="#coment%c3%a1rios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Agradecemos os seus comentários sobre a acessibilidade do EthicsPortal. Se encontrar uma barreira de acessibilidade, não conseguir aceder a conteúdo ou precisar de informação num formato alternativo:</p> <ul> <li><strong>Email:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>Também aceite:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — inclua “acessibilidade” no assunto</li> <li>Procuramos acusar a receção dos pedidos de acessibilidade no prazo de <strong>2 dias úteis</strong> e fornecer um formato alternativo ou uma resposta substantiva no prazo de <strong>5 dias úteis</strong></li> </ul> <h2 id="procedimento-de-execução"> Procedimento de execução <a href="#procedimento-de-execu%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Se não ficar satisfeito com a nossa resposta, pode remeter o assunto ao organismo de execução da acessibilidade no seu país:</p> <ul> <li><strong>França:</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Polónia:</strong> Minister właściwy do spraw informatyzacji — através de <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , tendo o Rzecznik Praw Obywatelskich como recurso secundário para reclamações não resolvidas</li> <li><strong>Alemanha:</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Outros Estados-Membros da UE:</strong> consulte a lista mantida pela Comissão Europeia em <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="normas-e-referências"> Normas e referências <a href="#normas-e-refer%c3%aancias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Esta declaração é preparada com referência a:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Diretiva (UE) 2016/2102</a> — acessibilidade dos sítios web e das aplicações móveis de organismos do setor público</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Diretiva (UE) 2019/882</a> — Ato Europeu da Acessibilidade</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisão de Execução (UE) 2018/1523</a> — modelo de declaração de acessibilidade</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — Requisitos de acessibilidade para produtos e serviços TIC (versão publicada face à qual reportamos)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — versão listada nas normas harmonizadas ao abrigo da Diretiva relativa à acessibilidade da Web</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 Nível AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/directive-interpretations/Como o EthicsPortal interpreta as disposições ambíguas da Diretiva (UE) 2019/1937. Um documento de referência para responsáveis de conformidade, encarregados da proteção de dados e consultores jurídicos.<h1 id="interpretações-da-diretiva-20191937"> Interpretações da Diretiva 2019/1937 <a href="#interpreta%c3%a7%c3%b5es-da-diretiva-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Este documento regista como o EthicsPortal interpreta as disposições da Diretiva (UE) 2019/1937 que admitem mais do que uma leitura razoável. Está escrito para responsáveis de conformidade, encarregados da proteção de dados e consultores jurídicos que têm de tomar decisões operacionais defensáveis na ausência de orientação interpretativa autorizada da Comissão Europeia ou do Tribunal de Justiça.</p> <p>É um documento vivo. Sempre que o Tribunal de Justiça, o Comité Europeu para a Proteção de Dados ou uma autoridade nacional competente emita uma interpretação vinculativa que difira das posições abaixo, este documento é revisto e a posição anterior é preservada no registo de revisões.</p> <p>Para o mapa funcionalidade-requisito — qual a capacidade do EthicsPortal que satisfaz cada disposição da Diretiva — consulte o <a href="/directive-coverage/">mapa de cobertura da Diretiva 2019/1937</a> . Os dois documentos são complementares: o mapa de cobertura documenta o que o produto faz; este documento documenta como lemos a lei.</p> <p>Última atualização: abril de 2026.</p> <hr> <h2 id="1-âmbito-e-fontes"> §1. Âmbito e fontes <a href="#1-%c3%a2mbito-e-fontes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Esta metodologia trata da Diretiva 2019/1937 conforme transposta para o direito nacional dos 27 Estados-Membros da UE. Quando a transposição nacional é mais rigorosa do que a Diretiva, a regra nacional prevalece para as organizações que operam nessa jurisdição (ver §9).</p> <p>Fontes autorizadas, por ordem de precedência:</p> <ol> <li><strong>O próprio texto da Diretiva</strong> — Diretiva (UE) 2019/1937 de 23 de outubro de 2019, incluindo os seus considerandos.</li> <li><strong>As leis nacionais de transposição</strong> — vinculativas dentro de cada Estado-Membro. Ver <a href="/whistleblower-laws/">leis de proteção de denunciantes por país</a> para nomes de leis específicos e autoridades responsáveis pela execução.</li> <li><strong>Os acórdãos do Tribunal de Justiça da União Europeia</strong> — vinculativos em toda a União.</li> <li><strong>A orientação do Comité Europeu para a Proteção de Dados</strong> — para os aspetos de proteção de dados (artigo 17.º, sobreposição com o RGPD).</li> <li><strong>A orientação das autoridades nacionais competentes</strong> — persuasiva dentro do Estado emissor.</li> </ol> <p>Este documento é metodologia operacional. Não é aconselhamento jurídico. As organizações devem validar as interpretações com consultores jurídicos competentes na sua jurisdição antes de nelas se basearem em auditoria ou em litígio.</p> <hr> <h2 id="2-convenções"> §2. Convenções <a href="#2-conven%c3%a7%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A Diretiva prevê</strong> introduz uma declaração do que o texto da Diretiva exige.</p> <p><strong>Na prática, isto significa</strong> introduz a interpretação do EthicsPortal quando o texto permite mais do que uma leitura.</p> <p><strong>O EthicsPortal implementa isto através de</strong> introduz como a interpretação se manifesta no produto. Os operadores que escolham uma interpretação diferente podem ter de ajustar a configuração ou os procedimentos em conformidade.</p> <p>Todas as referências a artigos dizem respeito à Diretiva 2019/1937, salvo indicação em contrário.</p> <hr> <h2 id="3-o-limiar-dos-50-trabalhadores-art-8º"> §3. O limiar dos 50 trabalhadores (art. 8.º) <a href="#3-o-limiar-dos-50-trabalhadores-art-8%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 8.º, n.º 3, exige que as entidades com “50 ou mais trabalhadores” estabeleçam canais de denúncia internos. A Diretiva não define como se calcula o número de trabalhadores, como contam os trabalhadores a tempo parcial e temporários, nem se o limiar se aplica por pessoa coletiva ou por grupo de empresas.</p> <p><strong>A Diretiva prevê</strong> que “as entidades jurídicas do setor privado com 50 ou mais trabalhadores” devem cumprir (art. 8.º, n.º 3). O considerando 48 esclarece que o limiar é calculado “em conformidade com o direito nacional que transpõe o direito da União relevante”.</p> <p><strong>Na prática, isto significa</strong> que o cálculo segue as regras de contagem da mão de obra já existentes em cada Estado-Membro para fins laborais e de segurança social. Estas regras variam:</p> <ul> <li><strong>Alemanha</strong> (HinSchG §12): número de trabalhadores com base no número de pessoas regularmente empregadas, contado por pessoa coletiva.</li> <li><strong>França</strong> (Loi Waserman, art. 8.º): 50 trabalhadores calculados como o número médio mensal ao longo dos 12 meses anteriores.</li> <li><strong>Itália</strong> (D.Lgs. 24/2023): emprego médio ao longo do ano anterior.</li> <li><strong>Espanha</strong> (Ley 2/2023): 50 trabalhadores por entidade, com canais ao nível do grupo permitidos sob condições.</li> </ul> <p><strong>O limiar é calculado por pessoa coletiva</strong>, não por grupo de empresas. Uma sociedade-mãe e uma filial são entidades separadas para efeitos do artigo 8.º, salvo se o direito nacional dispuser de outro modo. O artigo 8.º, n.º 6, permite a partilha de recursos dentro de um grupo até 249 trabalhadores — mas a obrigação de estabelecer um canal continua a ser desencadeada por entidade acima do limiar dos 50 trabalhadores.</p> <p><strong>Os prestadores de serviços, os trabalhadores temporários cedidos por agência e os estagiários</strong> geralmente contam para o limiar quando se enquadram na definição nacional de “trabalhador” — que é mais ampla do que “empregado” no direito da UE. O Tribunal de Justiça tem sustentado de forma constante que o conceito de “trabalhador” no direito da UE inclui qualquer pessoa que preste serviços a outrem e sob a sua direção, em troca de remuneração (ver <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>O EthicsPortal implementa isto através de</strong> não condicionar o acesso ao número de trabalhadores. Qualquer organização pode ativar um portal independentemente da dimensão. As organizações abaixo do limiar dos 50 trabalhadores operam frequentemente portais de forma voluntária — por gestão de risco, porque o direito nacional aplica um limiar inferior ao seu setor (por exemplo, serviços financeiros), ou porque a política do grupo o impõe.</p> <hr> <h2 id="4-o-prazo-para-acusar-a-receção-art-9º-nº-1-al-b"> §4. O prazo para acusar a receção (art. 9.º, n.º 1, al. b)) <a href="#4-o-prazo-para-acusar-a-rece%c3%a7%c3%a3o-art-9%c2%ba-n%c2%ba-1-al-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 9.º, n.º 1, alínea b), exige a confirmação da receção “no prazo de sete dias a contar dessa receção”. A Diretiva não especifica dias de calendário ou dias úteis, nem quando o contador começa para as denúncias recebidas fora do horário de expediente.</p> <p><strong>A Diretiva prevê</strong> a confirmação “no prazo de sete dias a contar da receção”. Não é dada qualquer outra qualificação.</p> <p><strong>Na prática, isto significa</strong> sete dias de <strong>calendário</strong>, contados a partir do momento em que a denúncia entra no canal. Isto segue o princípio geral de que os prazos do direito da União correm em dias de calendário, salvo indicação expressa em contrário (Regulamento (CEE, Euratom) n.º 1182/71, art. 3.º). Os Estados-Membros que transpuseram a Diretiva trataram de forma constante o prazo de sete dias como dias de calendário (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5.º, n.º 1, al. d); Loi Waserman art. 8.º).</p> <p>Uma denúncia submetida às 23h59 de um domingo é uma denúncia recebida nesse domingo. O contador de sete dias começa no dia seguinte (dia 1 = segunda-feira) e expira no fim do sétimo dia. Isto segue o artigo 3.º, n.º 1, do Regulamento 1182/71, que prevê que, quando um prazo é expresso em dias, o dia do facto desencadeador não conta.</p> <p><strong>Acusar a receção não é o mesmo que dar resposta substantiva.</strong> A confirmação da receção é a confirmação de que a denúncia foi recebida e registada. Não tem de conter qualquer apreciação do mérito da denúncia, nem o nome da pessoa que a trata.</p> <p><strong>O EthicsPortal implementa isto através de</strong> enviar uma confirmação automática ao denunciante no momento da submissão, apresentada no portal e (quando são fornecidos dados de contacto) por email. A confirmação inclui a referência do caso e o prazo legal de três meses para dar seguimento. As organizações configuradas para confirmação manual recebem alertas de prazo 48 horas antes da marca dos sete dias e no dia da expiração.</p> <hr> <h2 id="5-o-prazo-para-dar-seguimento-art-9º-nº-1-al-f"> §5. O prazo para dar seguimento (art. 9.º, n.º 1, al. f)) <a href="#5-o-prazo-para-dar-seguimento-art-9%c2%ba-n%c2%ba-1-al-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 9.º, n.º 1, alínea f), exige um seguimento “que não exceda três meses a contar da confirmação da receção ou, se nenhuma confirmação tiver sido enviada ao denunciante, três meses a contar do termo do prazo de sete dias após a denúncia ter sido feita”. A Diretiva não define o que se qualifica como “seguimento”.</p> <p><strong>A Diretiva prevê</strong> que “seguimento” significa “a comunicação ao denunciante de informação sobre as medidas previstas ou tomadas e os motivos do seguimento” (art. 5.º, ponto 13).</p> <p><strong>Na prática, isto significa</strong> que o seguimento é substantivo. Uma nova confirmação ou uma declaração de que a denúncia está “em análise” não é um seguimento para efeitos do artigo 9.º, n.º 1, alínea f). O denunciante tem o direito de saber, até à marca dos três meses, que medida a organização tenciona tomar (ou tomou) e o raciocínio subjacente.</p> <p>O seguimento não tem de ser uma decisão final. Uma organização pode declarar que a matéria ainda está em investigação, desde que indique também o que foi feito até ao momento, que outras medidas estão previstas e quando se pode esperar uma nova atualização. O que se exige é informação suficiente para que o denunciante avalie se a organização está a tratar a denúncia com seriedade.</p> <p><strong>O contador de três meses corre a partir da data da confirmação da receção</strong>, não a partir da data de submissão da denúncia. Quando a confirmação é atrasada, a janela de seguimento encurta em conformidade — a data de seguimento mais tardia permitida é três meses e sete dias após a denúncia ter sido feita.</p> <p><strong>O EthicsPortal implementa isto através de</strong> acompanhar ambos os prazos (7 dias para acusar a receção, 3 meses para dar seguimento) por caso e exibir alertas de atraso a todos os administradores da organização. O seguimento ao denunciante é entregue através do canal de mensagens bidirecional do portal, que preserva o anonimato do denunciante quando este não revelou a sua identidade.</p> <hr> <h2 id="6-seguimento-diligente-art-9º-nº-1-al-d"> §6. Seguimento diligente (art. 9.º, n.º 1, al. d)) <a href="#6-seguimento-diligente-art-9%c2%ba-n%c2%ba-1-al-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 9.º, n.º 1, alínea d), exige um “seguimento diligente pela pessoa ou serviço designado referido na alínea c)”. “Diligente” não é definido.</p> <p><strong>A Diretiva prevê</strong> que seguimento significa “as medidas tomadas pelo destinatário de uma denúncia ou por qualquer autoridade competente para avaliar a exatidão das alegações constantes da denúncia e, se for caso disso, para fazer face à violação denunciada” (art. 5.º, ponto 12).</p> <p><strong>Na prática, isto significa</strong> que o seguimento diligente tem três componentes operacionais mínimos:</p> <ol> <li><strong>Avaliação.</strong> Uma avaliação documentada de saber se as alegações, a serem verdadeiras, constituiriam uma violação dentro do âmbito material da Diretiva (art. 2.º) ou da transposição nacional.</li> <li><strong>Investigação proporcional à alegação.</strong> Medidas de investigação proporcionais à gravidade da alegada violação, à solidez da prova e ao dano potencial. Nem toda a denúncia justifica uma investigação completa; uma denúncia sem qualquer detalhe concreto pode ser avaliada e encerrada com uma fundamentação documentada. Uma denúncia com detalhe específico e corroborado justifica mais.</li> <li><strong>Registo contemporâneo.</strong> As medidas tomadas, as decisões tomadas e o seu raciocínio devem ser registados no momento em que ocorrem. Um seguimento diligente que não deixa rasto é indistinguível da ausência de seguimento.</li> </ol> <p>“Diligente” é uma norma objetiva. Não se satisfaz apenas com a boa-fé subjetiva. Uma organização que encerra rotineiramente denúncias sem avaliação, ou que leva meses a abrir um processo, não é diligente, mesmo que acredite que o é.</p> <p><strong>O EthicsPortal implementa isto através de</strong> fornecer um fluxo de gestão de processos com transições de estado (recebido, com receção acusada, em investigação, encerrado), notas internas para a colaboração dos gestores e um registo de auditoria só com acrescentos que regista cada ação com data/hora e ator. O registo de auditoria é a principal evidência de diligência numa auditoria ou revisão regulamentar.</p> <hr> <h2 id="7-confidencialidade-da-identidade-art-16º"> §7. Confidencialidade da identidade (art. 16.º) <a href="#7-confidencialidade-da-identidade-art-16%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 16.º, n.º 1, exige que a identidade do denunciante não seja divulgada a ninguém além do pessoal autorizado. A Diretiva não especifica se “identidade” se estende a metadados que possam identificar o denunciante (endereços IP, impressões digitais do navegador, metadados de autoria de ficheiros, padrões de datas/horas).</p> <p><strong>A Diretiva prevê</strong> que “a identidade do denunciante não seja divulgada a ninguém além dos membros do pessoal autorizados competentes para receber ou dar seguimento a denúncias, sem o consentimento expresso dessa pessoa” (art. 16.º, n.º 1).</p> <p><strong>Na prática, isto significa</strong> que “identidade” é lida de forma funcional: inclui qualquer informação que, isoladamente ou em combinação, permita a identificação do denunciante. Esta leitura alinha-se com a definição de dados pessoais do RGPD (Regulamento (UE) 2016/679, art. 4.º, ponto 1) e com a posição constante do Comité Europeu para a Proteção de Dados de que a identificabilidade depende do contexto.</p> <p>São tratados como informação de identidade:</p> <ul> <li>O nome do denunciante, os dados de contacto e qualquer informação que forneça sobre si próprio.</li> <li>O <strong>endereço IP</strong> a partir do qual a denúncia foi submetida.</li> <li>Os <strong>metadados de ficheiros</strong> incorporados nos documentos carregados (nome do autor, coordenadas GPS em fotografias, identificadores de dispositivos, histórico de revisões em documentos de escritório).</li> <li>Padrões de datas/horas ou de acesso que possam identificar de forma única uma pessoa (por exemplo, uma denúncia submetida a uma hora a que só um trabalhador poderia plausivelmente tê-la submetido).</li> </ul> <p>As organizações que conservam os endereços IP dos denunciantes, ou que aceitam ficheiros carregados sem remover os metadados, ficam expostas a uma falha de confidencialidade que é tecnicamente uma violação do artigo 16.º, mesmo que o nome do denunciante nunca seja divulgado.</p> <p><strong>O EthicsPortal implementa isto através de</strong> nunca armazenar os endereços IP dos denunciantes (a limitação de débito usa hashes unidirecionais irreversíveis), remover os metadados EXIF e de documentos de todos os ficheiros carregados antes do armazenamento e cifrar os campos de identidade do denunciante em repouso com cifragem não determinística (de modo que mesmo o acesso total à base de dados não permita a consulta em massa por nome).</p> <hr> <h2 id="8-prazo-de-conservação-art-18º"> §8. Prazo de conservação (art. 18.º) <a href="#8-prazo-de-conserva%c3%a7%c3%a3o-art-18%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 18.º, n.º 1, exige que os registos das denúncias sejam conservados “durante um período que não exceda o necessário e proporcionado para cumprir os requisitos impostos pela presente diretiva ou outros requisitos impostos pelo direito da União ou nacional”. A Diretiva não especifica um período máximo.</p> <p><strong>A Diretiva prevê</strong> uma norma de “necessário e proporcionado”, ancorada nas finalidades de conformidade.</p> <p><strong>Na prática, isto significa</strong> que a conservação deve ser justificada por referência a uma finalidade jurídica ou operacional concreta, limitada no tempo e documentada nos registos de proteção de dados da organização (art. 30.º do RGPD). Na ausência de uma investigação em curso, de litígio ou de uma exigência legal específica, a conservação para além do encerramento do caso torna-se progressivamente mais difícil de justificar.</p> <p>Justificações comuns e as suas durações típicas:</p> <table> <thead> <tr> <th>Finalidade</th> <th>Conservação típica</th> </tr> </thead> <tbody> <tr> <td>Caso ativo (da receção ao encerramento)</td> <td>Duração do caso</td> </tr> <tr> <td>Investigação ou litígio subsequente</td> <td>Até à resolução final</td> </tr> <tr> <td>Registo de auditoria regulamentar</td> <td>Período definido pela regulação setorial (geralmente 5 anos para os serviços financeiros)</td> </tr> <tr> <td>Proteção em caso de pedido por retaliação (art. 21.º)</td> <td>Prazo de prescrição nacional para os pedidos laborais (geralmente 2 a 5 anos)</td> </tr> <tr> <td>Comunicação estatística ao abrigo do art. 27.º, n.º 2</td> <td>Apenas dados anonimizados; os dados pessoais devem ser minimizados ou eliminados</td> </tr> </tbody> </table> <p>A transposição nacional pode fixar períodos específicos. Exemplos:</p> <ul> <li><strong>Alemanha</strong> (HinSchG §11(5)): documentação eliminada três anos após o encerramento do procedimento, com prazo mais longo apenas quando exigido por outras leis.</li> <li><strong>França</strong> (orientação da CNIL sobre a Loi Waserman): prazos de conservação calibrados por tipo de caso, com os casos de rotina eliminados no prazo de dois meses após o encerramento se não houver seguimento.</li> <li><strong>Itália</strong> (D.Lgs. 24/2023 art. 14.º): cinco anos a contar do encerramento da denúncia, sujeito à minimização do RGPD.</li> </ul> <p>Um prazo de conservação genérico escolhido por conveniência (“guardamos tudo durante 10 anos”) não é conforme nem ao artigo 18.º nem ao artigo 5.º, n.º 1, alínea e), do RGPD. A conservação deve estar ligada a uma finalidade.</p> <p><strong>O EthicsPortal implementa isto através de</strong> fornecer prazos de conservação configuráveis (12, 24, 36, 60 meses) com eliminação automática das denúncias encerradas no fim do período configurado. A predefinição é o período mais curto que satisfaz os requisitos de transposição nacional mais comuns. Os operadores em setores com obrigações legais de conservação mais longas configuram o período em conformidade.</p> <hr> <h2 id="9-fundamento-jurídico-para-o-tratamento-interação-com-o-rgpd"> §9. Fundamento jurídico para o tratamento (interação com o RGPD) <a href="#9-fundamento-jur%c3%addico-para-o-tratamento-intera%c3%a7%c3%a3o-com-o-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 17.º da Diretiva exige que o tratamento de dados pessoais cumpra o RGPD. A própria Diretiva não é um fundamento jurídico ao abrigo do artigo 6.º do RGPD — o responsável pelo tratamento deve identificar qual o fundamento específico aplicável.</p> <p><strong>A Diretiva prevê</strong> que o tratamento “seja efetuado em conformidade com o Regulamento (UE) 2016/679” (art. 17.º).</p> <p><strong>Na prática, isto significa</strong> que o fundamento jurídico é o <strong>artigo 6.º, n.º 1, alínea c), do RGPD — obrigação jurídica</strong>, quando a organização está sujeita a uma obrigação legal de estabelecer e operar um canal de denúncia. Para as organizações acima do limiar dos 50 trabalhadores (ou abaixo dele quando legislação setorial específica impõe a obrigação), o artigo 6.º, n.º 1, alínea c), é o fundamento correto e suficiente. Não é exigido consentimento do denunciante, e nenhum deve ser procurado — tratar o tratamento como baseado no consentimento seria enganador e criaria um direito teórico de retirada que o responsável pelo tratamento não pode honrar.</p> <p>Para as organizações que operam um canal de denúncia <strong>voluntariamente</strong> (abaixo do limiar dos 50 trabalhadores e não sujeitas a um mandato setorial específico), o fundamento jurídico é o <strong>artigo 6.º, n.º 1, alínea f) — interesse legítimo</strong>, sujeito a um teste de ponderação documentado. O interesse legítimo na prevenção e deteção de irregularidades dentro da organização está bem estabelecido e tem sido reconhecido na orientação nacional dos vários Estados-Membros.</p> <p>As categorias especiais de dados pessoais (art. 9.º do RGPD) podem surgir incidentalmente nas denúncias — uma denúncia de discriminação pode revelar informação de saúde ou origem étnica. O fundamento jurídico para os dados do artigo 9.º é geralmente o artigo 9.º, n.º 2, alínea g) — interesse público importante, desde que o tratamento seja proporcionado e acompanhado de salvaguardas específicas. As denúncias que revelam infrações penais (art. 10.º do RGPD) são tratadas ao abrigo do correspondente fundamento do artigo 10.º no direito nacional.</p> <p><strong>O EthicsPortal implementa isto através de</strong> documentar o artigo 6.º, n.º 1, alínea c), como o fundamento jurídico predefinido no acordo de tratamento de dados e no aviso de privacidade. Os operadores abaixo do limiar legal ajustam o aviso de privacidade para refletir o artigo 6.º, n.º 1, alínea f), e registam o seu teste de ponderação separadamente.</p> <hr> <h2 id="10-primazia-do-direito-nacional-art-25º"> §10. Primazia do direito nacional (art. 25.º) <a href="#10-primazia-do-direito-nacional-art-25%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> O artigo 25.º, n.º 1, prevê que os Estados-Membros possam introduzir ou manter disposições “mais favoráveis aos direitos dos denunciantes” do que as estabelecidas na Diretiva. A Diretiva não trata de como os operadores devem resolver conflitos quando o direito nacional é mais rigoroso.</p> <p><strong>A Diretiva prevê</strong> no artigo 25.º, n.º 1, que “os Estados-Membros podem introduzir ou manter disposições mais favoráveis aos direitos dos denunciantes do que as estabelecidas na presente diretiva, sem prejuízo do artigo 22.º [direitos das pessoas visadas] e do artigo 23.º, n.º 2 [sanções por denúncias conscientemente falsas]”.</p> <p><strong>Na prática, isto significa</strong> que, quando a transposição nacional é mais rigorosa do que a Diretiva, <strong>o direito nacional prevalece</strong> para as organizações que operam nessa jurisdição. Não existe a opção de invocar o mínimo da Diretiva quando a regra local é mais rigorosa. A Diretiva estabelece um patamar mínimo, não um teto.</p> <p>Exemplos práticos de regras nacionais mais rigorosas:</p> <ul> <li><strong>A França</strong> exige a confirmação da receção das denúncias externas no prazo de sete dias úteis e um período de seguimento que pode ser mais curto do que o mínimo da Diretiva para certos setores (AMF, ACPR).</li> <li><strong>A Alemanha</strong> estende explicitamente a proteção a denúncias sobre certas categorias de violações legais para além do âmbito material da Diretiva (HinSchG §2).</li> <li><strong>A Itália</strong> impõe um limiar de trabalhadores inferior (50, mas com setores específicos a qualquer número de trabalhadores para certas entidades) e formalidades específicas de manutenção de registos.</li> <li><strong>A Polónia</strong> impõe requisitos específicos sobre a forma da política do canal de denúncia que não constam do texto da Diretiva.</li> </ul> <p><strong>Para os operadores multipaís</strong>, a regra de funcionamento é: em cada jurisdição, aplicar a mais rigorosa de (Diretiva, direito nacional). Por vezes, isto significa que uma política de grupo define uma norma uniforme elevada que corresponde à regra nacional mais rigorosa em qualquer país de atividade. Isto é geralmente preferível a manter políticas paralelas por jurisdição, o que aumenta a carga administrativa e o risco de aplicar a regra errada.</p> <p><strong>O EthicsPortal implementa isto através de</strong> assumir por predefinição o denominador comum mais rigoroso entre os 27 Estados-Membros: os prazos mais curtos para acusar a receção e para dar seguimento, o prazo de conservação mais estreito, o aviso de antirretaliação mais completo. Os operadores numa única jurisdição podem relaxar predefinições específicas para corresponder às regras nacionais, mas a linha de base está calibrada acima do mínimo da Diretiva em todos os artigos em que as leis de transposição nacionais o excedem.</p> <hr> <h2 id="11-denúncia-anónima-art-6º-nº-2-art-9º-nº-1-al-e"> §11. Denúncia anónima (art. 6.º, n.º 2, art. 9.º, n.º 1, al. e)) <a href="#11-den%c3%bancia-an%c3%b3nima-art-6%c2%ba-n%c2%ba-2-art-9%c2%ba-n%c2%ba-1-al-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>A questão.</strong> Deve uma organização aceitar denúncias anónimas?</p> <p><strong>A Diretiva prevê</strong> no artigo 6.º, n.º 2, que “não afeta o poder de os Estados-Membros decidirem se exigem ou não que as entidades jurídicas […] aceitem e deem seguimento a denúncias anónimas”. O artigo 9.º, n.º 1, alínea e), exige um “seguimento diligente, quando previsto no direito nacional, no que respeita à denúncia anónima”.</p> <p><strong>Na prática, isto significa</strong> que o direito nacional decide. Duas posturas:</p> <ul> <li><strong>Exigida</strong> em algumas jurisdições ou setores (por exemplo, a regulação francesa dos serviços financeiros).</li> <li><strong>Permitida</strong> na maioria dos Estados-Membros — Alemanha (HinSchG), Itália (D.Lgs. 24/2023, com seguimento diligente obrigatório uma vez aceite uma denúncia), Polónia (Ustawa o ochronie sygnalistów) e outros.</li> </ul> <p>Três consequências.</p> <p><strong>Uma vez aceite, vinculativo.</strong> Uma organização que publica “aceitamos denúncias anónimas” desencadeou o artigo 9.º, n.º 1, alínea e). A obrigação prende-se com a política, não com a denúncia individual.</p> <p><strong>A antirretaliação só se aplica a partir da identificação.</strong> O artigo 21.º não pode proteger uma pessoa desconhecida. As medidas tomadas durante o período anónimo não são retroativamente cobertas.</p> <p><strong>O anonimato é uma norma técnica, não uma promessa.</strong> Um formulário que recolhe um email não é anónimo. Um canal que regista endereços IP não é anónimo. A confidencialidade do artigo 16.º protege uma identidade conhecida da divulgação; o anonimato impede a identificação.</p> <p><strong>O EthicsPortal implementa isto através de</strong> aceitar denúncias anónimas por predefinição. Não são exigidos dados de contacto. Os endereços IP nunca são armazenados (a limitação de débito usa hashes unidirecionais irreversíveis). Os metadados dos ficheiros são removidos antes do armazenamento. Os operadores podem configurar o portal para exigir dados de contacto quando o direito nacional impõe denúncias identificadas. As denúncias anónimas aceites seguem o mesmo fluxo de processo, os mesmos prazos e a mesma norma de seguimento diligente que as identificadas.</p> <hr> <h2 id="registo-de-revisões"> Registo de revisões <a href="#registo-de-revis%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Abril de 2026</strong> — §11 acrescentada sobre a denúncia anónima (art. 6.º, n.º 2, art. 9.º, n.º 1, al. e)).</li> <li><strong>Abril de 2026</strong> — Publicação inicial.</li> </ul> <hr> <h2 id="correções-e-questões"> Correções e questões <a href="#corre%c3%a7%c3%b5es-e-quest%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Este documento destina-se a ser citado e invocado. Se identificar um erro, uma posição que entre em conflito com um acórdão do Tribunal de Justiça, um parecer do Comité Europeu para a Proteção de Dados ou orientação nacional vinculativa, contacte <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . As correções são publicadas no registo de revisões com data e resumo da alteração.</p> <p>Para questões sobre como uma interpretação específica se aplica às circunstâncias da sua organização, este documento não substitui o aconselhamento jurídico. Contacte consultores jurídicos competentes na sua jurisdição.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/directive-coverage/Mapa artigo a artigo de como o EthicsPortal cumpre todos os requisitos da Diretiva (UE) 2019/1937 e do RGPD para a proteção dos denunciantes.<h1 id="mapa-de-cobertura-da-diretiva-20191937"> Mapa de cobertura da Diretiva 2019/1937 <a href="#mapa-de-cobertura-da-diretiva-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>O EthicsPortal foi construído para manter a sua organização em conformidade com a Diretiva (UE) 2019/1937, com a respetiva transposição nacional no seu país e com o RGPD. Cada funcionalidade mapeia diretamente para um requisito legal.</p> <p>Esta página é o mapa funcionalidade-requisito: cada artigo da Diretiva é associado à capacidade específica do EthicsPortal que o satisfaz. Para saber como o EthicsPortal interpreta as disposições ambíguas desses artigos — o limiar dos 50 trabalhadores, o que conta como “seguimento diligente”, as justificações de conservação, o fundamento jurídico do RGPD, a primazia do direito nacional — consulte as <a href="/directive-interpretations/">interpretações</a> separadas.</p> <p>Todos os 27 Estados-Membros da UE transpuseram a Diretiva para o direito nacional. A sua organização deve cumprir a lei nacional do seu país de atividade — consulte a nossa referência de <a href="/whistleblower-laws/">leis de proteção de denunciantes por país</a> para nomes de leis específicos, sanções e autoridades responsáveis pela execução. As principais leis nacionais incluem a <a href="/whistleblower-laws/france/">Loi Waserman</a> (França), a <a href="/whistleblower-laws/germany/">HinSchG</a> (Alemanha), o <a href="/whistleblower-laws/italy/">D.Lgs. 24/2023</a> (Itália), a <a href="/whistleblower-laws/spain/">Ley 2/2023</a> (Espanha) e a <a href="/whistleblower-laws/poland/">Lei de 14 de junho de 2024</a> (Polónia).</p> <p>Última atualização: 2026-05-17.</p> <hr> <h2 id="1-canais-de-denúncia-art-8º"> §1. Canais de denúncia (art. 8.º) <a href="#1-canais-de-den%c3%bancia-art-8%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>As organizações com 50 ou mais trabalhadores devem estabelecer canais de denúncia internos seguros.</p> <table> <thead> <tr> <th>Requisito</th> <th>Como o EthicsPortal o trata</th> </tr> </thead> <tbody> <tr> <td>Canal seguro para denúncia</td> <td>Portal web cifrado com URL único por organização</td> </tr> <tr> <td>Confidencialidade da identidade do denunciante</td> <td>Cifragem ponta a ponta de todos os dados pessoais, sem registo de IP, remoção automática de metadados dos ficheiros carregados</td> </tr> <tr> <td>Acessível a todos os trabalhadores</td> <td>Portal baseado na web que funciona em qualquer dispositivo, sem instalação de aplicação nem conta exigida</td> </tr> <tr> <td>Personalizável para a organização</td> <td>Categorias, logótipo e mensagem de boas-vindas configuráveis</td> </tr> </tbody> </table> <hr> <h2 id="2-procedimentos-de-denúncia-art-9º"> §2. Procedimentos de denúncia (art. 9.º) <a href="#2-procedimentos-de-den%c3%bancia-art-9%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Artigo</th> <th>Como o EthicsPortal o trata</th> </tr> </thead> <tbody> <tr> <td>Designar pessoa ou serviço imparcial</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>Sistema de atribuição de processos com acesso baseado em funções — só os gestores autorizados veem as denúncias</td> </tr> <tr> <td>Acusar a receção no prazo de 7 dias</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Acompanhamento automático de prazos com notificações por email aos gestores quando o prazo de 7 dias se aproxima ou é excedido</td> </tr> <tr> <td>Seguimento diligente pela pessoa designada</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Gestão de processos com fluxo de estados (recebido, com receção acusada, em investigação, encerrado), notas internas para a colaboração dos gestores e registo de auditoria completo</td> </tr> <tr> <td>Dar seguimento no prazo de três meses</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Acompanhamento automático do prazo de 3 meses com alertas de atraso a todos os administradores da organização. Os denunciantes veem a cronologia no portal e podem consultar o estado a qualquer momento usando o seu ID do caso e o código de acesso</td> </tr> <tr> <td>Permitir a denúncia oral (telefone, mensagem de voz ou reunião presencial a pedido)</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Número de telefone configurável apresentado no portal; os gestores podem registar diretamente no sistema denúncias por telefone, presenciais e por carta</td> </tr> <tr> <td>Informar sobre as opções de denúncia externa</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>O portal apresenta informação sobre o direito do denunciante de contactar as autoridades nacionais competentes, citando a Diretiva 2019/1937</td> </tr> </tbody> </table> <hr> <h2 id="3-âmbito-da-proteção-art-4º"> §3. Âmbito da proteção (art. 4.º) <a href="#3-%c3%a2mbito-da-prote%c3%a7%c3%a3o-art-4%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A diretiva protege não só os trabalhadores, mas também os prestadores de serviços, fornecedores, acionistas e outros terceiros.</p> <p>O EthicsPortal apresenta no portal uma orientação clara de que a denúncia está aberta a trabalhadores, prestadores de serviços, fornecedores e quaisquer outros terceiros.</p> <p>O formulário de receção também pergunta ao denunciante — opcionalmente — qual a sua relação com a organização (trabalhador atual ou antigo, prestador de serviços, fornecedor, candidato a emprego, acionista ou outra), espelhando as categorias do âmbito pessoal do art. 4.º, para que os gestores possam confirmar que a proteção se aplica. A pergunta pode ser ignorada, pelo que o anonimato nunca fica condicionado à resposta.</p> <hr> <h2 id="4-antirretaliação-art-6º-19º-21º"> §4. Antirretaliação (art. 6.º, 19.º-21.º) <a href="#4-antirretalia%c3%a7%c3%a3o-art-6%c2%ba-19%c2%ba-21%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os denunciantes devem ser informados de que a retaliação é proibida por lei.</p> <p>O EthicsPortal apresenta um aviso de antirretaliação em todas as páginas do portal, citando a Diretiva 2019/1937, antes de o denunciante submeter.</p> <p>O formulário de receção permite ainda ao denunciante assinalar, opcionalmente, se receia ou já enfrenta retaliação. Quando definido, a denúncia exibe um indicador de urgência destacado na vista do gestor, para que um caso de proteção reforçada seja visível num relance.</p> <hr> <h2 id="5-confidencialidade-da-identidade-art-16º"> §5. Confidencialidade da identidade (art. 16.º) <a href="#5-confidencialidade-da-identidade-art-16%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Como o EthicsPortal o trata</th> </tr> </thead> <tbody> <tr> <td>Identidade não divulgada além do pessoal autorizado</td> <td>Controlo de acesso baseado em funções — só os administradores, o responsável principal e os participantes explicitamente adicionados (por exemplo, jurídico, RH) podem ver uma denúncia. Os gestores não administradores só veem os casos que lhes estão atribuídos ou em que foram adicionados como participantes</td> </tr> <tr> <td>Anonimato do gestor perante o denunciante</td> <td>Os denunciantes veem “Gestor do caso” nas mensagens, nunca o nome real ou o email do gestor</td> </tr> <tr> <td>Dados sensíveis cifrados</td> <td>Os nomes dos denunciantes, os dados de contacto, as descrições das denúncias e os corpos das mensagens são cifrados em repouso com cifragem não determinística</td> </tr> </tbody> </table> <p><strong>Sem tratamento por IA do conteúdo das denúncias.</strong> A confidencialidade ao abrigo do <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> estende-se a <em>quais terceiros</em> veem a denúncia. O EthicsPortal não transmite o conteúdo das denúncias, a identidade do denunciante nem as comunicações dos processos a qualquer grande modelo de linguagem ou serviço de inferência de IA — nem para categorização, nem para resumo, nem para tradução. Nenhum fornecedor de IA (OpenAI, Anthropic, Google, Mistral ou outro) é subcontratante. Isto remove uma classe de divulgação de subcontratantes do seu DPA e remove as considerações do <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> (decisões automatizadas) da sua avaliação de impacto. Ver a <a href="/subprocessors/">lista de subcontratantes</a> para a entrada correspondente.</p> <p>Duas razões adicionais que tornam esta uma decisão de grau de confidencialidade, e não uma preferência de funcionalidade:</p> <ul> <li><strong>Sem alucinações na cadeia de evidência de conformidade.</strong> Os grandes modelos de linguagem produzem resultados probabilísticos. Um resumo que diz “esta denúncia não parece urgente” é uma probabilidade, não um facto, e não pode ser reproduzido nem auditado. O EthicsPortal regista o ator, a ação e a data/hora de forma determinística — o registo de auditoria é evidência, não um palpite.</li> <li><strong>Sem superfície de ataque por injeção de prompts nas submissões dos denunciantes.</strong> A entrada do denunciante é, por definição, não fidedigna. Encaminhá-la através de um LLM cria uma classe de ataque em que as instruções incorporadas no texto da denúncia podem manipular o resultado apresentado ao gestor (respostas sugeridas, resumos, categorização). O EthicsPortal remove inteiramente esta superfície ao não realizar inferência sobre o conteúdo das denúncias.</li> </ul> <hr> <h2 id="6-manutenção-de-registos-art-18º"> §6. Manutenção de registos (art. 18.º) <a href="#6-manuten%c3%a7%c3%a3o-de-registos-art-18%c2%ba" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Como o EthicsPortal o trata</th> </tr> </thead> <tbody> <tr> <td>Manter registos de cada denúncia</td> <td>Registo de auditoria completo de todas as ações: submissões, alterações de estado, mensagens, atribuições e visualizações de denúncias</td> </tr> <tr> <td>Registos armazenados em segurança</td> <td>Todos os campos sensíveis cifrados em repouso</td> </tr> <tr> <td>Registos recuperáveis</td> <td>Exportação completa do processo para PDF, incluindo metadados, fio de mensagens, lista de anexos e registo de auditoria. Relatório de conformidade em PDF ao nível da organização disponível para os auditores — inclui lista de verificação da diretiva, métricas do SLA e resumo da proteção de dados, sem expor dados sensíveis das denúncias</td> </tr> <tr> <td>Eliminar registos quando deixam de ser necessários</td> <td>Prazo de conservação dos dados configurável (12, 24, 36 ou 60 meses) com eliminação automática das denúncias encerradas expiradas</td> </tr> </tbody> </table> <hr> <h2 id="7-conformidade-com-o-rgpd"> §7. Conformidade com o RGPD <a href="#7-conformidade-com-o-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Artigo</th> <th>Como o EthicsPortal o trata</th> </tr> </thead> <tbody> <tr> <td>Fundamento jurídico para o tratamento</td> <td>Art. 6.º, n.º 1, al. c)</td> <td>O tratamento é necessário para o cumprimento da Diretiva (UE) 2019/1937</td> </tr> <tr> <td>Divulgação do tratamento de dados</td> <td>Art. 13.º/14.º</td> <td>Aviso de privacidade apresentado no formulário de submissão de denúncia antes de o denunciante submeter</td> </tr> <tr> <td>Minimização dos dados</td> <td>Art. 5.º, n.º 1, al. c)</td> <td>Apenas os campos essenciais são recolhidos; o nome e o contacto do denunciante são opcionais</td> </tr> <tr> <td>Limitação da conservação</td> <td>Art. 5.º, n.º 1, al. e)</td> <td>Prazo de conservação configurável por organização com eliminação automática</td> </tr> <tr> <td>Integridade e confidencialidade</td> <td>Art. 5.º, n.º 1, al. f)</td> <td>Cifragem em repouso de todos os dados sensíveis; sem registo de IP nas rotas do portal; metadados dos ficheiros removidos automaticamente</td> </tr> <tr> <td>Direito ao apagamento</td> <td>Art. 17.º</td> <td>Eliminação automática baseada na conservação; eliminação manual disponível aos administradores</td> </tr> </tbody> </table> <hr> <h2 id="8-medidas-de-segurança"> §8. Medidas de segurança <a href="#8-medidas-de-seguran%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Medida</th> <th>Detalhe</th> </tr> </thead> <tbody> <tr> <td>Cifragem em repouso</td> <td>Todas as descrições das denúncias, nomes dos denunciantes, dados de contacto e corpos das mensagens são cifrados com cifragem não determinística</td> </tr> <tr> <td>Sem registo de IP</td> <td>Os endereços IP dos denunciantes nunca são armazenados — a limitação de débito usa hashes unidirecionais irreversíveis</td> </tr> <tr> <td>Remoção dos metadados dos ficheiros</td> <td>Os dados EXIF (coordenadas GPS, modelo da câmara, informação do autor) são removidos automaticamente das imagens carregadas antes do armazenamento</td> </tr> <tr> <td>Identidade anónima do gestor</td> <td>Os denunciantes nunca veem o nome real do gestor — as mensagens mostram “Gestor do caso”</td> </tr> <tr> <td>Limitação de débito</td> <td>Os pontos de extremidade do portal público são limitados em débito para prevenir abusos</td> </tr> <tr> <td>Controlo de acesso</td> <td>As permissões baseadas em funções garantem que só os gestores autorizados podem ver as denúncias; os gestores não administradores só veem os casos que lhes estão atribuídos ou em que foram adicionados como participantes</td> </tr> <tr> <td>Registo de auditoria</td> <td>Cada ação é registada com data/hora, ator e tipo de ação — só com acrescentos e sempre disponível para revisão regulamentar</td> </tr> </tbody> </table> <hr> <h2 id="9-o-que-a-sua-organização-ainda-tem-de-fazer"> §9. O que a sua organização ainda tem de fazer <a href="#9-o-que-a-sua-organiza%c3%a7%c3%a3o-ainda-tem-de-fazer" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal trata os requisitos técnicos. A sua organização é responsável por:</p> <ul> <li><strong>Designar um responsável pela denúncia</strong> — atribuir pelo menos uma pessoa responsável pelo tratamento das denúncias</li> <li><strong>Política interna</strong> — adotar uma política de proteção de denunciantes e comunicá-la aos trabalhadores</li> <li><strong>Formação</strong> — assegurar que os gestores designados compreendem as obrigações de confidencialidade</li> <li><strong>Aplicação da não retaliação</strong> — assegurar que a gestão compreende que a retaliação é uma violação legal</li> <li><strong>Consentimento para a divulgação da identidade</strong> — se a identidade de um denunciante tiver de ser partilhada além dos gestores autorizados (por exemplo, com as autoridades), obter primeiro o consentimento explícito do denunciante (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Informar os trabalhadores</strong> — partilhar o URL do portal com os trabalhadores (o EthicsPortal fornece um link partilhável e um código QR)</li> </ul> <hr> <h2 id="tem-questões"> Tem questões? <a href="#tem-quest%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os administradores podem descarregar um <strong>relatório de conformidade em PDF</strong> diretamente da página de definições do portal. Inclui uma lista de verificação completa da Diretiva (UE) 2019/1937, métricas do SLA, medidas de proteção de dados e resumo do registo de auditoria — pronto a entregar a um auditor sem expor quaisquer dados sensíveis das denúncias.</p> <p>Para requisitos específicos por país (sanções, prazos de conservação, autoridades responsáveis pela execução), consulte a nossa referência de <a href="/whistleblower-laws/">leis de proteção de denunciantes por país</a> .</p> <p>Para saber como o EthicsPortal interpreta as disposições ambíguas da Diretiva (o limiar dos 50 trabalhadores, o que conta como “seguimento diligente”, as justificações de conservação, o fundamento jurídico do RGPD), consulte as <a href="/directive-interpretations/">interpretações da Diretiva 2019/1937</a> .</p> <p>Se precisar de ajuda para demonstrar a conformidade à sua equipa jurídica ou ao regulador, contacte-nos em <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/faq/Perguntas comuns sobre o EthicsPortal — conformidade, anonimato, segurança dos dados, faturação e detalhes técnicos.<h1 id="perguntas-frequentes"> Perguntas frequentes <a href="#perguntas-frequentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <hr> <h2 id="para-responsáveis-de-conformidade-e-decisores"> Para responsáveis de conformidade e decisores <a href="#para-respons%c3%a1veis-de-conformidade-e-decisores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="o-ethicsportal-cumpre-a-diretiva-ue-20191937"> O EthicsPortal cumpre a Diretiva (UE) 2019/1937? <a href="#o-ethicsportal-cumpre-a-diretiva-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. O EthicsPortal é construído especificamente para cumprir os requisitos da Diretiva da UE relativa à proteção dos denunciantes. Isto inclui um canal de denúncia interno seguro, comunicação anónima bidirecional, acompanhamento de prazos (7 dias para acusar a receção, 3 meses para dar seguimento), controlos de acesso, políticas de conservação de dados e um registo de atividades completo. Consulte o <a href="/directive-coverage/">mapa de cobertura da Diretiva 2019/1937</a> para uma análise artigo a artigo.</p> <h3 id="em-que-países-o-ethicsportal-é-conforme"> Em que países o EthicsPortal é conforme? <a href="#em-que-pa%c3%adses-o-ethicsportal-%c3%a9-conforme" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal cobre os requisitos da Diretiva (UE) 2019/1937, que foi transposta para o direito nacional nos Estados-Membros da UE. A plataforma foi concebida para cumprir os requisitos de base da Diretiva, que se aplicam em toda a UE. Se o seu país tiver requisitos nacionais adicionais (por exemplo, a Loi Waserman de França), consulte os nossos <a href="/whistleblower-laws/">guias específicos por país</a> ou <a href="mailto:support@ethicsportal.eu">contacte-nos</a> .</p> <h3 id="podemos-operar-o-canal-de-denúncia-internamente"> Podemos operar o canal de denúncia internamente? <a href="#podemos-operar-o-canal-de-den%c3%bancia-internamente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim — o artigo 8.º, n.º 5, da Diretiva (UE) 2019/1937 permite-o explicitamente. Mas cumprir as condições da Diretiva é estruturalmente mais difícil internamente.</p> <p>O artigo 9.º, n.º 1, exige a confidencialidade da identidade do denunciante, um seguimento imparcial e um acesso restrito às denúncias. Um canal interno passa estes elementos pelos mesmos administradores de TI, cópias de segurança e ferramentas de retenção para litígios que tocam todos os outros sistemas da empresa. Um subdomínio ou caixa de correio separados não alteram quem tem acesso.</p> <p>O RGPD acrescenta um segundo problema. A denúncia consta da lista de avaliações de impacto sobre a proteção de dados obrigatórias do CEPD. Uma avaliação de impacto interna tem de documentar como o responsável pelo tratamento se impede a si próprio de aceder a dados sobre si próprio — o que é circular à partida.</p> <p>A operação externa está prevista no art. 8.º, n.º 5, e nas transposições nacionais: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="onde-são-armazenados-os-meus-dados"> Onde são armazenados os meus dados? <a href="#onde-s%c3%a3o-armazenados-os-meus-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os dados essenciais das denúncias são armazenados em servidores da Hetzner em Nuremberga, Alemanha. O site de marketing é entregue através da Cloudflare (Estados Unidos); os portais de denúncia e de gestão não. A Hetzner é um fornecedor de alojamento alemão sujeito à legislação de proteção de dados da UE, e as salvaguardas de transferência estão descritas nas páginas de <a href="/dpa/">DPA</a> e de <a href="/subprocessors/">subcontratantes</a> .</p> <h3 id="a-denúncia-é-verdadeiramente-anónima"> A denúncia é verdadeiramente anónima? <a href="#a-den%c3%bancia-%c3%a9-verdadeiramente-an%c3%b3nima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim, se o denunciante o escolher. Fornecer um nome ou informação de contacto é opcional. O EthicsPortal não regista endereços IP, remove os metadados dos ficheiros (EXIF, GPS, informação do autor) dos carregamentos, e o fio de mensagens seguro nunca revela ao denunciante a identidade do gestor do caso. Não existe qualquer mecanismo técnico para associar uma denúncia anónima a uma pessoa.</p> <h3 id="como-funciona-o-acompanhamento-dos-prazos-de-7-dias-e-3-meses"> Como funciona o acompanhamento dos prazos de 7 dias e 3 meses? <a href="#como-funciona-o-acompanhamento-dos-prazos-de-7-dias-e-3-meses" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Quando uma denúncia é submetida, o EthicsPortal inicia automaticamente dois contadores com base nos requisitos da Diretiva:</p> <ul> <li><strong>7 dias</strong> para acusar a receção da denúncia.</li> <li><strong>3 meses</strong> para dar seguimento substantivo ao denunciante.</li> </ul> <p>As denúncias em atraso são assinaladas no painel, e os gestores recebem notificações à medida que os prazos se aproximam.</p> <h3 id="disponibilizam-um-acordo-de-tratamento-de-dados-dpa"> Disponibilizam um acordo de tratamento de dados (DPA)? <a href="#disponibilizam-um-acordo-de-tratamento-de-dados-dpa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. O DPA atual está publicado em <a href="/dpa/">DPA</a> , e um PDF contra-assinado está disponível a pedido.</p> <h3 id="que-certificações-têm"> Que certificações têm? <a href="#que-certifica%c3%a7%c3%b5es-t%c3%aam" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal não reivindica atualmente neste site uma certificação ISO 27001 acreditada. Documentamos publicamente a postura de segurança atual, os subcontratantes, a divulgação de incidentes e os compromissos de serviço nas páginas de <a href="/security/">segurança</a> , <a href="/subprocessors/">subcontratantes</a> , <a href="/incidents/">incidentes</a> e <a href="/sla/">SLA</a> .</p> <h3 id="quem-é-a-parte-contratante"> Quem é a parte contratante? <a href="#quem-%c3%a9-a-parte-contratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal é operado por Yaroslav Shmarov, registado na Polónia. Os dados de base da contratação e do aprovisionamento estão publicados na página de <a href="/trust/">confiança</a> .</p> <h3 id="podem-apoiar-a-revisão-de-aprovisionamento"> Podem apoiar a revisão de aprovisionamento? <a href="#podem-apoiar-a-revis%c3%a3o-de-aprovisionamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. Os materiais públicos de diligência devida estão publicados no site, e materiais de aprovisionamento adicionais estão disponíveis a pedido durante a revisão de aprovisionamento. Ver a página de <a href="/trust/">confiança</a> .</p> <h3 id="posso-exportar-os-dados-dos-processos-para-os-auditores"> Posso exportar os dados dos processos para os auditores? <a href="#posso-exportar-os-dados-dos-processos-para-os-auditores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. Cada denúncia pode ser exportada para PDF, incluindo todo o histórico de mensagens, a cronologia e o registo de atividades. Isto foi concebido para partilha com advogados, auditores ou reguladores. Se precisar de um formato de portabilidade adicional para migração ou revisão regulamentar, contacte-nos durante a revisão de aprovisionamento ou de cessação.</p> <hr> <h2 id="para-trabalhadores-e-denunciantes"> Para trabalhadores e denunciantes <a href="#para-trabalhadores-e-denunciantes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="preciso-de-criar-uma-conta-para-submeter-uma-denúncia"> Preciso de criar uma conta para submeter uma denúncia? <a href="#preciso-de-criar-uma-conta-para-submeter-uma-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Não. Não precisa de uma conta, de um endereço de email nem de qualquer informação pessoal. Visita o link do portal, preenche a denúncia, escolhe um código de acesso de 6 dígitos e recebe um ID do caso. É tudo.</p> <h3 id="o-meu-empregador-pode-descobrir-quem-eu-sou"> O meu empregador pode descobrir quem eu sou? <a href="#o-meu-empregador-pode-descobrir-quem-eu-sou" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Não através do EthicsPortal. Se optar por submeter de forma anónima (sem fornecer o seu nome ou dados de contacto), não há forma de o seu empregador o identificar através da plataforma. O EthicsPortal não regista o seu endereço IP e remove os metadados identificadores de quaisquer ficheiros que carregue.</p> <p>Dito isto, tenha cuidado com o que escreve — se a sua denúncia contiver detalhes que só você poderia conhecer, isso está fora do controlo da plataforma.</p> <h3 id="como-volto-a-consultar-a-minha-denúncia"> Como volto a consultar a minha denúncia? <a href="#como-volto-a-consultar-a-minha-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Precisa de duas coisas: o ID do caso (formato <code>WB-XXXX-XXXX</code>) que lhe é mostrado após a submissão, e o código de acesso de 6 dígitos que escolheu. Regresse ao portal a qualquer momento, introduza ambos e veja o estado atual ou troque mensagens com o gestor do caso. Guarde o ID do caso num local seguro e memorize o código de acesso — não conseguimos recuperar o código de acesso e ambos são necessários.</p> <h3 id="posso-anexar-ficheiros-à-minha-denúncia"> Posso anexar ficheiros à minha denúncia? <a href="#posso-anexar-ficheiros-%c3%a0-minha-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. Pode carregar imagens, PDF, vídeo e ficheiros de áudio até 100 MB cada. Todos os metadados dos ficheiros (dados de localização, informação do autor, detalhes da câmara) são removidos automaticamente antes do armazenamento para proteger a sua identidade.</p> <h3 id="posso-comunicar-com-o-gestor-do-caso-de-forma-anónima"> Posso comunicar com o gestor do caso de forma anónima? <a href="#posso-comunicar-com-o-gestor-do-caso-de-forma-an%c3%b3nima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. O fio de mensagens integrado é totalmente anónimo. Vê “Gestor do caso” — nunca um nome real. O gestor vê as suas mensagens, mas não tem forma de o identificar a menos que você opte por partilhar essa informação.</p> <h3 id="o-que-acontece-depois-de-submeter-uma-denúncia"> O que acontece depois de submeter uma denúncia? <a href="#o-que-acontece-depois-de-submeter-uma-den%c3%bancia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>A sua denúncia é recebida pelo gestor do caso designado da organização. Ao abrigo da legislação da UE, este deve acusar a receção no prazo de 7 dias e dar seguimento substantivo no prazo de 3 meses. Pode consultar o estado a qualquer momento usando o seu ID do caso e o código de acesso.</p> <hr> <h2 id="para-equipas-de-ti-e-técnicas"> Para equipas de TI e técnicas <a href="#para-equipas-de-ti-e-t%c3%a9cnicas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="que-cifragem-utilizam"> Que cifragem utilizam? <a href="#que-cifragem-utilizam" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Todos os dados sensíveis das denúncias são cifrados em repouso na base de dados. Todas as ligações usam TLS (HTTPS). Os carregamentos de ficheiros são armazenados cifrados em infraestrutura alojada na UE.</p> <h3 id="removem-os-metadados-dos-ficheiros"> Removem os metadados dos ficheiros? <a href="#removem-os-metadados-dos-ficheiros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. Os carregamentos de imagens são processados do lado do servidor antes do armazenamento. Os carregamentos de PDF, vídeo e áudio também são processados para a remoção de metadados na configuração padrão de produção descrita na <a href="/security/">página de segurança</a> . Isto reduz o risco de divulgação acidental da identidade através das propriedades dos ficheiros.</p> <h3 id="analisam-os-ficheiros-carregados-em-busca-de-vírus"> Analisam os ficheiros carregados em busca de vírus? <a href="#analisam-os-ficheiros-carregados-em-busca-de-v%c3%adrus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. Todos os ficheiros carregados são analisados em busca de software malicioso com o ClamAV, um motor antivírus de código aberto. A análise ocorre do lado do servidor — nenhum dado dos ficheiros é enviado para serviços externos. Os ficheiros infetados são removidos automaticamente antes de os gestores do caso lhes poderem aceder.</p> <h3 id="registam-endereços-ip"> Registam endereços IP? <a href="#registam-endere%c3%a7os-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>A aplicação não armazena o endereço IP bruto do denunciante na base de dados. A limitação de débito do portal público de denúncia usa um hash unidirecional, e os registos da aplicação para as rotas do portal são depurados para proteger o anonimato do denunciante. Consulte <a href="/security/">segurança</a> para a formulação exata.</p> <h3 id="que-serviços-de-terceiros-utilizam"> Que serviços de terceiros utilizam? <a href="#que-servi%c3%a7os-de-terceiros-utilizam" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Alemanha) — alojamento de servidores</li> <li><strong>Stripe</strong> — processamento de pagamentos</li> <li><strong>Mailjet</strong> (França) — entrega de email transacional</li> <li><strong>Cloudflare</strong> — CDN e análises do site de marketing</li> <li><strong>AppSignal</strong> (Países Baixos, UE) — rastreio de erros e monitorização do desempenho da aplicação para as interfaces de administrador e gestor</li> <li><strong>Crisp</strong> — chat de cliente na aplicação no portal do gestor</li> </ul> <p>Não são utilizadas redes de publicidade nem cookies de rastreio de terceiros no próprio portal de denúncia.</p> <h3 id="têm-uma-api"> Têm uma API? <a href="#t%c3%aam-uma-api" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Não disponível atualmente. <a href="mailto:support@ethicsportal.eu">Contacte-nos</a> se o acesso por API for um requisito para a sua organização.</p> <h3 id="suportam-domínios-personalizados"> Suportam domínios personalizados? <a href="#suportam-dom%c3%adnios-personalizados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Não disponível atualmente. Todos os portais são servidos sob o domínio do EthicsPortal.</p> <h3 id="suportam-sso"> Suportam SSO? <a href="#suportam-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Não disponível atualmente. Os utilizadores iniciam sessão através de link mágico (autenticação por email sem palavra-passe).</p> <hr> <h2 id="faturação"> Faturação <a href="#fatura%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="quanto-custa-o-ethicsportal"> Quanto custa o EthicsPortal? <a href="#quanto-custa-o-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>60 €/mês ou 500 €/ano</strong>, fixo. Um plano, tudo incluído. Sem taxas por utilizador, sem taxas por denúncia, sem escalões de funcionalidades.</p> <h3 id="como-funciona-a-subscrição"> Como funciona a subscrição? <a href="#como-funciona-a-subscri%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal é um serviço de conformidade pago: 60 €/mês ou 500 €/ano, sem período experimental gratuito. Ative o portal a partir da aplicação, configure o canal de denúncia e comece a operação assim que a subscrição estiver em vigor.</p> <h3 id="podemos-cancelar-a-subscrição"> Podemos cancelar a subscrição? <a href="#podemos-cancelar-a-subscri%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Sim. As subscrições podem ser canceladas nas definições da conta. Não há taxas de cancelamento.</p> <h3 id="que-métodos-de-pagamento-aceitam"> Que métodos de pagamento aceitam? <a href="#que-m%c3%a9todos-de-pagamento-aceitam" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Cartões de crédito e de débito através da Stripe. Se precisar de pagar por fatura ou transferência bancária, envie um email para <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="ainda-tem-uma-questão"> Ainda tem uma questão? <a href="#ainda-tem-uma-quest%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Envie um email para <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Receberá resposta no prazo de um dia útil.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/privacy/Política de privacidade do EthicsPortal — como recolhemos, usamos, armazenamos e protegemos a sua informação pessoal.<h1 id="política-de-privacidade"> Política de privacidade <a href="#pol%c3%adtica-de-privacidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p><strong>Data de entrada em vigor:</strong> 17 de fevereiro de 2026 <strong>Última atualização:</strong> 30 de maio de 2026</p> <h2 id="1-introdução"> 1. Introdução <a href="#1-introdu%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal (“nós”, “nosso”) é operado por Yaroslav Shmarov, registado em ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia. Esta Política de privacidade descreve como recolhemos, usamos, armazenamos e protegemos a sua informação pessoal quando utiliza o EthicsPortal em <a href="https://ethicsportal.eu">ethicsportal.eu</a> (o “Serviço”).</p> <p>Ao utilizar o Serviço, concorda com a recolha e a utilização de informação conforme descrito nesta política. Se não concordar, não utilize o Serviço.</p> <p><strong>Contacto:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>Os dados de base da parte contratante estão publicados na página de <a href="/trust/">confiança</a> .</p> <h2 id="2-informação-que-recolhemos"> 2. Informação que recolhemos <a href="#2-informa%c3%a7%c3%a3o-que-recolhemos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="21-informação-da-conta"> 2.1 Informação da conta <a href="#21-informa%c3%a7%c3%a3o-da-conta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Quando cria uma conta, recolhemos:</p> <ul> <li>Endereço de email</li> <li>Nome a apresentar (se fornecido)</li> <li>Preferência de localização</li> </ul> <p>A autenticação é sem palavra-passe — usamos links mágicos (códigos de utilização única enviados para o seu email). Não recolhemos nem armazenamos palavras-passe.</p> <h3 id="22-informação-de-pagamento"> 2.2 Informação de pagamento <a href="#22-informa%c3%a7%c3%a3o-de-pagamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os pagamentos são processados inteiramente pela <a href="https://stripe.com" rel="nofollow">Stripe</a> . <strong>Não</strong> armazenamos números de cartões de crédito, números de contas bancárias nem outros dados financeiros sensíveis nos nossos servidores. A Stripe pode recolher detalhes de pagamento diretamente. Consulte a <a href="https://stripe.com/privacy" rel="nofollow">Política de privacidade da Stripe</a> para mais detalhes.</p> <h3 id="23-registos-do-servidor"> 2.3 Registos do servidor <a href="#23-registos-do-servidor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os nossos servidores registam automaticamente informação quando acede ao Serviço, incluindo:</p> <ul> <li>Endereço IP</li> <li>Tipo e versão do navegador</li> <li>Páginas visitadas e datas/horas</li> <li>URL de referência</li> </ul> <p>Os registos do servidor são usados para monitorização de segurança e depuração. Não são usados para publicidade nem para rastreio.</p> <p>Especificamente para as rotas do portal de denúncia, os registos da aplicação estão configurados para depurar o endereço IP do denunciante.</p> <h3 id="24-dados-das-denúncias"> 2.4 Dados das denúncias <a href="#24-dados-das-den%c3%bancias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Quando um denunciante submete uma denúncia através do portal de uma organização, recolhemos:</p> <ul> <li>Descrição, categoria e origem da denúncia</li> <li>Nome e informação de contacto do denunciante (se fornecidos voluntariamente)</li> <li>Mensagens trocadas entre o denunciante e a organização</li> </ul> <p>As descrições das denúncias, os nomes dos denunciantes, os dados de contacto dos denunciantes e o conteúdo das mensagens são <strong>cifrados na base de dados</strong> com cifragem ao nível da aplicação. Os endereços IP dos denunciantes são <strong>anonimizados</strong> com um hash unidirecional e nunca são armazenados na sua forma original. Os registos do servidor para as rotas do portal são <strong>depurados</strong> dos endereços IP para proteger a identidade do denunciante.</p> <h3 id="25-dados-pessoais-de-terceiros-mencionados-nas-denúncias"> 2.5 Dados pessoais de terceiros mencionados nas denúncias <a href="#25-dados-pessoais-de-terceiros-mencionados-nas-den%c3%bancias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Uma denúncia pode conter dados pessoais sobre outras pessoas — por exemplo, a pessoa a quem a denúncia diz respeito, ou testemunhas. Para estes dados da denúncia, o EthicsPortal atua como <strong>subcontratante</strong> por conta da organização-cliente, que é a <strong>responsável pelo tratamento</strong>. A organização é responsável pela licitude deste tratamento e por fornecer qualquer informação exigida ao abrigo do artigo 14.º do RGPD aos indivíduos em causa.</p> <p>Em conformidade com o artigo 14.º, n.º 5, alínea b), do RGPD e com os requisitos de confidencialidade da Diretiva da UE relativa à denúncia (2019/1937), a notificação de um indivíduo identificado pode ser diferida ou restringida quando tal prejudicasse uma investigação ou comprometesse a proteção da identidade do denunciante.</p> <h2 id="3-como-usamos-a-sua-informação"> 3. Como usamos a sua informação <a href="#3-como-usamos-a-sua-informa%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Usamos a informação que recolhemos para:</p> <ul> <li><strong>Fornecer o Serviço</strong> — criar e gerir a sua conta</li> <li><strong>Processar pagamentos</strong> — tratar subscrições através da Stripe</li> <li><strong>Enviar notificações</strong> — entregar notificações na aplicação e por email sobre a atividade da conta</li> <li><strong>Manter a segurança</strong> — detetar e prevenir fraude, abuso e acesso não autorizado</li> <li><strong>Melhorar o Serviço</strong> — diagnosticar problemas técnicos e melhorar a funcionalidade</li> </ul> <p><strong>Não</strong> vendemos a sua informação pessoal. <strong>Não</strong> usamos os seus dados para publicidade.</p> <h2 id="4-serviços-de-terceiros"> 4. Serviços de terceiros <a href="#4-servi%c3%a7os-de-terceiros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Partilhamos dados com os seguintes serviços de terceiros, apenas na medida necessária para fornecer o Serviço:</p> <table> <thead> <tr> <th>Serviço</th> <th>Finalidade</th> <th>Dados partilhados</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Processamento de pagamentos</td> <td>Email, detalhes de pagamento (recolhidos diretamente pela Stripe)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Carregamentos de ficheiros (avatares, anexos)</td> <td>Ficheiros carregados</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Entrega de email transacional</td> <td>Endereço de email, conteúdo do email</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Análises do site respeitadoras da privacidade</td> <td>Visualizações de página, referência, tipo de navegador, país (anónimas, sem cookies, sem dados pessoais)</td> </tr> <tr> <td><strong>Plausible Analytics</strong></td> <td>Análises do site respeitadoras da privacidade (alojadas na UE, Alemanha)</td> <td>Visualizações de página, referência, tipo de navegador, país (anónimas, sem cookies, IP não armazenado, sem dados pessoais). Carregado apenas no site público de marketing — nunca na aplicação ou no portal de denúncia. Ver a <a href="https://plausible.io/data-policy" rel="nofollow">Política de Dados da Plausible</a> </td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Rastreio de erros e exceções, monitorização do desempenho da aplicação</td> <td>Detalhes de erro e contexto do pedido para as interfaces de administrador e gestor</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Apoio por chat ao vivo</td> <td>Endereço de email, nome, mensagens de chat, tipo de navegador, páginas visitadas. A Crisp tem sede em França (UE). Ver a <a href="https://crisp.chat/en/privacy/" rel="nofollow">Política de privacidade da Crisp</a> </td> </tr> </tbody> </table> <p>Cada serviço de terceiros é regido pela sua própria política de privacidade. Recomendamos que as consulte.</p> <h2 id="5-cookies"> 5. Cookies <a href="#5-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Usamos os seguintes cookies:</p> <table> <thead> <tr> <th>Cookie</th> <th>Finalidade</th> <th>Duração</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Gestão de sessão (autenticação)</td> <td>30 dias</td> </tr> <tr> <td><code>session_token</code></td> <td>Identificador de sessão assinado para início de sessão persistente</td> <td>A sessão do lado do servidor expira após 14 dias de inatividade</td> </tr> <tr> <td><code>locale</code></td> <td>Armazena a sua preferência de idioma</td> <td>1 ano</td> </tr> </tbody> </table> <p>Um cookie temporário <code>pending_authentication_token</code> (15 minutos) é usado durante o processo de início de sessão por link mágico.</p> <p>O chat ao vivo Crisp pode definir os seus próprios cookies (por exemplo, <code>crisp-client/*</code>) quando os gestores usam o chat de apoio na aplicação. Estes cookies são funcionais, não usados para publicidade, e só são definidos dentro do portal do gestor — não no site de marketing nem no portal de denúncia.</p> <p>Todos os cookies próprios são definidos com as marcas <code>Secure</code> e <code>HttpOnly</code> em produção. <strong>Não</strong> usamos cookies de rastreio de terceiros nem cookies de publicidade. A proteção CSRF é tratada através de tokens incorporados nos formulários HTML, não em cookies.</p> <h2 id="6-armazenamento-e-segurança-dos-dados"> 6. Armazenamento e segurança dos dados <a href="#6-armazenamento-e-seguran%c3%a7a-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Localização do servidor:</strong> Os dados essenciais da aplicação são alojados pela Hetzner em Nuremberga, Alemanha (União Europeia)</li> <li><strong>Cifragem em trânsito:</strong> Todas as ligações usam HTTPS/TLS</li> <li><strong>Cifragem em repouso:</strong> Os dados das denúncias (descrições, nomes dos denunciantes, dados de contacto, mensagens) são cifrados na base de dados com o Active Record Encryption</li> <li><strong>Autenticação sem palavra-passe:</strong> Usamos links mágicos — não são armazenadas palavras-passe</li> <li><strong>Controlo de acesso:</strong> O acesso à base de dados está restrito apenas a pessoal autorizado</li> </ul> <p>Embora tomemos medidas razoáveis para proteger os seus dados, nenhum método de transmissão ou armazenamento é 100% seguro. Se descobrir uma vulnerabilidade de segurança, contacte-nos em <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-conservação-dos-dados"> 7. Conservação dos dados <a href="#7-conserva%c3%a7%c3%a3o-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Os dados da conta</strong> são conservados enquanto a sua conta estiver ativa</li> <li><strong>Os dados da organização</strong> são conservados enquanto a sua organização estiver ativa</li> <li><strong>As denúncias</strong> — as denúncias encerradas ou arquivadas são eliminadas automaticamente após o prazo de conservação configurado pela organização-cliente (12, 24, 36, 48 ou 60 meses). As denúncias ativas e em curso são conservadas até serem encerradas; uma denúncia sem qualquer atividade durante 18 meses é encerrada automaticamente, o que inicia o prazo de conservação</li> <li><strong>Os registos do servidor</strong> são conservados até 90 dias</li> <li><strong>Os registos de pagamento</strong> são conservados conforme exigido pela legislação fiscal e contabilística aplicável</li> <li><strong>Os registos de auditoria</strong> — os registos de quem acedeu às denúncias e quando são conservados juntamente com a denúncia para fins de conformidade</li> </ul> <p>Quando elimina a sua conta, os seus dados pessoais são removidos permanentemente dos nossos sistemas, exceto quando a conservação for exigida por lei (por exemplo, registos financeiros).</p> <h2 id="8-os-seus-direitos-ao-abrigo-do-rgpd"> 8. Os seus direitos ao abrigo do RGPD <a href="#8-os-seus-direitos-ao-abrigo-do-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Por estarmos sediados na União Europeia, aplica-se o Regulamento Geral sobre a Proteção de Dados (RGPD). Tem o direito de:</p> <ul> <li><strong>Acesso</strong> — solicitar uma cópia dos dados pessoais que detemos sobre si</li> <li><strong>Retificação</strong> — solicitar a correção de dados inexatos</li> <li><strong>Apagamento</strong> — solicitar a eliminação dos seus dados (“direito a ser esquecido”)</li> <li><strong>Limitação</strong> — solicitar que limitemos a forma como tratamos os seus dados</li> <li><strong>Portabilidade dos dados</strong> — solicitar os seus dados num formato estruturado e legível por máquina</li> <li><strong>Oposição</strong> — opor-se ao tratamento dos seus dados</li> <li><strong>Retirar o consentimento</strong> — retirar o consentimento a qualquer momento quando o tratamento se baseie no consentimento</li> <li><strong>Apresentar reclamação</strong> — apresentar reclamação junto da sua autoridade de controlo nacional de proteção de dados</li> </ul> <p><strong>Como exercer os seus direitos:</strong> Pode gerir a maioria dos seus dados diretamente nas definições da sua conta. Para eliminar a sua conta, visite a página de definições da conta. Para qualquer outro pedido, envie-nos um email para <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Se submeteu uma denúncia:</strong> a organização cujo portal utilizou é a responsável pelo tratamento dessa denúncia, e o EthicsPortal atua como seu subcontratante. Pode aceder e descarregar uma cópia completa da sua denúncia a qualquer momento a partir do portal usando o seu código de acesso e código de acesso. Para corrigir informação, acrescente uma mensagem à sua denúncia; para qualquer outro pedido, contacte a organização (apoiá-la-emos enquanto subcontratante). Como a lei exige que as denúncias sejam conservadas durante um prazo determinado, o apagamento pode não ser possível até esse prazo expirar.</p> <p><strong>Encarregado da proteção de dados:</strong> As questões sobre as nossas práticas de proteção de dados podem ser dirigidas a <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>O nosso fundamento jurídico para o tratamento dos seus dados é:</p> <ul> <li><strong>Execução do contrato</strong> — para fornecer o Serviço que subscreveu</li> <li><strong>Interesse legítimo</strong> — para manter a segurança e melhorar o Serviço</li> <li><strong>Consentimento</strong> — para funcionalidades opcionais</li> </ul> <h2 id="9-eliminação-de-conta-e-de-dados"> 9. Eliminação de conta e de dados <a href="#9-elimina%c3%a7%c3%a3o-de-conta-e-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Pode eliminar a sua conta a qualquer momento nas definições da conta. A eliminação da conta remove permanentemente:</p> <ul> <li>O seu perfil e a informação da conta</li> <li>As suas adesões a organizações</li> </ul> <h2 id="10-privacidade-das-crianças"> 10. Privacidade das crianças <a href="#10-privacidade-das-crian%c3%a7as" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O Serviço não se destina a crianças com idade inferior a 16 anos. Não recolhemos conscientemente informação pessoal de crianças com idade inferior a 16 anos. Se acredita que uma criança com idade inferior a 16 anos nos forneceu informação pessoal, contacte-nos em <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> e eliminá-la-emos.</p> <h2 id="11-transferências-internacionais-de-dados"> 11. Transferências internacionais de dados <a href="#11-transfer%c3%aancias-internacionais-de-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os dados essenciais das denúncias são armazenados em servidores localizados na Alemanha (UE). O site de marketing é entregue através da Cloudflare (Estados Unidos); os portais de denúncia e de gestão não. Quando ocorrem transferências para um subcontratante fora da UE, estão descritas nas páginas de <a href="/dpa/">DPA</a> e de <a href="/subprocessors/">subcontratantes</a> .</p> <h2 id="12-candidatos-a-emprego"> 12. Candidatos a emprego <a href="#12-candidatos-a-emprego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Quando se candidata a uma função connosco (por exemplo, enviando um email para <a href="mailto:careers@ethicsportal.eu">careers@ethicsportal.eu</a> ), recolhemos e tratamos:</p> <ul> <li>O seu nome e dados de contacto</li> <li>O seu currículo, a mensagem de candidatura e tudo o que decidir contar-nos sobre a sua experiência</li> <li>Notas de quaisquer entrevistas ou conversas durante o processo de recrutamento</li> </ul> <p><strong>Fundamento jurídico:</strong> o tratamento é necessário para diligências a seu pedido prévias à celebração de um contrato, e o nosso interesse legítimo em avaliar candidatos e conduzir um processo de recrutamento justo. Não pedimos, e solicitamos que não envie, dados de categorias especiais (como saúde, religião ou filiação sindical) nem o seu histórico salarial de funções anteriores.</p> <p><strong>Conservação:</strong> conservamos os dados de candidatura apenas durante o tempo necessário para avaliar a sua candidatura e preencher a função. Se não for contratado, eliminamos os seus dados de candidatura após o encerramento do processo, a menos que nos peça para os manter em ficheiro para futuras funções, caso em que os conservamos até 12 meses.</p> <p>Tem os mesmos direitos ao abrigo do RGPD sobre os seus dados de candidatura que os enunciados na secção 8. Para os exercer, ou para nos pedir que eliminemos a sua candidatura, envie um email para <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <h2 id="13-alterações-a-esta-política"> 13. Alterações a esta política <a href="#13-altera%c3%a7%c3%b5es-a-esta-pol%c3%adtica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Podemos atualizar esta Política de privacidade periodicamente. Quando fizermos alterações materiais, notificá-lo-emos por email ou através de uma notificação na aplicação. A data de “Última atualização” no topo desta página indica quando a política foi revista pela última vez.</p> <p>A sua utilização continuada do Serviço após a publicação das alterações constitui a sua aceitação da política atualizada.</p> <h2 id="14-contacte-nos"> 14. Contacte-nos <a href="#14-contacte-nos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Se tiver questões sobre esta Política de privacidade ou quiser exercer os seus direitos sobre os dados, contacte-nos:</p> <p><strong>Geral:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Privacidade / direitos RGPD:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Encarregado da proteção de dados:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Divulgações de segurança:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Jurídico / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Localização:</strong> Varsóvia, Polónia</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/pricing/Preços simples e transparentes para o EthicsPortal. Um único plano, tudo incluído. Sem taxas por trabalhador.support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/incidents/Registo público de incidentes materiais que afetem dados pessoais tratados pelo EthicsPortal. Mantido no espírito do artigo 33.º do RGPD e por uma questão de transparência institucional.<h1 id="registo-de-incidentes"> Registo de incidentes <a href="#registo-de-incidentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Esta página regista todos os incidentes materiais que afetem a confidencialidade, a integridade ou a disponibilidade dos dados pessoais tratados pelo EthicsPortal. É mantida no espírito do artigo 33.º do RGPD (notificação de violações de dados pessoais) e por uma questão de transparência institucional.</p> <p>Última atualização: 2026-04.</p> <hr> <h2 id="âmbito"> Âmbito <a href="#%c3%a2mbito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>É criada uma entrada para qualquer um dos seguintes casos:</p> <ul> <li>Uma violação de dados pessoais tal como definida no artigo 4.º, n.º 12, do RGPD — “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais”.</li> <li>Uma indisponibilidade do serviço superior a duas horas que tenha impedido os denunciantes de submeter denúncias ou os gestores de aceder a processos ativos.</li> <li>Uma vulnerabilidade significativa no EthicsPortal ou num subcontratante que tenha exigido mitigação de emergência.</li> <li>Qualquer incidente que exija notificação a uma autoridade de controlo ao abrigo do artigo 33.º do RGPD.</li> </ul> <p>As interrupções de rotina inferiores a duas horas, a manutenção planeada e os incidentes que não envolveram dados pessoais não são aqui registados.</p> <hr> <h2 id="cronograma-de-divulgação"> Cronograma de divulgação <a href="#cronograma-de-divulga%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>No prazo de 72 horas</strong> após tomar conhecimento de uma violação de dados pessoais — notificação aos operadores afetados (responsáveis pelo tratamento) por email, nos termos do artigo 33.º, n.º 2, do RGPD.</li> <li><strong>No prazo de 7 dias</strong> após a contenção — entrada preliminar acrescentada a este registo com resumo, categorias de dados afetadas e estado da mitigação.</li> <li><strong>No prazo de 30 dias</strong> após a contenção — entrada final com causa raiz, correção e lições aprendidas.</li> </ul> <p>As entradas permanecem públicas indefinidamente. As entradas nunca são editadas para reduzir constrangimentos; as correções são acrescentadas como entradas posteriores.</p> <hr> <h2 id="comunicar-uma-preocupação-de-segurança"> Comunicar uma preocupação de segurança <a href="#comunicar-uma-preocupa%c3%a7%c3%a3o-de-seguran%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para comunicar um problema de segurança que afete o EthicsPortal, contacte <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Aceitamos comunicações cifradas; chave PGP a pedido.</p> <hr> <h2 id="registo"> Registo <a href="#registo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><em>Sem entradas.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/en-301-549-conformance/Autoavaliação de conformidade cláusula a cláusula do EthicsPortal face à EN 301 549 V3.2.3 e às WCAG 2.2 Nível AA.<h1 id="relatório-de-conformidade-en-301-549"> Relatório de conformidade EN 301 549 <a href="#relat%c3%b3rio-de-conformidade-en-301-549" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Última atualização: 2026-05-24.</p> <p>Este relatório é uma autoavaliação estruturada do EthicsPortal face aos requisitos de acessibilidade da <strong>EN 301 549 V3.2.3</strong> (e, por transitividade, das <strong>WCAG 2.2 Nível AA</strong>). Destina-se aos revisores de aprovisionamento que necessitam de uma resposta cláusula a cláusula que vá além da <a href="/accessibility/">declaração de acessibilidade</a> .</p> <table> <thead> <tr> <th>Campo</th> <th>Valor</th> </tr> </thead> <tbody> <tr> <td>Produto</td> <td>EthicsPortal — plataforma de conformidade de denúncia da UE</td> </tr> <tr> <td>Versão do produto</td> <td>Implementado continuamente; este relatório descreve o estado à data de preparação</td> </tr> <tr> <td>Norma</td> <td>EN 301 549 V3.2.3 (incorporando as WCAG 2.2 Nível AA)</td> </tr> <tr> <td>Abordagem de conformidade</td> <td>Autoavaliação</td> </tr> <tr> <td>Data de preparação</td> <td>14 de maio de 2026</td> </tr> <tr> <td>Próxima revisão</td> <td>Agosto de 2026 (trimestral)</td> </tr> <tr> <td>Contacto</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Uma cópia em PDF deste relatório pode ser fornecida para aprovisionamento a pedido.</p> <h2 id="âmbito"> Âmbito <a href="#%c3%a2mbito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Este relatório abrange três superfícies de implementação:</p> <ol> <li><strong>Aplicação web</strong> — <code>secure.ethicsportal.eu</code>, a interface autenticada do gestor do caso</li> <li><strong>Portais públicos de denúncia</strong> — <code>*.ethicsportal.eu</code>, a submissão de denúncia e o acompanhamento de processos dirigidos ao denunciante</li> <li><strong>Site de marketing</strong> — <code>ethicsportal.eu</code>, o site público gerado em Hugo (incluindo esta página)</li> </ol> <p>Abrange também os documentos descarregáveis e os serviços de apoio entregues através destas superfícies.</p> <p>O EthicsPortal é um produto SaaS baseado na web. Não fornece aplicações móveis nativas, hardware de quiosque, TIC de voz bidirecional, saída de vídeo para meios de comunicação nem texto em tempo real. As cláusulas 6, 7, 8 e 13 da EN 301 549 são, por isso, em larga medida <strong>não aplicáveis</strong>.</p> <h2 id="resumo"> Resumo <a href="#resumo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Área da cláusula</th> <th>Estado</th> </tr> </thead> <tbody> <tr> <td>§5 Requisitos genéricos</td> <td>Conforme, com as exceções indicadas em §5.4</td> </tr> <tr> <td>§6 TIC com comunicação de voz bidirecional</td> <td>Não aplicável</td> </tr> <tr> <td>§7 TIC com capacidades de vídeo</td> <td>Não aplicável</td> </tr> <tr> <td>§8 Hardware</td> <td>Não aplicável</td> </tr> <tr> <td>§9 Web</td> <td>Parcialmente conforme (ver detalhes em §9)</td> </tr> <tr> <td>§10 Documentos não web</td> <td>Não conforme — ver §10.1</td> </tr> <tr> <td>§11 Software</td> <td>Parcialmente conforme (ver detalhes em §11)</td> </tr> <tr> <td>§12 Documentação e serviços de apoio</td> <td>Conforme</td> </tr> <tr> <td>§13 TIC que fornecem acesso a serviços de retransmissão ou de emergência</td> <td>Não aplicável</td> </tr> </tbody> </table> <h2 id="avaliação-cláusula-a-cláusula"> Avaliação cláusula a cláusula <a href="#avalia%c3%a7%c3%a3o-cl%c3%a1usula-a-cl%c3%a1usula" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="5-requisitos-genéricos"> §5 Requisitos genéricos <a href="#5-requisitos-gen%c3%a9ricos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Ativação de funcionalidades de acessibilidade</td> <td>Conforme</td> <td>A plataforma expõe as funcionalidades de acessibilidade através de HTML e ARIA padrão. Não é necessário qualquer passo de ativação proprietário</td> </tr> <tr> <td>5.2</td> <td>Ativação de funcionalidades de acessibilidade</td> <td>Conforme</td> <td>As definições de acessibilidade ao nível do navegador e do sistema operativo (ampliação, contraste, movimento reduzido, leitor de ecrã) são respeitadas</td> </tr> <tr> <td>5.3</td> <td>Biometria</td> <td>Não aplicável</td> <td>A autenticação é por link mágico ou código de utilização única com TOTP opcional; não é exigida entrada biométrica</td> </tr> <tr> <td>5.4</td> <td>Preservação da informação de acessibilidade durante a conversão</td> <td>Parcialmente conforme</td> <td>O conteúdo da aplicação preserva a informação de acessibilidade; as exportações em PDF não (ver §10.1)</td> </tr> <tr> <td>5.5</td> <td>Partes operáveis</td> <td>Conforme</td> <td>Todos os elementos interativos são operáveis por teclado e apontador; o tamanho dos alvos cumpre a §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Estado de bloqueio ou de alternância</td> <td>Conforme</td> <td>Os estados de alternância são expostos via <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Repetição de tecla</td> <td>Não aplicável</td> <td>O software não configura a repetição de tecla do sistema</td> </tr> <tr> <td>5.8</td> <td>Aceitação de teclas com dupla pressão</td> <td>Não aplicável</td> <td>O software não configura a aceitação de teclas do sistema</td> </tr> <tr> <td>5.9</td> <td>Ações simultâneas do utilizador</td> <td>Conforme</td> <td>Nenhuma interação exige ações simultâneas do utilizador</td> </tr> </tbody> </table> <h3 id="9-web-incorpora-as-wcag-22-nível-a-e-aa"> §9 Web (incorpora as WCAG 2.2 Nível A e AA) <a href="#9-web-incorpora-as-wcag-22-n%c3%advel-a-e-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal tem como alvo as WCAG 2.2 Nível AA. Os novos critérios acrescentados nas WCAG 2.2 são reportados individualmente para que os revisores possam confirmar a cobertura para além das WCAG 2.1.</p> <p><strong>Princípio 1 — Percetível</strong></p> <table> <thead> <tr> <th>CS</th> <th>Título</th> <th>Nível</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Conteúdo não textual</td> <td>A</td> <td>Conforme</td> <td>As imagens e os ícones SVG têm texto alternativo ou estão marcados como decorativos. Os botões só com ícone têm <code>aria-label</code>. O estado indicado apenas por ícone tem um equivalente textual <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Meios baseados no tempo</td> <td>A/AA</td> <td>Não aplicável</td> <td>Sem conteúdo de áudio ou vídeo</td> </tr> <tr> <td>1.3.1</td> <td>Informação e relações</td> <td>A</td> <td>Conforme</td> <td>HTML semântico; as tabelas usam <code><th scope></code>; os formulários usam <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Sequência significativa</td> <td>A</td> <td>Conforme</td> <td>A ordem do DOM corresponde à ordem visual</td> </tr> <tr> <td>1.3.3</td> <td>Características sensoriais</td> <td>A</td> <td>Conforme</td> <td>As instruções não dependem apenas da forma, do tamanho ou da localização</td> </tr> <tr> <td>1.3.4</td> <td>Orientação</td> <td>AA</td> <td>Conforme</td> <td>O esquema funciona em vertical e em horizontal</td> </tr> <tr> <td>1.3.5</td> <td>Identificar a finalidade da entrada</td> <td>AA</td> <td>Conforme</td> <td>As entradas que correspondem às finalidades de entrada das WCAG usam <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Uso da cor</td> <td>A</td> <td>Conforme</td> <td>A cor nunca é o único sinal — é combinada com texto ou ícones</td> </tr> <tr> <td>1.4.3</td> <td>Contraste (mínimo)</td> <td>AA</td> <td>Conforme</td> <td>Texto do corpo ≥ 4,5:1, texto grande ≥ 3:1, auditado internamente</td> </tr> <tr> <td>1.4.4</td> <td>Redimensionar o texto</td> <td>AA</td> <td>Conforme</td> <td>O esquema redistribui-se a 200% de ampliação sem perda de conteúdo</td> </tr> <tr> <td>1.4.5</td> <td>Imagens de texto</td> <td>AA</td> <td>Conforme</td> <td>O logótipo da marca é a única imagem de texto; todas as etiquetas da interface são HTML</td> </tr> <tr> <td>1.4.10</td> <td>Redistribuição</td> <td>AA</td> <td>Conforme</td> <td>Redistribui-se a 320 pixels CSS de largura (tabelas e blocos de código excetuados conforme permitido)</td> </tr> <tr> <td>1.4.11</td> <td>Contraste não textual</td> <td>AA</td> <td>Conforme</td> <td>Os componentes da interface e os objetos gráficos cumprem 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Espaçamento do texto</td> <td>AA</td> <td>Conforme</td> <td>As substituições de espaçamento do texto pelo utilizador não quebram o esquema</td> </tr> <tr> <td>1.4.13</td> <td>Conteúdo ao passar o cursor ou ao focar</td> <td>AA</td> <td>Conforme</td> <td>As dicas são dispensáveis (Escape), passíveis de cursor e persistentes até o gatilho perder o foco</td> </tr> </tbody> </table> <p><strong>Princípio 2 — Operável</strong></p> <table> <thead> <tr> <th>CS</th> <th>Título</th> <th>Nível</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Teclado</td> <td>A</td> <td>Conforme</td> <td>Toda a funcionalidade é operável por teclado</td> </tr> <tr> <td>2.1.2</td> <td>Sem armadilha de teclado</td> <td>A</td> <td>Conforme</td> <td>As janelas modais retêm o foco apenas enquanto estão abertas e restauram-no ao fechar</td> </tr> <tr> <td>2.1.4</td> <td>Atalhos de tecla de carácter</td> <td>A</td> <td>Não aplicável</td> <td>Sem atalhos de carácter único implementados</td> </tr> <tr> <td>2.2.1</td> <td>Tempo ajustável</td> <td>A</td> <td>Conforme</td> <td>O tempo limite de inatividade da sessão é de 30 dias, satisfazendo a exceção das 20 horas</td> </tr> <tr> <td>2.2.2</td> <td>Pausar, parar, ocultar</td> <td>A</td> <td>Conforme</td> <td>Nenhum conteúdo com atualização automática se move, pisca ou desloca durante mais de 5 segundos sem um controlo para pausar</td> </tr> <tr> <td>2.3.1</td> <td>Três flashes ou abaixo</td> <td>A</td> <td>Conforme</td> <td>Sem conteúdo intermitente</td> </tr> <tr> <td>2.4.1</td> <td>Ignorar blocos</td> <td>A</td> <td>Conforme</td> <td>Ligação de salto para o conteúdo principal presente em todos os esquemas</td> </tr> <tr> <td>2.4.2</td> <td>Página com título</td> <td>A</td> <td>Conforme</td> <td>Todas as páginas têm um <code><title></code> localizado e descritivo</td> </tr> <tr> <td>2.4.3</td> <td>Ordem de foco</td> <td>A</td> <td>Conforme</td> <td>O foco segue a ordem do DOM</td> </tr> <tr> <td>2.4.4</td> <td>Finalidade da ligação (em contexto)</td> <td>A</td> <td>Conforme</td> <td>O texto da ligação descreve o destino</td> </tr> <tr> <td>2.4.5</td> <td>Múltiplas formas</td> <td>AA</td> <td>Conforme</td> <td>Pesquisa no site, navegação e trilho de navegação estão disponíveis</td> </tr> <tr> <td>2.4.6</td> <td>Cabeçalhos e etiquetas</td> <td>AA</td> <td>Conforme</td> <td>Um <code><h1></code> por página; os cabeçalhos descem sem saltos</td> </tr> <tr> <td>2.4.7</td> <td>Foco visível</td> <td>AA</td> <td>Conforme</td> <td><code>:focus-visible</code> está ativado globalmente; os contornos de foco não são desativados</td> </tr> <tr> <td>2.4.11</td> <td>Foco não obscurecido (mínimo)</td> <td>AA <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>Os elementos focados não ficam totalmente cobertos por cabeçalhos fixos ou outro conteúdo do autor</td> </tr> <tr> <td>2.5.1</td> <td>Gestos de apontador</td> <td>A</td> <td>Conforme</td> <td>Não são exigidos gestos multiponto ou baseados em trajetória</td> </tr> <tr> <td>2.5.2</td> <td>Cancelamento de apontador</td> <td>A</td> <td>Conforme</td> <td>Todas as ações de clique concluem-se no <code>up-event</code></td> </tr> <tr> <td>2.5.3</td> <td>Etiqueta no nome</td> <td>A</td> <td>Conforme</td> <td>Os nomes acessíveis contêm a etiqueta visível</td> </tr> <tr> <td>2.5.4</td> <td>Acionamento por movimento</td> <td>A</td> <td>Não aplicável</td> <td>Sem entradas por movimento do dispositivo</td> </tr> <tr> <td>2.5.7</td> <td>Movimentos de arrastar</td> <td>AA <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>Sem fluxos só por arrasto; os carregamentos aceitam alternativas por clique e teclado</td> </tr> <tr> <td>2.5.8</td> <td>Tamanho do alvo (mínimo)</td> <td>AA <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>Alvos interativos ≥ 24×24 px CSS</td> </tr> </tbody> </table> <p><strong>Princípio 3 — Compreensível</strong></p> <table> <thead> <tr> <th>CS</th> <th>Título</th> <th>Nível</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Idioma da página</td> <td>A</td> <td>Parcialmente conforme</td> <td>As páginas da aplicação e do portal definem <code><html lang></code> para a localização ativa. As páginas de erro estáticas de recurso são apenas em inglês — ver a <a href="/accessibility/#non-accessible-content">declaração de acessibilidade</a> </td> </tr> <tr> <td>3.1.2</td> <td>Idioma de partes</td> <td>AA</td> <td>Conforme</td> <td>As cadeias de texto em língua estrangeira inseridas usam atributos <code>lang</code> quando necessário</td> </tr> <tr> <td>3.2.1</td> <td>Ao focar</td> <td>A</td> <td>Conforme</td> <td>O foco não desencadeia uma mudança de contexto</td> </tr> <tr> <td>3.2.2</td> <td>Ao introduzir</td> <td>A</td> <td>Conforme</td> <td>A introdução não desencadeia uma mudança de contexto sem aviso</td> </tr> <tr> <td>3.2.3</td> <td>Navegação consistente</td> <td>AA</td> <td>Conforme</td> <td>A ordem de navegação é consistente em toda a aplicação</td> </tr> <tr> <td>3.2.4</td> <td>Identificação consistente</td> <td>AA</td> <td>Conforme</td> <td>Os ícones e os componentes são usados de forma consistente</td> </tr> <tr> <td>3.2.6</td> <td>Ajuda consistente</td> <td>A <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>O contacto de apoio e as ligações de ajuda surgem no mesmo local em todas as páginas autenticadas (área do rodapé da barra lateral) e no rodapé do portal</td> </tr> <tr> <td>3.3.1</td> <td>Identificação de erros</td> <td>A</td> <td>Conforme</td> <td>Os erros são exibidos via <code>role="alert"</code> e descritos ao utilizador</td> </tr> <tr> <td>3.3.2</td> <td>Etiquetas ou instruções</td> <td>A</td> <td>Conforme</td> <td>As entradas estão etiquetadas; as sugestões usam <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Sugestão de erro</td> <td>AA</td> <td>Conforme</td> <td>Os erros indicam o que está errado e como corrigir</td> </tr> <tr> <td>3.3.4</td> <td>Prevenção de erros (jurídicos, financeiros, de dados)</td> <td>AA</td> <td>Conforme</td> <td>Operações reversíveis ou confirmação explícita para ações destrutivas</td> </tr> <tr> <td>3.3.7</td> <td>Entrada redundante</td> <td>A <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>A informação previamente introduzida (email, organização) é preenchida automaticamente quando volta a ser exigida na mesma sessão</td> </tr> <tr> <td>3.3.8</td> <td>Autenticação acessível (mínimo)</td> <td>AA <em>(novo em 2.2)</em></td> <td>Conforme</td> <td>A autenticação usa links mágicos e códigos de utilização única que podem ser colados; não são exigidos testes de função cognitiva</td> </tr> </tbody> </table> <p><strong>Princípio 4 — Robusto</strong></p> <table> <thead> <tr> <th>CS</th> <th>Título</th> <th>Nível</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Nome, função, valor</td> <td>A</td> <td>Conforme</td> <td>Os controlos expõem nome, função e estado</td> </tr> <tr> <td>4.1.3</td> <td>Mensagens de estado</td> <td>AA</td> <td>Conforme</td> <td>As mensagens de notificação, as notificações e os resultados assíncronos usam regiões <code>aria-live</code></td> </tr> </tbody> </table> <h3 id="10-documentos-não-web"> §10 Documentos não web <a href="#10-documentos-n%c3%a3o-web" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Documentos não web (PDF)</td> <td>Não conforme</td> <td>Os relatórios de conformidade, os certificados, os modelos de política, os cartazes, o manual do gestor do caso e as exportações de processos são produzidos como PDF sem etiquetas. Estão disponíveis alternativas acessíveis em HTML a pedido através de <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Um fluxo de PDF etiquetado está no roteiro.</td> </tr> <tr> <td>10.2</td> <td>Modelos de política DOCX</td> <td>Parcialmente conforme</td> <td>Os ficheiros DOCX gerados (política de denúncia, aviso de privacidade) mantêm a sua estrutura, mas não foram auditados face a expectativas equivalentes a PDF/UA para documentos editáveis. Estão disponíveis alternativas em HTML a pedido.</td> </tr> </tbody> </table> <h3 id="11-software"> §11 Software <a href="#11-software" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>A aplicação web qualifica-se como software ao abrigo da §11. A §11 incorpora as WCAG (avaliadas acima na §9) mais cláusulas específicas de software:</p> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interoperabilidade com tecnologia de apoio</td> <td>Conforme</td> <td>Construída sobre HTML semântico e ARIA; testada com VoiceOver, NVDA e navegação por teclado da plataforma</td> </tr> <tr> <td>11.6</td> <td>Utilização de acessibilidade documentada</td> <td>Conforme</td> <td>Esta página e a <a href="/accessibility/">declaração de acessibilidade</a> documentam as funcionalidades de acessibilidade e as limitações conhecidas</td> </tr> <tr> <td>11.7</td> <td>Preferências do utilizador</td> <td>Conforme</td> <td>As preferências ao nível do sistema operativo (movimento reduzido, esquema de cores, escala do texto) são respeitadas</td> </tr> <tr> <td>11.8</td> <td>Ferramentas de autoria</td> <td>Parcialmente conforme</td> <td>A interface do gestor do caso é uma ferramenta de autoria ao abrigo da §11.8 porque os gestores criam conteúdo consumido pelos denunciantes. Os carregamentos de anexos aceitam descrições; as funcionalidades de texto formatado (quando introduzidas) serão avaliadas face à <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-documentação-e-serviços-de-apoio"> §12 Documentação e serviços de apoio <a href="#12-documenta%c3%a7%c3%a3o-e-servi%c3%a7os-de-apoio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Funcionalidades de acessibilidade e compatibilidade</td> <td>Conforme</td> <td>Este relatório e a <a href="/accessibility/">declaração de acessibilidade</a> descrevem as tecnologias de apoio e as combinações de plataforma suportadas</td> </tr> <tr> <td>12.1.2</td> <td>Documentação acessível</td> <td>Conforme</td> <td>A documentação é entregue como HTML semântico no site de marketing e através da ajuda na aplicação</td> </tr> <tr> <td>12.2.2</td> <td>Informação sobre funcionalidades de acessibilidade</td> <td>Conforme</td> <td>O pessoal de apoio e a declaração publicada podem responder a questões de acessibilidade</td> </tr> <tr> <td>12.2.3</td> <td>Comunicação eficaz</td> <td>Conforme</td> <td>O canal de comentários de acessibilidade é monitorizado em cada dia útil; confirmação no prazo de 2 dias úteis</td> </tr> <tr> <td>12.2.4</td> <td>Documentação acessível (apoio)</td> <td>Parcialmente conforme</td> <td>Os documentos entregues em resposta a pedidos de apoio herdam o mesmo estado dos artefactos subjacentes — os PDF são assinalados; estão disponíveis alternativas em HTML</td> </tr> </tbody> </table> <h2 id="limitações-conhecidas"> Limitações conhecidas <a href="#limita%c3%a7%c3%b5es-conhecidas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os itens abaixo são acompanhados, não ocultados:</p> <ol> <li><strong>PDF sem etiquetas.</strong> A maior lacuna. Mitigada atualmente por alternativas acessíveis em HTML a pedido; prevê-se a sua substituição por um fluxo de PDF etiquetado ou de HTML canónico.</li> <li><strong>Páginas de erro estáticas apenas em inglês.</strong> Encontradas raramente; a mesma informação é apresentada no idioma do utilizador dentro da aplicação.</li> <li><strong>Conteúdos incorporados de terceiros (Crisp, páginas alojadas pela Stripe)</strong> estão fora do nosso controlo direto; a documentação de acessibilidade do fornecedor é revista anualmente.</li> </ol> <h2 id="metodologia-de-teste"> Metodologia de teste <a href="#metodologia-de-teste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A autoavaliação combinou:</p> <ul> <li><strong>Automático</strong>: o <code>axe-core-capybara</code> corre nos fluxos do portal público de denúncia (página inicial, submissão de denúncia, consulta) em CI através de <code>test/system/portal_accessibility_system_test.rb</code>; qualquer violação faz falhar a compilação. A extensão da cobertura automática aos fluxos autenticados do gestor do caso está no roteiro</li> <li><strong>Testes manuais de teclado</strong> no fluxo de submissão de denúncia do portal, no fluxo de trabalho do gestor do caso, na gestão da conta e na autenticação</li> <li>Passagens com <strong>VoiceOver (macOS, Safari)</strong> e <strong>NVDA (Windows, Firefox)</strong> com leitor de ecrã nos mesmos fluxos</li> <li>Verificação de redistribuição com <strong>ampliação a 200%</strong> em todos os esquemas a 1280×800</li> <li><strong>Movimento reduzido</strong> verificado ativando a preferência do sistema operativo</li> <li><strong>Simulação de daltonismo</strong> com o Coblis</li> <li><strong>Revisão de código</strong> face ao <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">guia de engenharia de acessibilidade</a> interno</li> </ul> <h2 id="contacto-e-comentários"> Contacto e comentários <a href="#contacto-e-coment%c3%a1rios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Preocupações de acessibilidade, pedidos de formatos alternativos e questões de aprovisionamento:</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — monitorizado em cada dia útil</li> <li>Ver a <a href="/accessibility/">declaração de acessibilidade</a> para o procedimento completo de comentários e de execução</li> </ul> <h2 id="normas-e-referências"> Normas e referências <a href="#normas-e-refer%c3%aancias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (versão harmonizada)</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Diretiva (UE) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Diretiva (UE) 2019/882</a> — Ato Europeu da Acessibilidade</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisão de Execução (UE) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 Nível AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/penalties/Coimas e sanções por incumprimento da Diretiva (UE) 2019/1937 em cada Estado-Membro. Atualizado regularmente com ações de execução.<h1 id="sanções-da-diretiva-da-ue-relativa-à-denúncia-por-país"> Sanções da Diretiva da UE relativa à denúncia por país <a href="#san%c3%a7%c3%b5es-da-diretiva-da-ue-relativa-%c3%a0-den%c3%bancia-por-pa%c3%ads" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>A Diretiva (UE) 2019/1937 obriga todas as empresas com 50 ou mais trabalhadores a estabelecer canais de denúncia internos. Cada Estado-Membro da UE transpôs a diretiva para o direito nacional com o seu próprio regime sancionatório.</p> <p>O incumprimento não é teórico. Em março de 2025, o <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Tribunal de Justiça da UE multou cinco Estados-Membros num total de 38,9 milhões de euros</a> apenas por terem aplicado a lei com atraso. As empresas que não cumprem enfrentam as suas próprias sanções ao abrigo do direito nacional.</p> <hr> <h2 id="sanções-num-relance"> Sanções num relance <a href="#san%c3%a7%c3%b5es-num-relance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>País</th> <th>Sem canal de denúncia</th> <th>Retaliação</th> <th>Responsabilidade penal</th> <th>Lei</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/spain/">Espanha</a> </td> <td>Up to €1,000,000</td> <td>Up to €1,000,000</td> <td>Não</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/france/">França</a> </td> <td>—</td> <td>€60,000 + 3 years prison</td> <td><strong>Sim</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polónia</a> </td> <td>PLN 5,000 (~€1,200)</td> <td>Obstruction: PLN 1,080,000 (~€250,000) + up to 1 year prison. Retaliation: up to 2 years prison</td> <td><strong>Sim</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Act of 14 June 2024</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/portugal/">Portugal</a> </td> <td>Up to €125,000</td> <td>Up to €250,000</td> <td>Não</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Law 93/2021</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Itália</a> </td> <td>€10,000–€50,000</td> <td>€10,000–€50,000</td> <td>Não</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/germany/">Alemanha</a> </td> <td>€20,000–€50,000 (10x for legal entities)</td> <td>Up to €50,000</td> <td>Não</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/romania/">Roménia</a> </td> <td>RON 3,000–30,000 (~€600–6,000)</td> <td>Obstruction: RON 2,000–20,000 (~€400–4,000)</td> <td>Não</td> <td><a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea 361/2022</a> </td> </tr> </tbody> </table> <hr> <h2 id="detalhes-por-país"> Detalhes por país <a href="#detalhes-por-pa%c3%ads" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="spain"> <a href="/whistleblower-laws/spain/">Espanha</a> — Law 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — proteção das pessoas que denunciam infrações regulamentares e combate à corrupção.</p> <p><strong>Aplica-se a:</strong> Empresas com 50 ou mais trabalhadores. O prazo era 13 de junho de 2023 (250 ou mais trabalhadores) e 1 de dezembro de 2023 (50 a 249 trabalhadores). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Source: Garrigues</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Não estabelecer um canal de denúncia interno: €600,000–€1,000,000 para pessoas coletivas. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source: CMS Expert Guide</a> </li> <li>Violar as obrigações do canal de denúncia: €100,000–€1,000,000 para pessoas coletivas; €1,000–€300,000 para pessoas singulares. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source: CMS Expert Guide</a> </li> <li>Sanções adicionais: advertência pública, proibição de subsídios/benefícios fiscais até 4 anos e possível suspensão de licenças de exploração. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Source: Garrigues</a> </li> </ul> <p><strong>Autoridade responsável pela execução:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>A Espanha tem as sanções mais severas da UE para o incumprimento em matéria de denúncia.</p> <hr> <h3 id="france"> <a href="/whistleblower-laws/france/">França</a> — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , que altera a <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>Aplica-se a:</strong> Empresas com 50 ou mais trabalhadores. Em vigor desde setembro de 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Obstruir uma denúncia: até €60,000 de coima e 1 ano de prisão. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Source: Whispli</a> </li> <li>Retaliação ou discriminação contra um denunciante: até €60,000 de coima e 3 anos de prisão. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Source: JP Karsenty</a> </li> </ul> <p>A França é um dos poucos países da UE onde a obstrução e a retaliação acarretam <strong>sanções penais que incluem pena de prisão</strong>.</p> <p><strong>Diferença essencial:</strong> Em França, os denunciantes já não são obrigados a usar os canais internos antes de recorrer às autoridades externas (fim da “denúncia em cascata”). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <hr> <h3 id="germany"> <a href="/whistleblower-laws/germany/">Alemanha</a> — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — entrou em vigor em 2 de julho de 2023.</p> <p><strong>Aplica-se a:</strong> Empresas com 50 ou mais trabalhadores. O prazo era 2 de julho de 2023 (250 ou mais trabalhadores) e 17 de dezembro de 2023 (50 a 249 trabalhadores). Coimas exequíveis desde 1 de dezembro de 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Source: Library of Congress</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Não estabelecer um canal de denúncia: coimas de €20,000–€50,000 nos termos da Secção 40 da HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Source: Ebner Stolz</a> </li> <li>Para pessoas coletivas, as coimas podem aumentar <strong>dez vezes</strong> (até €500,000) nos termos da Secção 40(6). <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Source: activeMind</a> </li> <li>Retaliação contra denunciantes: até €50,000. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Source: Morrison Foerster</a> </li> </ul> <p><strong>Nota:</strong> A Alemanha foi multada em €34,000,000 pelo Tribunal de Justiça da UE em março de 2025 por transposição tardia da diretiva. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source: eucrim</a> </p> <hr> <h3 id="italy"> <a href="/whistleblower-laws/italy/">Itália</a> — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>Aplica-se a:</strong> Empresas com 50 ou mais trabalhadores (e todas as empresas com um programa de conformidade Modelo 231, independentemente da dimensão). O prazo era 15 de julho de 2023 (250 ou mais trabalhadores) e 17 de dezembro de 2023 (50 a 249 trabalhadores). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Não estabelecer canais de denúncia ou procedimentos não conformes: €10,000–€50,000. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> <li>Retaliação ou obstrução da denúncia: €10,000–€50,000. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Source: Hogan Lovells</a> </li> <li>Violação da confidencialidade da identidade do denunciante: €10,000–€50,000. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> <li>Denúncia falsa pelo denunciante: €500–€2,500. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> </ul> <p><strong>Autoridade responsável pela execução:</strong> ANAC (Autorità Nazionale Anticorruzione). A ANAC emitiu a sua primeira ação de execução em julho de 2024 (Decisão n.º 380, caso de retaliação). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Source: ANAC via Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> <a href="/whistleblower-laws/poland/">Polónia</a> — Act of 14 June 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — entrou em vigor em 25 de setembro de 2024.</p> <p><strong>Aplica-se a:</strong> Empregadores com 50 ou mais trabalhadores. Procedimentos internos exigidos até 1 de janeiro de 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source: DLA Piper</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Não estabelecer procedimentos de denúncia interna: coima de PLN 20–5,000 (~€5–€1,200) enquanto contraordenação. Os membros do conselho de administração são pessoalmente responsáveis. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Source: RSM Poland</a> </li> <li>Impedir ou obstruir a denúncia: coima até PLN 1,080,000 (~€250,000), restrição da liberdade ou até 1 ano de prisão. Com violência ou ameaças: até 3 anos. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Source: Clifford Chance</a> </li> <li>Retaliação: coima, restrição da liberdade ou até 2 anos de prisão. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Source: Kochański & Partners</a> </li> <li>Divulgar a identidade do denunciante: coima, restrição da liberdade ou até 1 ano de prisão. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source: DLA Piper</a> </li> </ul> <p><strong>Autoridade responsável pela execução:</strong> Autoridade Independente para a Proteção dos Denunciantes (Rzecznik Praw Sygnalistów) — operações iniciadas em 1 de setembro de 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Source: Wozniak Legal</a> </p> <p>A Polónia é um dos poucos países da UE onde a obstrução e a retaliação acarretam <strong>sanções penais que incluem pena de prisão</strong>.</p> <hr> <h3 id="portugal"> <a href="/whistleblower-laws/portugal/">Portugal</a> — Law 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — Regime Geral de Proteção de Denunciantes de Infrações.</p> <p><strong>Aplica-se a:</strong> Empresas com 50 ou mais trabalhadores. Regime sancionatório exequível desde 7 de junho de 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <p><strong>Sanções:</strong></p> <ul> <li>Não estabelecer canais de denúncia (infração grave): coimas até €125,000. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </li> <li>Retaliação, obstrução ou violação de confidencialidade (infração muito grave): coimas até €250,000. <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei 93/2021, art. 27.º</a> </li> </ul> <p><strong>Autoridade responsável pela execução:</strong> MENAC (Mecanismo Nacional Anticorrupção). A plataforma eletrónica entrou em funcionamento em novembro de 2024. Recebeu 152 denúncias em 2024. Foco a deslocar-se para a execução no setor privado em 2025. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Source: European Commission Rule of Law Report 2025</a> </p> <hr> <h3 id="romania"> <a href="/whistleblower-laws/romania/">Roménia</a> — Legea 361/2022 <a href="#romania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p><strong>Lei:</strong> <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea nr. 361/2022 privind protecția avertizorilor în interes public</a> — que transpõe a Diretiva (UE) 2019/1937.</p> <p><strong>Aplica-se a:</strong> Todas as entidades do setor público independentemente do número de trabalhadores; entidades de direito privado com 50 ou mais trabalhadores; certas entidades de setores do Anexo 3 (serviços financeiros, antibranqueamento, seguros) independentemente da dimensão. O prazo era 22 de dezembro de 2022 (setor público e 250 ou mais trabalhadores) e 17 de dezembro de 2023 (50 a 249 trabalhadores). <a href="https://integritate.eu/comunicat-privind-obligatia-persoanelor-juridice-de-drept-privat-care-au-intre-50-si-249-de-angajati-de-a-identifica-sau-institui-canale-interne-de-raportare-legea-nr-361-2022-privind-protectia-ave/" rel="nofollow">Source: ANI</a> </p> <p><strong>Sanções (contraordenações administrativas ao abrigo dos art. 28.º-29.º):</strong></p> <ul> <li>Não estabelecer canais de denúncia internos: RON 3,000–30,000 (~€600–6,000). <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Source: Legea 361/2022, Art. 28(2)(c)</a> </li> <li>Obstruir ou impedir uma denúncia: RON 2,000–20,000 (~€400–4,000).</li> <li>Violar a confidencialidade do denunciante: RON 4,000–40,000 (~€800–8,000).</li> <li>Denúncia falsa consciente: RON 2,500–30,000 (~€500–6,000).</li> </ul> <p><strong>Autoridade responsável pela execução:</strong> <a href="https://integritate.eu/competente/avertizori-in-interes-public/" rel="nofollow">Agenția Națională de Integritate (ANI)</a> .</p> <p><strong>Avaliação honesta da execução:</strong> Não surgiu qualquer registo público de uma empresa multada especificamente por um canal interno em falta, e a execução até à data parece ser reativa, e não orientada por auditorias. A ANI <a href="https://agerpres.ro/justitie/2026/05/18/ani-anul-trecut-au-crescut-semnificativ-raportarile-avertizorilor-de-integritate-privind-incalcari-a--1557362" rel="nofollow">registou 329 denúncias externas em 2025</a> (188 em domínios regulados pela Legea 361/2022) — denúncias recebidas pela autoridade, não sanções aplicadas contra empregadores. A análise independente (<a href="https://ceeliinstitute.org/resource/beyond-paper-rights" rel="nofollow">CEELI Institute, 2023</a> ) documenta um desfasamento entre a lei no papel e a sua aplicação. A exposição real é uma denúncia chegar à ANI sem um canal interno em funcionamento, e não uma grande coima.</p> <hr> <h2 id="coimas-do-tribunal-de-justiça-da-ue-contra-estados-membros-março-de-2025"> Coimas do Tribunal de Justiça da UE contra Estados-Membros (março de 2025) <a href="#coimas-do-tribunal-de-justi%c3%a7a-da-ue-contra-estados-membros-mar%c3%a7o-de-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Cinco países da UE foram multados pelo Tribunal de Justiça por não terem transposto a diretiva a tempo:</p> <table> <thead> <tr> <th>País</th> <th>Coima fixa</th> <th>Sanção diária</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Alemanha</a> </td> <td>€34,000,000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/czech-republic/">Chéquia</a> </td> <td>€2,300,000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/hungary/">Hungria</a> </td> <td>€1,750,000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/estonia/">Estónia</a> </td> <td>€500,000</td> <td>€1,500/day</td> </tr> <tr> <td><a href="/whistleblower-laws/luxembourg/">Luxemburgo</a> </td> <td>€375,000</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Source: CJEU press release (PDF)</a> </p> <hr> <h2 id="todos-os-27-estados-membros"> Todos os 27 Estados-Membros <a href="#todos-os-27-estados-membros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Todos os Estados-Membros da UE já transpuseram a diretiva. Veja a nossa referência completa:</p> <p><strong><a href="/whistleblower-laws/">Leis de proteção de denunciantes em todos os 27 Estados-Membros da UE →</a> </strong></p> <p>O nome da lei nacional de cada país, a ligação para o texto oficial, as sanções, os prazos e a autoridade responsável pela execução.</p> <hr> <h2 id="a-execução-está-a-acelerar"> A execução está a acelerar <a href="#a-execu%c3%a7%c3%a3o-est%c3%a1-a-acelerar" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A maioria dos Estados-Membros só concluiu a transposição da diretiva em 2023-2024. As autoridades responsáveis pela execução estão agora operacionais e a emitir ativamente orientações:</p> <ul> <li><strong>Itália:</strong> A ANAC emitiu a sua primeira coima por retaliação em julho de 2024 e publicou orientações de execução atualizadas em novembro de 2025.</li> <li><strong>Portugal:</strong> A plataforma eletrónica de execução da MENAC entrou em funcionamento em novembro de 2024, com foco no setor privado em 2025.</li> <li><strong>Polónia:</strong> A autoridade independente de execução entra em funcionamento em setembro de 2025.</li> <li><strong>Alemanha:</strong> Coimas exequíveis desde dezembro de 2023.</li> <li><strong>Espanha:</strong> Coimas exequíveis desde junho de 2023.</li> <li><strong>Roménia:</strong> A ANI é a autoridade responsável pela execução, mas não surgiu qualquer registo público de uma empresa multada por um canal em falta; a execução continua a ser reativa e orientada por queixas. A ANI registou 329 denúncias externas em 2025.</li> </ul> <p>A janela para alcançar a conformidade antes da execução ativa está a fechar-se.</p> <hr> <h2 id="alcance-a-conformidade-agora"> Alcance a conformidade agora <a href="#alcance-a-conformidade-agora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal dá à sua organização um canal de denúncia interno seguro para a conformidade com a Diretiva (UE) 2019/1937: cifrado, anónimo e com acompanhamento de prazos.</p> <p><a href="/directive-coverage/">Veja como cumprimos todos os requisitos</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Ative o seu canal de denúncia interno</a> </p> <hr> <p><em>Última atualização: abril de 2026. Os montantes das sanções e o estado da execução baseiam-se em fontes jurídicas publicamente disponíveis ligadas acima. Contacte <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> se detetar um erro.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/security/Medidas técnicas de segurança no EthicsPortal, incluindo cifragem, anonimato, controlo de acesso, registo de auditoria e detalhes de infraestrutura para revisão de conformidade.<h1 id="segurança"> Segurança <a href="#seguran%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>O EthicsPortal trata dados sensíveis de denúncia. Esta página documenta as medidas técnicas e organizativas específicas que temos em vigor. Está escrita para responsáveis de conformidade, EPD e equipas jurídicas que avaliam a plataforma.</p> <p>Última atualização: 2026-05-17.</p> <hr> <h2 id="cifragem-dos-dados"> Cifragem dos dados <a href="#cifragem-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Todos os campos sensíveis são cifrados em repouso com o Rails ActiveRecord Encryption com <strong>cifragem não determinística</strong> (cada cifragem produz um texto cifrado único, impedindo a análise de padrões).</p> <table> <thead> <tr> <th>Campo</th> <th>Cifrado</th> <th>Determinístico</th> </tr> </thead> <tbody> <tr> <td>Descrição da denúncia</td> <td>Sim</td> <td>Não</td> </tr> <tr> <td>Nome do denunciante</td> <td>Sim</td> <td>Não</td> </tr> <tr> <td>Dados de contacto do denunciante</td> <td>Sim</td> <td>Não</td> </tr> <tr> <td>Corpo da mensagem (comunicação denunciante-gestor)</td> <td>Sim</td> <td>Não</td> </tr> </tbody> </table> <p>A cifragem não determinística significa que estes campos não podem ser consultados por valor ao nível da base de dados. Mesmo com acesso total à base de dados, um atacante não consegue pesquisar o nome de um denunciante específico entre os registos.</p> <p>Todas as ligações ao EthicsPortal usam <strong>HTTPS/TLS</strong>. Os pedidos HTTP não cifrados são reencaminhados.</p> <hr> <h2 id="anonimato-e-privacidade"> Anonimato e privacidade <a href="#anonimato-e-privacidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="anonimização-dos-endereços-ip"> Anonimização dos endereços IP <a href="#anonimiza%c3%a7%c3%a3o-dos-endere%c3%a7os-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>As rotas do portal (submissão de denúncia, consulta de processo, mensagens) usam um hash SHA256 unidirecional do IP do pedido exclusivamente para limitação de débito. O hash não é reversível — não é possível recuperar o IP original a partir do valor armazenado.</p> <p>Ao nível da aplicação, o endereço IP bruto do denunciante não é armazenado na base de dados, e os registos da aplicação para as rotas do portal são depurados para proteger o anonimato do denunciante.</p> <h3 id="remoção-dos-metadados-dos-ficheiros"> Remoção dos metadados dos ficheiros <a href="#remo%c3%a7%c3%a3o-dos-metadados-dos-ficheiros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os ficheiros carregados são automaticamente despojados de metadados identificadores <strong>antes</strong> do armazenamento:</p> <table> <thead> <tr> <th>Tipo de ficheiro</th> <th>Metadados removidos</th> <th>Método</th> </tr> </thead> <tbody> <tr> <td>Imagens (JPEG, PNG, TIFF, WebP)</td> <td>Dados EXIF: coordenadas GPS, modelo da câmara, número de série do dispositivo, autor, datas/horas</td> <td>Processamento de imagem Vips</td> </tr> <tr> <td>Documentos PDF</td> <td>Autor, aplicação de criação, histórico de modificações</td> <td>exiftool na configuração padrão de produção</td> </tr> <tr> <td>Ficheiros de vídeo</td> <td>GPS, informação do dispositivo, software de gravação</td> <td>exiftool na configuração padrão de produção</td> </tr> <tr> <td>Ficheiros de áudio</td> <td>Dispositivo de gravação, GPS, etiquetas de software</td> <td>exiftool na configuração padrão de produção</td> </tr> </tbody> </table> <p>A remoção de metadados é feita do lado do servidor antes do armazenamento. Para os tipos de ficheiro tratados pelo <code>exiftool</code>, depende da presença do conjunto padrão de ferramentas de produção.</p> <h3 id="análise-de-vírus"> Análise de vírus <a href="#an%c3%a1lise-de-v%c3%adrus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Todos os ficheiros carregados são automaticamente analisados em busca de software malicioso com o <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , um motor antivírus de código aberto. A análise ocorre do lado do servidor, num processo em segundo plano após o carregamento. Os ficheiros que não passaram na análise ficam bloqueados para entrega, e os ficheiros infetados são removidos automaticamente.</p> <p>Os ficheiros são analisados na infraestrutura do EthicsPortal — nenhum dado dos ficheiros é enviado para serviços de análise de terceiros.</p> <h3 id="anonimato-dos-gestores"> Anonimato dos gestores <a href="#anonimato-dos-gestores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os denunciantes nunca veem os nomes reais nem os endereços de email das pessoas que tratam a sua denúncia. Todas as mensagens dos gestores são apresentadas como <strong>“Gestor do caso”</strong>. Isto protege a identidade do gestor e previne a engenharia social.</p> <h3 id="sem-rastreio"> Sem rastreio <a href="#sem-rastreio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal não usa cookies de rastreio de terceiros, pixels de publicidade nem scripts de fingerprinting. Usamos o <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> apenas nas páginas de marketing — é isento de cookies, não recolhe dados pessoais e é totalmente conforme ao RGPD. O próprio portal de denúncia não tem análises.</p> <h3 id="estado-atual-de-garantia"> Estado atual de garantia <a href="#estado-atual-de-garantia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O EthicsPortal não reivindica atualmente neste site uma certificação ISO 27001 acreditada. Também não publica atualmente uma auditoria independente por terceiros à arquitetura de anonimato. Se isso mudar, o âmbito e a data serão publicados aqui.</p> <h3 id="materiais-de-revisão-de-segurança"> Materiais de revisão de segurança <a href="#materiais-de-revis%c3%a3o-de-seguran%c3%a7a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os clientes que necessitem de materiais de revisão de aprovisionamento ou jurídica podem solicitá-los durante o aprovisionamento. Os materiais disponíveis podem incluir um DPA assinado, elementos de registo e fiscais, um questionário de segurança preenchido e respostas escritas que abrangem os procedimentos de cópia de segurança e restauro, o acesso privilegiado de produção e o tratamento da resposta a incidentes.</p> <hr> <h2 id="controlo-de-acesso"> Controlo de acesso <a href="#controlo-de-acesso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>A autorização é aplicada ao nível da aplicação através de políticas <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> .</p> <table> <thead> <tr> <th>Função</th> <th>Pode ver denúncias</th> <th>Pode gerir as definições da organização</th> <th>Pode atribuir gestores</th> </tr> </thead> <tbody> <tr> <td>Administrador</td> <td>Todas as denúncias</td> <td>Sim</td> <td>Sim</td> </tr> <tr> <td>Gestor</td> <td>Denúncias que lhe estão atribuídas ou em que participa</td> <td>Não</td> <td>Não</td> </tr> </tbody> </table> <ul> <li>Os gestores não podem ver denúncias que não lhes estejam atribuídas nem em que não participem. Os participantes são explicitamente adicionados por um administrador ou pelo responsável principal (por exemplo, envolvendo o departamento jurídico ou de recursos humanos).</li> <li>Os denunciantes não têm conta de utilizador — acedem à sua denúncia através de um ID do caso (<code>WB-XXXX-XXXX</code>) mais um código de acesso de 6 dígitos que escolhem na submissão.</li> <li>Cada ação do controlador verifica a autorização. As tentativas de acesso não autorizado são bloqueadas e registadas.</li> </ul> <h3 id="autenticação-de-dois-fatores"> Autenticação de dois fatores <a href="#autentica%c3%a7%c3%a3o-de-dois-fatores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>As contas de gestor e administrador podem ativar a autenticação de dois fatores baseada em TOTP através de qualquer aplicação de autenticação padrão (Google Authenticator, 1Password, Authy e alternativas compatíveis). Uma vez ativada, o início de sessão exige tanto a credencial principal como um código rotativo de 6 dígitos.</p> <p>Os denunciantes também se autenticam com dois fatores: o ID do caso (algo que detêm) e o código de acesso que escolheram na submissão (algo que sabem). O código de acesso é armazenado apenas como um digest bcrypt e não pode ser recuperado. A caixa de entrada de seguimento e a publicação de mensagens estão protegidas por sessão atrás desta verificação, pelo que um ID do caso divulgado não permite, por si só, ler a denúncia nem fazer-se passar pelo denunciante.</p> <h3 id="ciclo-de-vida-da-sessão"> Ciclo de vida da sessão <a href="#ciclo-de-vida-da-sess%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Cada sessão autenticada regista <code>last_seen_at</code> em cada pedido (com debounce). Os utilizadores podem rever as suas sessões ativas, ver quando cada uma esteve ativa pela última vez, revogar qualquer sessão individualmente ou terminar todas as outras sessões de uma só vez a partir das definições da conta.</p> <p>As sessões expiram automaticamente após <strong>14 dias de inatividade</strong>. O próximo pedido de uma sessão inativa destrói o registo do lado do servidor, limpa o cookie e força a reautenticação através de um novo link mágico. Uma tarefa noturna varre as sessões abandonadas com o mesmo limite de tempo, pelo que o <code>user_agent</code> e o <code>ip_address</code> não são conservados além da janela de inatividade, mesmo quando o utilizador nunca regressa.</p> <p>A autenticação por link mágico limita o raio de impacto das sessões de longa duração: um cookie de sessão roubado não confere uma credencial reutilizável, e a reautenticação exige acesso ao email.</p> <h3 id="acesso-de-membros-e-cessação"> Acesso de membros e cessação <a href="#acesso-de-membros-e-cessa%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>O acesso à organização é aplicado na fronteira do pedido. Quando um membro é desativado:</p> <ul> <li>O acesso à organização é rejeitado de imediato, incluindo em URLs previamente marcados como favoritos.</li> <li>As atribuições de denúncias abertas são removidas.</li> <li>As participações são removidas.</li> <li>O histórico do registo de auditoria imputável ao membro é preservado.</li> <li>O membro desativado é notificado.</li> <li>A reativação não restaura automaticamente o acesso anterior aos processos.</li> </ul> <p>O último administrador ativo e o proprietário da organização não podem ser desativados. Todos os eventos de desativação e reativação são escritos no registo de auditoria só com acrescentos.</p> <p>As adesões sem pegada de conformidade (sem entradas no registo de auditoria, sem atribuições, sem participações) são eliminadas definitivamente na remoção; as adesões com pegada são desativadas de forma reversível para que o registo de atividades se mantenha resolúvel.</p> <h3 id="limitação-de-débito"> Limitação de débito <a href="#limita%c3%a7%c3%a3o-de-d%c3%a9bito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Os pontos de extremidade do portal público são limitados em débito para prevenir abusos e ataques de enumeração:</p> <table> <thead> <tr> <th>Ponto de extremidade</th> <th>Limite</th> </tr> </thead> <tbody> <tr> <td>Submissão de denúncia</td> <td>5 por 10 minutos por IP anonimizado</td> </tr> <tr> <td>Consulta de processo (ID do caso + código de acesso)</td> <td>10 por 3 minutos por IP anonimizado</td> </tr> <tr> <td>Submissão de mensagem</td> <td>10 por 3 minutos por IP anonimizado</td> </tr> </tbody> </table> <p>A limitação de débito usa o hash de IP unidirecional descrito acima — nenhum IP real é armazenado.</p> <hr> <h2 id="auditoria-e-conformidade"> Auditoria e conformidade <a href="#auditoria-e-conformidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <h3 id="registo-de-atividades-só-com-acrescentos"> Registo de atividades só com acrescentos <a href="#registo-de-atividades-s%c3%b3-com-acrescentos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Cada ação no EthicsPortal é registada com:</p> <ul> <li><strong>Data/hora</strong> (UTC)</li> <li><strong>Ator</strong> (que utilizador ou processo do sistema realizou a ação)</li> <li><strong>Tipo de ação</strong> (denúncia criada, estado alterado, mensagem enviada, gestor atribuído, denúncia visualizada, denúncia exportada, denúncia eliminada, etc.)</li> </ul> <p>As entradas do registo de auditoria são só com acrescentos. Não podem ser editadas nem eliminadas por nenhum utilizador, incluindo os administradores da organização. O registo de auditoria completo é incluído nas exportações de processos em PDF para revisão regulamentar.</p> <h3 id="conservação-dos-dados"> Conservação dos dados <a href="#conserva%c3%a7%c3%a3o-dos-dados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>As organizações configuram o seu próprio prazo de conservação: <strong>12, 24, 36, 48 ou 60 meses</strong> após o encerramento de uma denúncia. Quando o prazo de conservação expira, a denúncia e todos os dados associados (mensagens, anexos, entradas do registo de auditoria) são automática e permanentemente eliminados por uma tarefa em segundo plano.</p> <p>Isto satisfaz os requisitos de limitação da conservação do RGPD (art. 5.º, n.º 1, al. e)) e as obrigações de manutenção de registos da Diretiva 2019/1937 (art. 17.º-18.º).</p> <h3 id="proteção-csrf"> Proteção CSRF <a href="#prote%c3%a7%c3%a3o-csrf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Todas as submissões de formulários estão protegidas contra a falsificação de pedidos entre sites através dos tokens CSRF integrados no Rails.</p> <hr> <h2 id="ciclo-de-vida-de-desenvolvimento-seguro"> Ciclo de vida de desenvolvimento seguro <a href="#ciclo-de-vida-de-desenvolvimento-seguro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal segue um ciclo de vida de desenvolvimento documentado para as alterações que tocam o Serviço. As etapas são aqui indicadas para que um revisor de aprovisionamento as possa mapear para os controlos A.8.25-A.8.29 da ISO/IEC 27001:2022 (ver o <a href="/iso-27001/">mapa de controlos</a> para o mapeamento completo).</p> <table> <thead> <tr> <th>Etapa</th> <th>Prática</th> </tr> </thead> <tbody> <tr> <td>Arquitetura e design</td> <td>As funcionalidades que introduzem novos fluxos de dados pessoais, subcontratantes ou âmbitos de autorização são avaliadas face aos compromissos de cifragem, controlo de acesso e registo de auditoria documentados nesta página antes da implementação.</td> </tr> <tr> <td>Revisão de código</td> <td>As alterações de produção são revistas face a uma lista de verificação de segurança escrita (cobertura de cifragem, âmbito de autorização, emissão de registo de auditoria, validação de entrada, tratamento de segredos) antes da implementação. A análise estática corre em cada alteração e bloqueia a integração em caso de falha.</td> </tr> <tr> <td>Codificação segura</td> <td>A base de código usa por predefinição defesas ao nível da framework — consultas parametrizadas via ActiveRecord, parâmetros fortes, escape de saída nas vistas, tokens CSRF, cifragem ao nível do atributo, autorização Pundit na fronteira do controlador. Os desvios exigem uma justificação escrita.</td> </tr> <tr> <td>Testes de segurança em desenvolvimento</td> <td>A análise estática (<a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> , <a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> , <code>importmap audit</code>) corre em cada alteração. Os testes abrangem os caminhos de autorização, as invariantes de cifragem em repouso, a emissão de registo de auditoria e a aplicação dos limites de débito. Ver <a href="#dependency-and-patch-management">gestão de dependências e correções</a> para o conjunto completo de ferramentas.</td> </tr> <tr> <td>Separação de ambientes</td> <td>Os ambientes de produção e não produção estão isolados. Nenhum dado pessoal de produção é usado fora da produção; os ambientes de teste e de desenvolvimento usam dados sintéticos.</td> </tr> <tr> <td>Resposta a vulnerabilidades</td> <td>As comunicações são confirmadas no prazo de 2 dias úteis (ver <a href="#responsible-disclosure">divulgação responsável</a> ). Objetivos: problemas críticos corrigidos no prazo de 7 dias, elevados no prazo de 30, médios no prazo de 90. Os problemas confirmados que afetam clientes implementados são comunicados através do <a href="/incidents/">registo de incidentes</a> quando cumprem os critérios de âmbito do registo.</td> </tr> </tbody> </table> <hr> <h2 id="gestão-de-dependências-e-correções"> Gestão de dependências e correções <a href="#gest%c3%a3o-de-depend%c3%aancias-e-corre%c3%a7%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal não implementa componentes de software em fim de vida. A aplicação corre sobre versões ativamente suportadas do Rails, do Ruby, do PostgreSQL e do sistema operativo subjacente; as versões de segurança a montante são aplicadas numa base contínua.</p> <p>As dependências são analisadas continuamente em integração contínua:</p> <ul> <li>O <strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> assinala vulnerabilidades específicas do Rails em cada alteração.</li> <li>O <strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> verifica o Gemfile face à Ruby Advisory Database em cada alteração e ainda diariamente, para que os avisos recém-divulgados sejam detetados mesmo quando nenhum código foi alterado.</li> <li>O <strong><code>importmap audit</code></strong> analisa as importações de JavaScript em busca de vulnerabilidades conhecidas em cada alteração e ainda diariamente.</li> <li>O <strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> abre pedidos de integração semanalmente para gems Ruby e GitHub Actions desatualizados, agrupados por atualizações menores/de correção.</li> </ul> <p>Os componentes que atingem o fim de vida a montante são substituídos ou atualizados antes do fecho da sua janela de suporte.</p> <hr> <h2 id="infraestrutura"> Infraestrutura <a href="#infraestrutura" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Componente</th> <th>Fornecedor</th> <th>Localização</th> </tr> </thead> <tbody> <tr> <td>Servidor de aplicação e base de dados</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Nuremberga, Alemanha (UE)</td> </tr> <tr> <td>Armazenamento de ficheiros</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Nuremberga, Alemanha (UE)</td> </tr> <tr> <td>Email transacional</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>França (UE)</td> </tr> <tr> <td>Processamento de pagamentos</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>UE</td> </tr> </tbody> </table> <ul> <li>Todo o tratamento primário de dados ocorre dentro da União Europeia.</li> <li>Nenhum número de cartão de crédito ou credencial de pagamento é armazenado nos servidores do EthicsPortal. Todos os dados de pagamento são tratados pela Stripe.</li> <li>A Mailjet é usada para email transacional (notificações de gestores, não dirigidas aos denunciantes). A Mailjet tem sede em França e trata todos os dados na UE.</li> <li>O site de marketing é servido através da Cloudflare (CDN, Estados Unidos); os portais de denúncia e de gestão não. Ver a página de <a href="/subprocessors/">subcontratantes</a> para a lista completa e as salvaguardas de transferência.</li> </ul> <hr> <h2 id="cópias-de-segurança-e-restauro"> Cópias de segurança e restauro <a href="#c%c3%b3pias-de-seguran%c3%a7a-e-restauro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal opera duas camadas complementares de cópias de segurança, ambas conservadas na UE:</p> <table> <thead> <tr> <th>Camada</th> <th>O quê</th> <th>Onde</th> <th>Conservação</th> </tr> </thead> <tbody> <tr> <td>Base de dados</td> <td>Cópias diárias cifradas do PostgreSQL através de um acessório Kamal</td> <td>Hetzner Object Storage, Nuremberga (UE)</td> <td>7 dias</td> </tr> <tr> <td>Servidor</td> <td>Instantâneos completos do disco do anfitrião da aplicação</td> <td>Hetzner Cloud, Nuremberga (UE)</td> <td>7 dias</td> </tr> </tbody> </table> <p><strong>Objetivos de recuperação.</strong> O objetivo de ponto de recuperação (RPO) é de 24 horas. O objetivo de tempo de recuperação (RTO) é de 4 horas. Estes objetivos também constam do <a href="/sla/#recovery-objectives">acordo de nível de serviço</a> .</p> <p><strong>Teste de restauro.</strong> Um ensaio de restauro corre automaticamente todos os meses através de um fluxo de CI que restaura a cópia mais recente para um ambiente descartável, e a pedido através de <code>bin/backup-restore-test</code>. A atualidade das cópias de segurança é monitorizada continuamente (alerta se a cópia mais recente tiver mais de 36 horas).</p> <p><strong>Cifragem.</strong> As cópias da base de dados são cifradas em repouso pelo Hetzner Object Storage; os campos ao nível da aplicação cifrados com o Rails ActiveRecord Encryption permanecem cifrados na cópia.</p> <hr> <h2 id="revisão-operacional"> Revisão operacional <a href="#revis%c3%a3o-operacional" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Alguns materiais operacionais são partilhados durante a revisão de aprovisionamento, em vez de publicados integralmente na web aberta, porque contêm detalhes de infraestrutura e de resposta que são mais adequados a uma divulgação controlada.</p> <p>Os temas disponíveis a pedido durante o aprovisionamento incluem:</p> <ul> <li>Resumo de acesso privilegiado de produção</li> <li>Fluxo de resposta a incidentes e contactos de escalada</li> <li>Respostas sobre continuidade do negócio e cessação/exportação do cliente</li> </ul> <hr> <h2 id="divulgação-responsável"> Divulgação responsável <a href="#divulga%c3%a7%c3%a3o-respons%c3%a1vel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Se descobrir uma vulnerabilidade de segurança no EthicsPortal, comunique-a a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Pedimos que:</p> <ol> <li>Não divulgue publicamente a vulnerabilidade antes de termos tido a oportunidade de a resolver.</li> <li>Forneça detalhe suficiente para que possamos reproduzir e corrigir o problema.</li> <li>Não aceda nem modifique os dados de outros clientes.</li> </ol> <p>Confirmaremos a sua comunicação no prazo de 2 dias úteis e procuraremos resolver prontamente as vulnerabilidades confirmadas.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/about/O EthicsPortal disponibiliza um canal de denúncia interno seguro, construído na Europa, alojado na Alemanha, concebido para a Diretiva 2019/1937.<h1 id="sobre-o-ethicsportal"> Sobre o EthicsPortal <a href="#sobre-o-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Última atualização: 2026-05-24.</p> <p>A Diretiva (UE) 2019/1937 obriga todas as organizações com 50 ou mais trabalhadores a operar um canal de denúncia interno seguro e confidencial. O EthicsPortal é esse canal.</p> <hr> <h2 id="o-que-disponibilizamos"> O que disponibilizamos <a href="#o-que-disponibilizamos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>Denúncia anónima e confidencial que cumpre todos os artigos da Diretiva</li> <li>Armazenamento de dados cifrado, alojado na Hetzner em Nuremberga, Alemanha</li> <li>Acompanhamento automático dos prazos de 7 dias para acusar a receção e de 3 meses para dar seguimento</li> <li>Registo de atividades só com acrescentos, para revisão regulamentar</li> <li>Comunicação segura bidirecional entre denunciantes e gestores do caso</li> <li>Suporte multilíngue para organizações transfronteiriças</li> <li>Exportação de processos em PDF para auditores e revisão jurídica</li> </ul> <hr> <h2 id="onde-operamos"> Onde operamos <a href="#onde-operamos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal é operado a partir da Polónia, e os dados essenciais das denúncias são alojados na UE. O <a href="/directive-coverage/">mapa de cobertura da Diretiva 2019/1937</a> , a <a href="/security/">arquitetura de segurança</a> , a <a href="/subprocessors/">lista de subcontratantes</a> , o <a href="/dpa/">acordo de tratamento de dados</a> e a página de <a href="/trust/">confiança</a> estão publicados e disponíveis para consulta.</p> <ul> <li>Sem análises de terceiros nem cookies de rastreio no portal de denúncia</li> <li>Exportação completa de dados a qualquer momento (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Estado do serviço</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Canal de denúncia interno</a> para apresentar preocupações sobre o EthicsPortal ao abrigo da Diretiva 2019/1937</li> </ul> <hr> <h2 id="dados-da-empresa"> Dados da empresa <a href="#dados-da-empresa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal é operado como uma atividade registada em Varsóvia, Polónia.</p> <ul> <li><strong>Operador:</strong> Yaroslav Shmarov</li> <li><strong>Morada registada:</strong> ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia</li> <li><strong>Número de identificação fiscal (NIP):</strong> 5272755790</li> <li><strong>Contacto comercial:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> </ul> <p>Os dados completos da parte contratante, os elementos de registo e os documentos assinados estão publicados na <a href="/trust/">página de confiança</a> e são fornecidos a pedido durante o aprovisionamento.</p> <hr> <h2 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p><strong>Email:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Respondemos normalmente no prazo de um dia útil.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Ative o seu canal de denúncia interno →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/subprocessors/Serviços de terceiros que tratam dados pessoais por conta do EthicsPortal. Publicado nos termos do artigo 28.º do RGPD.<h1 id="subcontratantes"> Subcontratantes <a href="#subcontratantes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p>Os subcontratantes são terceiros que tratam dados pessoais por conta do EthicsPortal quando o EthicsPortal atua como subcontratante para as organizações-operador (responsáveis pelo tratamento). Esta lista é publicada nos termos do artigo 28.º, n.º 2, do RGPD e do acordo de tratamento de dados.</p> <p>Última atualização: 2026-06-17.</p> <hr> <h2 id="subcontratantes-atuais"> Subcontratantes atuais <a href="#subcontratantes-atuais" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <table> <thead> <tr> <th>Subcontratante</th> <th>Jurisdição</th> <th>Finalidade</th> <th>Categorias de dados</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Alemanha (UE)</td> <td>Alojamento de servidor e base de dados e armazenamento de anexos de ficheiros</td> <td>Todos os dados da aplicação: denúncias, identidade dos gestores, mensagens, registos de atividades; anexos carregados (metadados removidos antes do carregamento)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 Estados Unidos</td> <td>CDN do site de marketing e proteção contra DDoS</td> <td>Endereços IP dos visitantes e cabeçalhos dos pedidos para os pedidos do site de marketing; recursos estáticos em cache. Sem denúncias, dados de gestores ou dados de conta</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 França (UE)</td> <td>Entrega de email transacional</td> <td>Endereços de email dos gestores, notificações de código de acesso, emails de faturação</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irlanda (UE)</td> <td>Faturação de subscrições e processamento de pagamentos</td> <td>Contacto de faturação do operador, dados de pagamento tokenizados</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Países Baixos (UE)</td> <td>Rastreio de erros e monitorização do desempenho da aplicação (apenas do lado do administrador e do gestor)</td> <td>Rastreios de pilha, metadados de pedidos; os IP dos denunciantes nunca são registados</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 França (UE)</td> <td>Chat de apoio ao cliente na aplicação para gestores (carregado apenas no portal do gestor); apoia a verificação de identidade do operador (KYC). Ver nota abaixo sobre a privacidade do denunciante.</td> <td>IP do gestor, conteúdo do chat, nome e contacto da organização do operador, materiais de verificação de identidade</td> </tr> </tbody> </table> <p><strong>Privacidade do denunciante.</strong> O Crisp é carregado apenas no portal do gestor/administrador. Não está presente no site de marketing nem no portal de denúncia — a superfície onde os denunciantes submetem e dão seguimento às suas denúncias. Nenhum script, cookie ou identificador do Crisp chega às páginas dirigidas aos denunciantes. Os denunciantes nunca são rastreados pelo Crisp.</p> <p><strong>Sem subcontratante de IA ou LLM.</strong> Nenhum grande modelo de linguagem, serviço de IA generativa ou classificador baseado em IA é subcontratante do EthicsPortal. O conteúdo das denúncias, a identidade do denunciante, as mensagens dos gestores e os registos de atividades não são transmitidos à OpenAI, Anthropic, Google, Mistral ou a qualquer outro fornecedor de inferência de IA. Trata-se de um compromisso de produto, não de uma predefinição de configuração — ver o <a href="/directive-coverage/#5-confidentiality-of-identity-art-16">§5 do mapa de cobertura da Diretiva</a> para o enquadramento jurídico.</p> <p>As transferências para jurisdições fora da UE/EEE assentam em cláusulas contratuais-tipo e em salvaguardas adicionais, conforme detalhado no acordo de tratamento de dados.</p> <hr> <h2 id="o-que-conta-como-subcontratante"> O que conta como subcontratante <a href="#o-que-conta-como-subcontratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Um subcontratante é qualquer serviço de terceiros que trate dados pessoais por conta do EthicsPortal ao abrigo de um acordo de tratamento escrito. Os serviços aparecem aqui apenas se receberem, armazenarem ou transmitirem dados pessoais. As bibliotecas internas, os registos de pacotes e as dependências de compilação não são subcontratantes.</p> <hr> <h2 id="notificação-de-alterações"> Notificação de alterações <a href="#notifica%c3%a7%c3%a3o-de-altera%c3%a7%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Os operadores são notificados das adições ou alterações a esta lista com pelo menos 30 dias de antecedência face ao início do tratamento de dados pessoais por um novo subcontratante. As objeções a um subcontratante proposto podem ser apresentadas ao abrigo do acordo de tratamento de dados.</p> <hr> <h2 id="questões"> Questões <a href="#quest%c3%b5es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para questões sobre o tratamento de dados pelos subcontratantes, contacte <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pt/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pt/terms/Termos de serviço do EthicsPortal — a plataforma segura de denúncia para a conformidade na UE.<h1 id="termos-de-serviço"> Termos de serviço <a href="#termos-de-servi%c3%a7o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h1> <p><strong>Data de entrada em vigor:</strong> 22 de abril de 2026 <strong>Última atualização:</strong> 22 de abril de 2026</p> <h2 id="1-introdução"> 1. Introdução <a href="#1-introdu%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Estes Termos de serviço (“Termos”) regem a utilização que faz do EthicsPortal em <a href="https://ethicsportal.eu">ethicsportal.eu</a> (o “Serviço”). O EthicsPortal é operado por Yaroslav Shmarov, registado em ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia (“nós”, “nosso”). Os dados de base da parte contratante estão publicados na página de <a href="/trust/">confiança</a> .</p> <p>Ao criar uma conta ou utilizar o Serviço, concorda em ficar vinculado a estes Termos. Se não concordar, não utilize o Serviço.</p> <h2 id="2-descrição-do-serviço"> 2. Descrição do serviço <a href="#2-descri%c3%a7%c3%a3o-do-servi%c3%a7o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O EthicsPortal é uma plataforma segura de denúncia. O Serviço permite às organizações gerir canais de denúncia para conformidade e proteger os denunciantes.</p> <h2 id="3-elegibilidade"> 3. Elegibilidade <a href="#3-elegibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Para utilizar o Serviço, deve:</p> <ul> <li>Ter pelo menos 16 anos de idade</li> <li>Fornecer um endereço de email válido</li> <li>Ter capacidade jurídica para celebrar um contrato vinculativo</li> </ul> <p>Reservamo-nos o direito de recusar o serviço a qualquer pessoa por qualquer motivo.</p> <h2 id="4-a-sua-conta"> 4. A sua conta <a href="#4-a-sua-conta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>É responsável por manter a confidencialidade das suas credenciais de início de sessão</li> <li>É responsável por toda a atividade que ocorra na sua conta</li> <li>Deve fornecer informações exatas e completas ao criar a sua conta</li> <li>Não deve criar várias contas para a mesma pessoa</li> <li>Deve notificar-nos de imediato se suspeitar de acesso não autorizado à sua conta</li> </ul> <h2 id="5-subscrições-e-pagamentos"> 5. Subscrições e pagamentos <a href="#5-subscri%c3%a7%c3%b5es-e-pagamentos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li>As funcionalidades pagas requerem uma subscrição ativa</li> <li>As subscrições são faturadas de forma recorrente (mensal ou anual) através da <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>Não armazenamos números de cartões de crédito nem dados de contas bancárias nos nossos servidores — todo o processamento de pagamentos é tratado pela Stripe</li> <li>Os preços estão indicados no Serviço e podem ser alterados com aviso prévio</li> </ul> <h3 id="cancelamento-e-reembolsos"> Cancelamento e reembolsos <a href="#cancelamento-e-reembolsos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h3> <p>Pode cancelar a sua subscrição a qualquer momento nas definições de faturação. O cancelamento produz efeitos no fim do período de faturação em curso — mantém o acesso até essa data.</p> <p><strong>Garantia de reembolso de 30 dias.</strong> Se cancelar no prazo de 30 dias após a sua primeira cobrança paga, pode solicitar o reembolso integral desse pagamento inicial enviando um email para <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . A garantia aplica-se uma vez por organização à primeira subscrição paga e não se aplica às renovações.</p> <p>Após o período de 30 dias, as subscrições não são reembolsáveis. Não reembolsamos a parte não utilizada de um período de faturação após o cancelamento. Consulte a <a href="/refunds/">política de reembolsos</a> para mais detalhes.</p> <h2 id="6-conteúdo-do-utilizador"> 6. Conteúdo do utilizador <a href="#6-conte%c3%bado-do-utilizador" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>“Conteúdo do utilizador” inclui qualquer texto, imagem, ficheiro ou outro material que submeta ao Serviço (informação do perfil, ficheiros carregados).</p> <ul> <li>Ao submeter conteúdo ao Serviço (informação do perfil, etc.), concede-nos uma licença não exclusiva, mundial e isenta de royalties para usar, apresentar e distribuir esse conteúdo exclusivamente na medida necessária para fornecer o Serviço</li> <li>Esta licença termina quando elimina o conteúdo ou a sua conta</li> <li>Não deve submeter conteúdo que seja ilegal, infrator, difamatório, obsceno ou de outra forma prejudicial</li> </ul> <p>Reservamo-nos o direito de remover conteúdo que viole estes Termos.</p> <h2 id="7-condutas-proibidas"> 7. Condutas proibidas <a href="#7-condutas-proibidas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Concorda em não:</p> <ul> <li>Utilizar o Serviço para qualquer fim ilegal</li> <li>Recolher, rastrear ou usar meios automatizados para aceder ao Serviço sem a nossa autorização</li> <li>Criar contas falsas ou deturpar a sua identidade</li> <li>Interferir com ou perturbar o Serviço ou a sua infraestrutura</li> <li>Tentar obter acesso não autorizado às contas ou aos dados de outros utilizadores</li> <li>Utilizar o Serviço para enviar spam, phishing ou mensagens não solicitadas</li> <li>Contornar quaisquer medidas de segurança ou controlos de acesso</li> <li>Aplicar engenharia reversa, descompilar ou desmontar qualquer parte do Serviço</li> <li>Revender ou redistribuir o Serviço sem a nossa autorização</li> </ul> <h2 id="8-propriedade-intelectual"> 8. Propriedade intelectual <a href="#8-propriedade-intelectual" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>A nossa propriedade:</strong> O Serviço, incluindo o seu design, código, marca e documentação, é nosso e protegido pela legislação de propriedade intelectual aplicável. Não pode copiar, modificar ou distribuir qualquer parte do Serviço sem a nossa autorização.</li> <li><strong>A sua propriedade:</strong> Mantém todos os direitos sobre o conteúdo que submete. Não reivindicamos qualquer propriedade sobre o seu conteúdo.</li> </ul> <h2 id="9-cessação"> 9. Cessação <a href="#9-cessa%c3%a7%c3%a3o" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <ul> <li><strong>Por si:</strong> Pode eliminar a sua conta a qualquer momento nas definições da conta. Isto remove permanentemente os seus dados conforme descrito na nossa <a href="/privacy/">Política de privacidade</a> .</li> <li><strong>Por nós:</strong> Podemos suspender ou cessar a sua conta se violar estes Termos, adotar condutas proibidas ou se a lei o exigir. Faremos esforços razoáveis para o notificar antes da cessação, exceto quando for necessária uma ação imediata (por exemplo, fraude, ameaças à segurança).</li> </ul> <p>Após a cessação, o seu direito de utilizar o Serviço cessa de imediato.</p> <h2 id="10-exclusão-de-garantias"> 10. Exclusão de garantias <a href="#10-exclus%c3%a3o-de-garantias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>O Serviço é fornecido <strong>“tal como está”</strong> e <strong>“conforme disponível”</strong> sem garantias de qualquer tipo, expressas ou implícitas, incluindo, entre outras, as garantias implícitas de comercialização, adequação a um fim específico e não violação.</p> <p>Não garantimos que:</p> <ul> <li>O Serviço será ininterrupto, atempado, seguro ou isento de erros</li> <li>O Serviço cumprirá os seus requisitos específicos</li> </ul> <h2 id="11-limitação-de-responsabilidade"> 11. Limitação de responsabilidade <a href="#11-limita%c3%a7%c3%a3o-de-responsabilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Na medida máxima permitida por lei, não seremos responsáveis por quaisquer danos indiretos, incidentais, especiais, consequenciais ou punitivos, incluindo, entre outros, a perda de lucros, dados ou oportunidades de negócio.</p> <p>Na medida máxima permitida por lei, a nossa responsabilidade agregada total decorrente ou relacionada com o Serviço, estes Termos, o <a href="/dpa/">Acordo de tratamento de dados</a> ou o <a href="/sla/">Acordo de nível de serviço</a> não excederá as quantias que nos pagou pelo Serviço nos 12 meses anteriores ao facto que deu origem à reclamação.</p> <p>Nada nestes Termos exclui ou limita a responsabilidade por fraude, dolo ou qualquer responsabilidade que não possa ser excluída ou limitada ao abrigo da legislação aplicável.</p> <h2 id="12-indemnização-por-violação-de-propriedade-intelectual"> 12. Indemnização por violação de propriedade intelectual <a href="#12-indemniza%c3%a7%c3%a3o-por-viola%c3%a7%c3%a3o-de-propriedade-intelectual" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Na medida máxima permitida por lei, defenderemos o Responsável pelo tratamento contra qualquer reclamação de terceiros apresentada contra o Responsável pelo tratamento alegando que o Serviço, conforme fornecido por nós e utilizado em conformidade com estes Termos e o <a href="/dpa/">Acordo de tratamento de dados</a> , viola direitos de autor, marca ou patente exequíveis na União Europeia, e pagaremos os danos e os custos razoáveis definitivamente atribuídos contra o Responsável pelo tratamento por um tribunal competente ou acordados por nós em transação, desde que o Responsável pelo tratamento:</p> <ul> <li>Nos notifique prontamente por escrito da reclamação</li> <li>Nos conceda o controlo exclusivo da defesa e da transação da reclamação, com a cooperação razoável do Responsável pelo tratamento a nossas expensas</li> <li>Não admita responsabilidade nem resolva a reclamação sem o nosso consentimento prévio por escrito</li> </ul> <p>Esta indemnização não se aplica a reclamações decorrentes de:</p> <ul> <li>Modificações ao Serviço feitas pelo Responsável pelo tratamento ou por qualquer terceiro</li> <li>Utilização do Serviço em combinação com componentes, dados ou serviços não autorizados ou fornecidos por nós, quando a reclamação não teria surgido sem essa combinação</li> <li>Utilização do Serviço em violação destes Termos, do Acordo de tratamento de dados ou da legislação aplicável</li> <li>Utilização continuada do Serviço depois de termos disponibilizado uma alternativa não infratora ou fornecido um aviso escrito para descontinuar a utilização</li> </ul> <p>Se o Serviço se tornar, ou na nossa opinião razoável for suscetível de se tornar, objeto de uma reclamação por violação, podemos, à nossa opção e a nossas expensas, (i) obter para o Responsável pelo tratamento o direito de continuar a usar o Serviço, (ii) modificar o Serviço para deixar de ser infrator, preservando uma funcionalidade substancialmente equivalente, (iii) substituir o Serviço por uma alternativa não infratora de funcionalidade substancialmente equivalente ou (iv) quando nenhuma das opções acima for comercialmente razoável, cessar a parte afetada do Serviço e reembolsar quaisquer quantias pré-pagas pela parte não utilizada do período de faturação então em curso.</p> <p>Na medida máxima permitida por lei, esta Secção 12 enuncia a nossa responsabilidade integral, e o recurso exclusivo do Responsável pelo tratamento, no que respeita a reclamações de terceiros por violação de propriedade intelectual relativas ao Serviço. As quantias devidas ao abrigo desta Secção 12 estão sujeitas ao limite agregado de responsabilidade da Secção 11.</p> <h2 id="13-lei-aplicável-e-litígios"> 13. Lei aplicável e litígios <a href="#13-lei-aplic%c3%a1vel-e-lit%c3%adgios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Estes Termos são regidos pela lei da Polónia. Quaisquer litígios decorrentes ou relacionados com estes Termos ou com o Serviço serão submetidos à jurisdição exclusiva dos tribunais de Varsóvia, Polónia.</p> <p>Se for um consumidor residente na UE, tem também o direito de instaurar processos nos tribunais do seu país de residência.</p> <h2 id="14-alterações-a-estes-termos"> 14. Alterações a estes Termos <a href="#14-altera%c3%a7%c3%b5es-a-estes-termos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Podemos atualizar estes Termos periodicamente. Quando fizermos alterações materiais, notificá-lo-emos por email ou através de uma notificação na aplicação com pelo menos 14 dias de antecedência face à produção de efeitos das alterações.</p> <p>A sua utilização continuada do Serviço após a entrada em vigor dos Termos atualizados constitui a sua aceitação das alterações. Se não concordar com os Termos atualizados, pode eliminar a sua conta.</p> <h2 id="15-divisibilidade"> 15. Divisibilidade <a href="#15-divisibilidade" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Se alguma disposição destes Termos for considerada inexequível, as restantes disposições mantêm-se em pleno vigor e efeito.</p> <h2 id="16-contacte-nos"> 16. Contacte-nos <a href="#16-contacte-nos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Ligação para esta secção">#</a> </h2> <p>Se tiver questões sobre estes Termos, contacte-nos:</p> <p><strong>Email:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Segurança:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Localização:</strong> Varsóvia, Polónia</p> <p>Os DPA assinados, os elementos de registo e os materiais de revisão de aprovisionamento estão disponíveis a pedido durante o aprovisionamento.</p>support@ethicsportal.eu (EthicsPortal)