Política de Privacidade
Como a Kuata recolhe, trata, armazena, partilha e protege os seus dados pessoais
Versão 1.0 · Data de entrada em vigor: 1 de maio de 2026
1. Sobre Esta Política & Enquadramento Legal
Esta Política de Privacidade ("Política") explica como a Kuata Tecnologias Lda. ("Kuata", "nós", "nos", "nosso") trata dados pessoais quando utiliza a aplicação de carteira de identidade digital da Kuata ("App") ou visita o nosso website (kuata.ao). Aplica-se a todos os utilizadores que sejam cidadãos ou residentes de Angola e, por extensão, a qualquer utilizador cujos dados possam estar sujeitos ao Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD), em virtude da sua nacionalidade, residência ou da localização do tratamento dos dados.
A Kuata opera sob um enquadramento duplo de conformidade, assegurando que todo o tratamento de dados cumpre simultaneamente a legislação angolana e normas internacionalmente reconhecidas de melhores práticas:
Instrumento Legal | Jurisdição / Norma | Relevância para a Kuata |
|---|---|---|
Lei n.o 22/11 de 17 de Junho — Lei de Proteção de Dados Pessoais | República de Angola (principal) | Base jurídica principal para todo o tratamento de dados pessoais em Angola |
RGPD — Regulamento (UE) 2016/679 | União Europeia / melhores práticas internacionais | Aplicado como norma internacional; rege quaisquer dados de utilizadores residentes na UE |
Lei 5/20 de 27 de janeiro de 2020 — PBC/FT | República de Angola | Recolha e retenção de dados KYC; obrigações de arquivo por 10 anos |
Lei 40/20 de 16 de dezembro de 2020 — Sistema Nacional de Pagamentos | República de Angola | Requisitos de tratamento de dados para iniciação de pagamentos |
ISO/IEC 27001:2022 — Gestão da Segurança da Informação | Norma internacional | Controlos de segurança que regem a proteção de dados; certificação-alvo |
ISO/IEC 27701:2019 — Gestão da Informação de Privacidade | Norma internacional | Extensão do sistema de gestão de privacidade à ISO 27001 |
Aviso BNA 02/24 e Instrução 05/24 | República de Angola | Deveres de diligência devida do cliente e supervisão PBC/FT |
2. Identidade e Contacto do Responsável pelo Tratamento
O responsável pelo tratamento dos seus dados pessoais é:
Kuata Tecnologias Lda. | Registada em Angola | Luanda [ENDEREÇO COMPLETO — A COMPLETAR] | N.º de Registo da Empresa: [A COMPLETAR] | privacy@kuata.ao | Responsável pela Conformidade: [NOME — A COMPLETAR]
Para questões sobre esta Política ou para exercer os seus direitos, contacte o nosso Responsável pela Conformidade através de privacy@kuata.ao. Respondemos no prazo de 30 dias corridos, em conformidade com o artigo 12 da Lei 22/11 e com o artigo 12(3) do RGPD.
Base jurídica: Lei 22/11 Art. 5 (definição de responsável pelo tratamento); RGPD Art. 4(7), Art. 13(1)(a)
3. Dados que Recolhemos & Porquê — Inventário Abrangente
Aplicamos o princípio da minimização de dados: recolhemos apenas os dados estritamente necessários para a finalidade específica e declarada. O inventário completo dos dados pessoais que recolhemos encontra-se abaixo.
3.1 Dados de Identidade & Registo Inicial
Base jurídica: Lei 22/11 Art. 7 (limitação da finalidade); RGPD Art. 5(1)(b); Lei 5/20 Art. 8 (obrigações de DDC)
Elemento de Dados | Fonte | Finalidade | Base Jurídica |
|---|---|---|---|
Nome completo legal | API DNIRN / introdução pelo utilizador | Verificação de identidade; personalização da carteira | Lei 22/11 Art. 7(b); RGPD Art. 6(1)(b) |
Data de nascimento | API DNIRN | Verificação de elegibilidade etária; DDC PBC | Lei 5/20 Art. 8; RGPD Art. 6(1)(c) |
Género | API DNIRN | Precisão na apresentação do documento | Lei 22/11 Art. 7(b); RGPD Art. 6(1)(b) |
Número de BI & validade | Utilizador / API DNIRN | Verificação de documento governamental; KYC PBC | Lei 5/20 Art. 8; RGPD Art. 6(1)(c) |
Morada de residência | API DNIRN / introdução pelo utilizador | DDC PBC; registos de conta | Lei 5/20 Art. 8; RGPD Art. 6(1)(c) |
Número de telefone (verificado por OTP) | Introdução pelo utilizador + OTP | Acesso à conta; autenticação; notificações | Lei 22/11 Art. 7(b); RGPD Art. 6(1)(b) |
Endereço de email (opcional) | Introdução pelo utilizador | Notificações; comunicações de suporte | RGPD Art. 6(1)(a) — consentimento |
Hash biométrico (NÃO a imagem) | Enclave seguro do dispositivo — apenas no dispositivo | Autenticação biométrica; assinatura de documentos | Lei 22/11 Art. 22 (biometrias); RGPD Art. 9(2)(a) |
Dados de atestação do dispositivo | Android SafetyNet / iOS DeviceCheck | Prevenção de fraude; monitorização de dispositivos para PBC | Lei 5/20 Art. 8; RGPD Art. 6(1)(c) |
3.2 Documentos Armazenados na Carteira
Base jurídica: Lei 22/11 Art. 7(b); RGPD Art. 6(1)(b) (execução do contrato); Lei 40/20
Tipo de Documento | API de Origem Governamental | Elementos de Dados Armazenados | Retenção |
|---|---|---|---|
Carta de Condução | Ministério dos Transportes | Número da carta, classe, datas de emissão/validade, restrições | Duração da conta + 10 anos |
Registo de Veículo | Ministério dos Transportes | Matrícula, chassis, marca, modelo, nome do proprietário, validade do registo | Duração da conta + 10 anos |
Cartão de Seguro | API da seguradora / carregamento pelo utilizador | Número da apólice, seguradora, tipo de cobertura, datas de validade | Duração da conta + 10 anos |
Passaporte | SME (Migração e Estrangeiros) | Número do passaporte, nacionalidade, emissão/validade, dados de visto | Duração da conta + 10 anos |
Certidão de Nascimento | DNIRN | N.º de registo, nomes, data/local de nascimento, conservador | Duração da conta + 10 anos |
Certidão de Casamento | DNIRN | N.º de registo, partes, data/local, regime | Duração da conta + 10 anos |
Cartões de Fidelização | Introdução pelo utilizador / API do parceiro | Número do cartão, nome do programa, nome do membro | Até ser removido pelo utilizador |
3.3 Dados de Transação & Iniciação de Pagamento
Base jurídica: Lei 22/11 Art. 7(b); Lei 40/20 Art. 18; RGPD Art. 6(1)(b) e (c); Aviso BNA 02/24
A Kuata é apenas uma iniciadora de pagamento por intermediário. Não armazenamos números de cartão, números de conta bancária nem saldos financeiros. Registamos apenas os metadados de iniciação necessários para conformidade e resolução de litígios:
Nome e categoria do fornecedor/credor (por exemplo, EDEL, EPAL, Movicel)
Número de referência de pagamento (tal como introduzido pelo utilizador)
Montante e moeda da iniciação (AOA)
Carimbo temporal (data e hora da iniciação, em UTC e WAT)
Código de confirmação EMIS (referência de liquidação devolvida pela EMIS)
ID da sessão do dispositivo (token criptográfico de sessão — não um ID persistente do dispositivo)
Estado do pagamento (Confirmado / Pendente / Falhado)
Identificador da conta do utilizador (ID interno pseudónimo — não o número de BI)
A Kuata nunca vê, armazena nem transmite o seu número de conta bancária, número de cartão ou saldo de conta. A liquidação decorre diretamente do seu banco para o credor através da infraestrutura EMIS/Multicaixa.
3.4 Registos de Verificação pelas Autoridades Policiais (Histórico de Paragens)
Base jurídica: Lei 22/11 Art. 7(c) (interesse legítimo / obrigação legal); RGPD Art. 6(1)(c); Lei 5/20
Quando um agente da polícia verifica os seus documentos, a Kuata cria um registo de paragem à prova de adulteração na sua carteira. Este registo é seu — não é partilhado com as autoridades policiais sem o seu consentimento explícito ou uma ordem legal válida. Os registos de paragem contêm:
Data, hora e duração da paragem
Coordenadas GPS (opcional — pode desativar o registo de localização nas Definições)
Morada ou identificador da via (localização legível por humanos, quando disponível)
Identificador da unidade do agente (número do distintivo com hash — não armazenado em texto simples)
Nome da esquadra / unidade (tal como declarado pelo dispositivo verificador)
Documentos verificados durante a paragem
Motivo da paragem (tal como introduzido pelo agente no dispositivo verificador)
Resultado da paragem (por exemplo, Liberto sem ação, Advertência emitida, Referência de multa)
Assinatura criptográfica de todo o evento (à prova de adulteração; assinada pelo PKI da Kuata)
Notas adicionadas pelo utilizador (texto livre, acrescentado após a paragem — não visível a terceiros)
Sinalização de litígio (se levantada pelo utilizador — encaminha para canal de supervisão)
3.5 Utilização da App & Dados Técnicos
Base jurídica: Lei 22/11 Art. 7(b) e (f); RGPD Art. 6(1)(f) — interesse legítimo (melhoria do serviço e segurança)
Tipo de Dados | Finalidade | Anónimos? | Retenção |
|---|---|---|---|
Eventos de interação com funcionalidades | Melhoria do produto | Sim — sem ID de utilizador associado | 2 anos |
Registos de falhas / erros | Estabilidade e depuração | Sim | 2 anos |
Versão da App e versão do sistema operativo | Gestão de compatibilidade | Sim | 2 anos |
Registos de eventos de segurança (tentativas de autenticação falhadas, padrões invulgares) | Prevenção de fraude; monitorização PBC | Não — associado à conta para investigação | 10 anos (obrigação PBC) |
Estado de entrega de notificações push | Fiabilidade das notificações | Sim | 90 dias |
3.6 Dados que NÃO Recolhemos — Exclusões Explícitas
Base jurídica: Lei 22/11 Art. 19 (restrições a dados sensíveis); RGPD Art. 9
A Kuata não recolhe, trata nem armazena expressamente as seguintes categorias de dados:
Imagens biométricas (fotografias, leituras de impressões digitais) — apenas hashes criptográficos gerados pelo dispositivo, armazenados exclusivamente no enclave seguro do dispositivo
Números de cartão, números de conta bancária, IBAN ou números de encaminhamento
Saldos de conta ou dados de posição financeira
Gravações de áudio ou vídeo de qualquer natureza
Conteúdo de comunicações (SMS, mensagens, emails entre utilizadores)
Dados de saúde, médicos ou genéticos (exceto se um cartão de seguro de saúde for adicionado voluntariamente — limitado apenas aos metadados da apólice)
Opiniões políticas, crenças religiosas ou filiação sindical
Dados de condenações penais (para além do que consta em documentos emitidos pelo governo)
Dados de crianças — a App destina-se a utilizadores com 18 anos ou mais
Dados recolhidos em redes sociais ou de corretores de dados terceiros
4. Bases Jurídicas para o Tratamento
A Kuata baseia-se nas seguintes bases jurídicas para o tratamento de dados pessoais, conforme definidas pela Lei 22/11 e pelo RGPD:
Base Jurídica | Disposição da Lei 22/11 | Fundamento no Art. 6 do RGPD | Atividades de Tratamento Abrangidas |
|---|---|---|---|
Execução de contrato | Art. 7(b) | Art. 6(1)(b) | Verificação de identidade, armazenamento de documentos, iniciação de pagamentos, funcionamento da carteira |
Obrigação legal | Art. 7(c) | Art. 6(1)(c) | Conformidade PBC/KYC (Lei 5/20), obrigações de pagamento BNA (Lei 40/20), retenção de registos por 10 anos |
Interesse legítimo | Art. 7(f) | Art. 6(1)(f) | Análises agregadas anónimas, deteção de fraude, melhorias de segurança do produto |
Consentimento (explícito) | Art. 7(a) | Art. 6(1)(a) | Endereço de email opcional; alternância analítica opcional; GPS opcional no histórico de paragens |
Interesse vital (emergência) | Art. 7(d) | Art. 6(1)(d) | Divulgação de emergência às autoridades policiais quando a vida estiver em risco |
Para o tratamento de dados de hash biométrico (uma categoria especial ao abrigo tanto do Art. 22 da Lei 22/11 como do Art. 9 do RGPD), a base jurídica é o consentimento explícito e informado, obtido no registo inicial através de um fluxo de consentimento separado e granular. Pode retirar o consentimento biométrico a qualquer momento; a sua carteira passará a autenticação apenas por PIN.
Base jurídica: Lei 22/11 Art. 22; RGPD Art. 9(2)(a)
5. Como Utilizamos os Seus Dados — Limitação da Finalidade
Base jurídica: Lei 22/11 Art. 5(b) (limitação da finalidade); RGPD Art. 5(1)(b)
5.1 Finalidades Principais — Porque Recolhemos os Dados
Fornecer, operar e manter a carteira de identidade digital e todas as suas funções
Verificar a sua identidade junto dos registos governamentais (DNIRN, Ministério dos Transportes, SME)
Gerar documentos digitais assinados criptograficamente e equivalentes aos emitidos pelo governo
Permitir a verificação segura de documentos offline e online (código QR, NFC)
Iniciar pagamentos de contas em seu nome via EMIS/Multicaixa — estritamente como intermediário
Manter o seu histórico de paragens à prova de adulteração e o rasto de auditoria de verificação
Enviar-lhe notificações de validade de documentos e alertas de segurança
Cumprir as obrigações PBC/FT ao abrigo da Lei 5/20 e dos regulamentos do BNA
5.2 Finalidades Secundárias — Utilização Compatível
Apenas utilizamos os seus dados para finalidades secundárias quando essas finalidades forem compatíveis com a finalidade principal e quando se aplique, pelo menos, uma base jurídica. Utilizações secundárias compatíveis atualmente:
Análises agregadas anónimas para compreender a utilização das funcionalidades (sem identificação individual)
Investigação de segurança e análise de padrões de fraude (apenas dados pseudonimizados)
Defesa jurídica ou resposta regulatória (quando exigido por lei)
5.3 Utilizações Proibidas — Nunca Iremos
Vender, alugar ou transferir os seus dados pessoais a terceiros para ganho comercial
Utilizar os seus dados para segmentação publicitária, perfis comportamentais ou leilões de anúncios
Partilhar o seu histórico de paragens com qualquer autoridade governamental sem uma ordem legal válida
Tratar os seus dados para tomada de decisões automatizada que produza efeitos legais sem revisão humana
Combinar os seus dados com corretores de dados externos ou perfis de redes sociais
Tratar os seus dados para qualquer finalidade não declarada nesta Política sem aviso prévio e, quando exigido, sem consentimento
6. Partilha de Dados & Divulgação a Terceiros
Base jurídica: Lei 22/11 Art. 14 (transferência de dados); RGPD Art. 13(1)(e), Art. 28
6.1 Integrações com Registos Governamentais (Apenas Verificação)
Quando adiciona ou atualiza um documento, a Kuata transmite o identificador mínimo necessário para a API do registo governamental relevante. Recebemos apenas os campos de dados necessários para preencher a sua carteira. Não enviamos dados para esses registos para além do que é exigido para verificação:
DNIRN (Direção Nacional de Identificação, Registo e Notariado) — BI, certidões de nascimento/casamento
Ministério dos Transportes / DNDT — carta de condução, registo de veículo
SME (Serviço de Migração e Estrangeiros) — passaporte, documentos de viagem
6.2 EMIS / Multicaixa — Iniciação de Pagamento
Para iniciações de pagamento, a Kuata transmite os seguintes dados à EMIS: instrução de pagamento (código do credor, referência, montante), token de sessão e carimbo temporal. A Kuata não transmite o seu nome, BI, morada ou credenciais bancárias à EMIS. A EMIS trata estes dados na qualidade de responsável pelo tratamento independente ao abrigo da regulamentação do BNA. Consulte os próprios termos de tratamento de dados da EMIS para conhecer as respetivas obrigações.
6.3 Fornecedor de Infraestrutura Cloud
Os servidores da Kuata estão alojados num fornecedor de infraestrutura cloud com centros de dados localizados em Angola ou em jurisdições com normas adequadas de proteção de dados reconhecidas ao abrigo da Lei 22/11. O fornecedor cloud atua como subcontratante ao abrigo de um Acordo de Tratamento de Dados (DPA) por escrito que cumpre os requisitos do Art. 14 da Lei 22/11 e do Art. 28 do RGPD. O fornecedor cloud não pode tratar os seus dados para as suas próprias finalidades.
6.4 Subcontratantes de Serviços Terceiros
A Kuata recorre às seguintes categorias de subcontratantes de dados, cada uma vinculada por um DPA escrito:
Categoria de Subcontratante | Finalidade | Dados Partilhados | Salvaguarda Contratual |
|---|---|---|---|
Fornecedor de alojamento cloud | Infraestrutura | Dados encriptados em repouso | DPA + residência de dados angolana |
SDK de verificação de identidade | Tratamento biométrico no dispositivo | Nenhum — apenas no dispositivo | Licença do SDK + termos de isolamento de dados |
Ferramenta de reporte de falhas (anonimizada) | Estabilidade da App | Registos de erro anonimizados | DPA + termos de anonimização de dados |
Fornecedor de triagem PBC/sanções | Verificações PEP/sanções | Apenas nome e data de nascimento | DPA + confidencialidade |
Serviço de email / notificações | Apenas notificações do sistema | Endereço de email (se fornecido) | DPA + sem utilização para marketing |
6.5 Divulgação Legal às Autoridades
A Kuata pode divulgar dados pessoais ao Banco Nacional de Angola (BNA), à Unidade de Informação Financeira (UIF), aos tribunais ou às autoridades policiais apenas quando:
Exigido por uma ordem legal válida, específica e por escrito ao abrigo da lei angolana
Solicitado pelo BNA no exercício dos seus poderes de supervisão ao abrigo da Lei 40/20
Solicitado pela UIF ao abrigo da Lei 5/20 para efeitos de PBC/FT
Necessário para prevenir um risco iminente para a vida (fundamento de interesses vitais)
Notificá-lo-emos de qualquer divulgação deste tipo sempre que estivermos legalmente autorizados a fazê-lo. Contestaremos quaisquer pedidos excessivamente amplos ou juridicamente defeituosos.
Base jurídica: Lei 22/11 Art. 7(c); RGPD Art. 6(1)(c); Lei 5/20 Art. 30
6.6 Transferências Internacionais de Dados
A principal residência de dados da Kuata é Angola. Caso quaisquer dados sejam tratados fora de Angola, asseguramos proteção adequada através de:
Cláusulas contratuais-tipo (SCCs) alinhadas com as normas de adequação do RGPD
Regras vinculativas aplicáveis às empresas, quando aplicável
Decisões de adequação reconhecidas pela Agência de Proteção de Dados (APD) de Angola
Não transferimos dados pessoais para países ou organizações que não proporcionem um nível adequado de proteção de dados equivalente à legislação angolana.
Base jurídica: Lei 22/11 Art. 14; RGPD Art. 44–49
7. Calendário de Retenção e Eliminação de Dados
Base jurídica: Lei 22/11 Art. 12 (limitação da conservação); RGPD Art. 5(1)(e); Lei 5/20 Art. 30; orientação supervisória do BNA
Conservamos os seus dados pessoais apenas durante o tempo necessário para a finalidade declarada, e nunca mais do que isso. O seguinte calendário rege todas as decisões de retenção:
Categoria de Dados | Período de Retenção | Base Jurídica para a Retenção | Método de Eliminação |
|---|---|---|---|
Registos KYC / identidade (BI, dados biográficos) | 10 anos a partir do encerramento da conta | Lei 5/20 Art. 30 (obrigatório PBC) | Apagamento criptográfico das chaves de encriptação |
Registos de iniciação de pagamentos | 10 anos a partir da transação | Lei 5/20 / Lei 40/20 / BNA | Apagamento criptográfico |
Alertas e resoluções PBC/FT | 10 anos a partir do evento | Lei 5/20 Art. 30 | Apagamento criptográfico |
Registos e evidências de suporte para STR | 10 anos a partir do envio | Lei 5/20 Art. 30 | Apagamento criptográfico — restrito |
Registos de histórico de paragens | 10 anos a partir do evento | Lei 22/11 (rasto de auditoria) | Apagamento criptográfico |
Registos de eventos de verificação (não policiais) | 5 anos | Interesse legítimo | Eliminação segura |
Registos de eventos de segurança (autenticação, fraude) | 10 anos | Lei 5/20 / segurança | Apagamento criptográfico |
Análises anonimizadas | 2 anos | Interesse legítimo | Eliminação padrão |
Registos de falhas/erros (anonimizados) | 2 anos | Interesse legítimo | Eliminação padrão |
Endereço de email (opcional) | Até retirada ou eliminação da conta | Consentimento | Imediata mediante pedido |
Tokens de sessão | 15 minutos de inatividade / término de sessão | Execução do contrato | Expiração automática |
Nota: A obrigação de retenção PBC/FT por 10 anos (Lei 5/20 Art. 30) é obrigatória. Mesmo que elimine a sua conta, estes registos específicos têm de ser mantidos pela Kuata em arquivos encriptados e operacionalmente inacessíveis. Não são utilizados para qualquer finalidade ativa após o encerramento da conta.
8. Os Seus Direitos enquanto Titular dos Dados
Base jurídica: Capítulo III da Lei 22/11; RGPD Art. 15–22; RGPD Art. 77
Tem direitos abrangentes sobre os seus dados pessoais ao abrigo da legislação angolana e, quando aplicável, do RGPD. Todos os pedidos devem ser enviados para privacy@kuata.ao. Responderemos no prazo de 30 dias corridos. Pedidos complexos ou de elevado volume podem ser prorrogados por mais 60 dias, com notificação escrita.
O Seu Direito | O Que Significa | Como Exercer | Limitações |
|---|---|---|---|
Direito de Acesso (Art. 15 RGPD / Lei 22/11 Art. 11) | Receber uma cópia completa de todos os dados pessoais que mantemos sobre si | Email privacy@kuata.ao — "Pedido de Acesso a Dados" | É necessária verificação de identidade |
Direito de Retificação (Art. 16 RGPD / Lei 22/11 Art. 13) | Corrigir dados pessoais inexatos ou incompletos | Email ou Definições na App | Os dados provenientes de registos governamentais têm de ser corrigidos na fonte |
Direito ao Apagamento / Direito a ser Esquecido (Art. 17 RGPD / Lei 22/11 Art. 14) | Eliminar os seus dados pessoais | Gestão da Conta > Eliminar Conta | A obrigação de retenção PBC por 10 anos prevalece sobre o apagamento dos registos de conformidade |
Direito à Limitação do Tratamento (Art. 18 RGPD) | Limitar a forma como tratamos os seus dados enquanto um litígio é resolvido | Email privacy@kuata.ao — "Pedido de Limitação" | Não é possível limitar o tratamento legalmente obrigatório |
Direito à Portabilidade dos Dados (Art. 20 RGPD / Lei 22/11 Art. 16) | Receber os seus dados num formato estruturado e legível por máquina (JSON ou PDF) | Definições > Conta > Exportar os Meus Dados | Aplica-se aos dados que forneceu; não a registos de conformidade derivados |
Direito de Oposição (Art. 21 RGPD / Lei 22/11 Art. 15) | Opor-se ao tratamento com base em interesse legítimo | Email privacy@kuata.ao — "Pedido de Oposição" | Não é possível opor-se ao tratamento legalmente obrigatório |
Direito de Retirar o Consentimento (Art. 7(3) RGPD) | Retirar o consentimento para tratamento opcional (email, análises, GPS) | Definições > Privacidade a qualquer momento | A retirada não afeta o tratamento anterior |
Direito de Não Estar Sujeito a Decisões Automatizadas (Art. 22 RGPD) | Revisão humana de qualquer decisão que o afete significativamente | Contacte privacy@kuata.ao | A avaliação de risco PBC envolve revisão humana pelo Responsável pela Conformidade |
Direito de Apresentar Reclamação (Art. 77 RGPD / Lei 22/11 Art. 27) | Reclamar junto da autoridade de controlo | Agência de Proteção de Dados (APD), Angola — www.apd.ao | UE: autoridade nacional de proteção de dados relevante | Sem restrições |
9. Medidas de Segurança — Técnicas e Organizacionais
Base jurídica: Lei 22/11 Art. 17 (segurança dos dados); RGPD Art. 32; ISO/IEC 27001:2022; ISO/IEC 27701:2019
A Kuata implementa controlos de segurança alinhados com a ISO/IEC 27001:2022 (certificação-alvo) e a ISO/IEC 27701:2019 (Gestão da Informação de Privacidade). A nossa arquitetura de segurança inclui:
9.1 Encriptação
Dados em repouso: encriptação AES-256 para todos os dados pessoais armazenados e registos de conformidade
Dados em trânsito: TLS 1.3 para todas as comunicações API entre a App, os servidores e as APIs governamentais
Chaves biométricas: geradas e armazenadas exclusivamente no enclave seguro de hardware do dispositivo (Android StrongBox / iOS Secure Enclave) — os servidores da Kuata nunca guardam nem tratam material biométrico
Assinatura de documentos: JSON Web Signatures (JWS) com RS256 (RSA-PKCS#1 v1.5 / SHA-256) utilizando chaves do dispositivo com atestação de hardware
Encriptação de arquivo: AES-256 com chaves geridas por módulo de segurança de hardware (HSM); rotação obrigatória das chaves a cada 12 meses
9.2 Controlo de Acesso
Arquitetura de conhecimento zero para dados biométricos — a Kuata não pode aceder a material biométrico mesmo sob imposição legal
Controlo de acesso baseado em funções (RBAC) para todo o pessoal — apenas com necessidade de saber
Sem acesso da equipa de engenharia a dados pessoais de produção
Autenticação multifator para todo o acesso administrativo ao sistema
Gestão de acesso privilegiado (PAM) para o Responsável pela Conformidade e administradores de infraestrutura
9.3 Segurança de Infraestrutura e Operacional
Residência de dados em Angola — todos os dados pessoais armazenados em Angola ou em jurisdições com proteção adequada
Registos de auditoria à prova de adulteração e apenas de adição para todos os registos críticos de conformidade
Deteção de intrusões e monitorização de segurança (SIEM)
Testes anuais de penetração por empresa independente de segurança de terceiros
Programa formal de divulgação de vulnerabilidades e gestão de correções
Objetivo de certificação ISO 27001: T2 2027; objetivo SOC 2 Type II: T4 2027
9.4 Resposta a Incidentes
Em caso de violação de dados pessoais, a Kuata irá:
Notificar a APD no prazo de 72 horas após tomar conhecimento, conforme exigido pelo Art. 33 do RGPD e pelo Art. 25 da Lei 22/11, quando a violação for suscetível de resultar num risco para os indivíduos
Notificar os indivíduos afetados sem demora injustificada quando a violação for suscetível de resultar num risco elevado para os seus direitos e liberdades (Art. 34 RGPD / Art. 26 da Lei 22/11)
Manter um registo de violações que documente todos os incidentes, impactos e medidas corretivas
Realizar uma revisão pós-incidente e implementar controlos corretivos
Base jurídica: Lei 22/11 Art. 25–26; RGPD Art. 33–34; ISO/IEC 27001:2022 Anexo A.5.24–5.28
10. Dados de Crianças
Base jurídica: Lei 22/11; RGPD Art. 8
A App Kuata destina-se exclusivamente a utilizadores com 18 anos ou mais. Não recolhemos intencionalmente dados pessoais de indivíduos com menos de 18 anos. O processo de registo inicial requer um Bilhete de Identidade válido, que ao abrigo da lei angolana é emitido a adultos. Se descobrirmos que um utilizador tem menos de 18 anos, suspenderemos imediatamente a conta e eliminaremos todos os dados associados no prazo de 30 dias, conservando apenas os registos de conformidade legalmente obrigatórios.
Se acreditar que um menor se registou, contacte imediatamente privacy@kuata.ao.
11. Tomada de Decisão Automatizada & Perfilagem
Base jurídica: RGPD Art. 22; Lei 22/11 Art. 15
A Kuata utiliza sistemas automatizados para as seguintes finalidades limitadas:
Monitorização de transações PBC — a deteção automatizada de padrões gera alertas para revisão humana pelo Responsável pela Conformidade. Não é tomada qualquer ação sobre a conta sem validação humana.
Autenticação biométrica — comparação automatizada um-para-um entre a sua biometria ao vivo e o seu hash registado. Esta é uma função de segurança, não uma atividade de perfilagem.
Sincronização do estado dos documentos — verificação automatizada das APIs de registo governamental para atualizar a validade dos documentos. Isto reflete dados oficiais do governo, não uma avaliação da Kuata.
A Kuata não utiliza perfilagem para decisões comerciais, de crédito ou de elegibilidade. Qualquer sinalização automatizada que possa resultar na suspensão da conta é revista pelo Responsável pela Conformidade antes de ser tomada qualquer ação.
12. Alterações a Esta Política
Notificá-lo-emos de alterações materiais a esta Política de Privacidade:
Via notificação push na App, pelo menos 14 dias antes da data de entrada em vigor
Via email (quando tenha fornecido um endereço de email), pelo menos 14 dias antes da data de entrada em vigor
Via um banner de destaque em kuata.ao
A continuação da utilização da App após a data de entrada em vigor de uma alteração material constitui aceitação da Política atualizada. Para alterações que exijam novo consentimento (por exemplo, novas finalidades de tratamento, novos dados de categoria especial), apresentaremos um novo fluxo de consentimento antes de prosseguir.
Todas as versões anteriores desta Política estão arquivadas e disponíveis mediante pedido para privacy@kuata.ao.
13. Lei Aplicável & Autoridade de Controlo
Esta Política rege-se pelas leis da República de Angola, principalmente pela Lei n.o 22/11 de 17 de Junho. Para utilizadores na União Europeia ou cujos tratamentos de dados se enquadrem no RGPD, as disposições do RGPD também se aplicam, e a autoridade nacional de controlo da UE relevante tem jurisdição.
A autoridade de controlo competente para Angola é:
Agência de Proteção de Dados (APD) — República de Angola | Website: www.apd.ao | [MORADA — A CONFIRMAR COM A CONSULTA JURÍDICA]
Os litígios relacionados com esta Política estão sujeitos à jurisdição dos tribunais de Luanda, Angola, sem prejuízo dos direitos dos utilizadores residentes na UE de apresentar reclamações perante a sua autoridade de controlo local ou os tribunais competentes.
14. Contacto & Exercício dos Seus Direitos
Responsável pelo Tratamento: Kuata Tecnologias Lda. | Responsável pela Conformidade: [NOME — A COMPLETAR] | Email: privacy@kuata.ao | Morada: [MORADA REGISTADA EM LUANDA — A COMPLETAR] | Prazo de resposta: 30 dias corridos