Política de Privacidade
Last Message — ultimamensagem.com
Última actualização: 23 de Maio de 2026
A tua privacidade é o nosso compromisso central. O Last Message (adiante "Serviço") trata dados pessoais sensíveis — mensagens, documentos e relações pessoais que pretendes preservar para o momento certo. Esta Política explica, de forma clara e em conformidade com o Regulamento (UE) 2016/679 (RGPD) e com a Lei n.º 58/2019, de 8 de Agosto, que dados recolhemos, com que finalidades, com que base legal, com quem partilhamos e quais os teus direitos.
Esta Política deve ser lida em conjunto com os nossos Termos de Utilização.
1. Responsável pelo tratamento
O responsável pelo tratamento dos teus dados pessoais é:
- Denominação social: [NOME LEGAL DA EMPRESA]
- NIPC/NIF: [NÚMERO]
- Sede: [MORADA POSTAL COMPLETA]
- Email: info@ultimamensagem.com
- Website: https://ultimamensagem.com
Encarregado de Protecção de Dados (DPD). Para questões específicas de protecção de dados podes contactar: [NOME DO DPD ou "privacidade@ultimamensagem.com"]. A nomeação formal de DPD não é obrigatória na fase actual; quando o for por força do art. 37.º do RGPD, será comunicada aqui.
2. Dados que recolhemos
Recolhemos apenas o estritamente necessário para o Serviço funcionar:
2.1. Dados de conta
- Nome (indicado por ti, pode ser pseudónimo)
- Endereço de email (utilizado para autenticação, Ping de vida e comunicações)
- Palavra-passe — nunca guardada em texto simples; protegida por hash robusto com sal (algoritmo
bcryptou equivalente) - Idioma e preferências de conta
2.2. Conteúdo de mensagens
- Título e corpo das mensagens em texto — cifrados em repouso com
XChaCha20-Poly1305(libsodium), com nonce único por mensagem - Anexos — imagens, vídeos, áudios e documentos que decidires juntar, igualmente cifrados em disco e apenas decifrados no momento da entrega autorizada
- Foto de perfil — opcional, também cifrada
2.3. Pessoas que indicas
- Destinatários — nome e email das pessoas a quem queres que as mensagens cheguem
- Guardiões — nome e email das pessoas que confirmam a tua ausência prolongada (opcional)
Importante: ao indicar terceiros (Destinatários ou Guardiões), o Utilizador declara ter informado essas pessoas ou ter base legítima para o fazer. A Empresa pode notificar essas pessoas para lhes dar a oportunidade de oposição.
2.4. Dados de funcionamento
- Data do último Ping de vida e do próximo agendado
- Configurações de entrega — datas, condições, regras
- Estado das mensagens — pendente, pausada, entregue
2.5. Dados técnicos e logs
- Endereço IP, data/hora e tipo de acções relevantes para segurança (login, criação/edição de mensagens, alteração de configurações)
- Informação básica do dispositivo/browser (user-agent), para detecção de fraude e suporte técnico
2.6. Cookies
Utilizamos apenas cookies estritamente necessários ao funcionamento do Serviço:
LMSESSID— cookie técnico de sessão para te manter autenticado. Marcado comoSecure,HttpOnlyeSameSite=Lax.- Não utilizamos cookies de marketing, publicidade, rastreio comportamental, <em>fingerprinting</em> ou analytics de terceiros.
2.7. Dados de pagamento
Os dados de pagamento (cartão, conta bancária) são tratados directamente pelo processador de pagamentos (actualmente PayPal). A Empresa não armazena nem tem acesso a esses dados; apenas regista a referência da transacção, o estado e o plano contratado.
3. Finalidades e bases legais do tratamento
Tratamos os teus dados pessoais para as seguintes finalidades, com a respectiva base legal nos termos do art. 6.º do RGPD:
| Finalidade | Base legal |
|---|---|
| Criar e gerir a tua conta de Utilizador | Execução de contrato — art. 6.º, n.º 1, al. b) |
| Guardar e cifrar as tuas mensagens e anexos | Execução de contrato — al. b) |
| Enviar o Ping de vida e processar a tua resposta | Execução de contrato — al. b) |
| Contactar Destinatários e Guardiões nos momentos certos | Execução de contrato — al. b) |
| Processar subscrições e pagamentos | Execução de contrato — al. b) |
| Cumprir obrigações fiscais, contabilísticas e legais | Obrigação legal — art. 6.º, n.º 1, al. c) |
| Prevenir abuso, fraude e ataques informáticos | Interesse legítimo — art. 6.º, n.º 1, al. f) |
| Responder a pedidos de suporte | Interesse legítimo / execução de contrato |
| Defender direitos em processos judiciais ou administrativos | Interesse legítimo — al. f) |
Quanto ao interesse legítimo: a Empresa avalia previamente o equilíbrio entre o interesse prosseguido e os direitos e liberdades dos titulares dos dados. Tens o direito de te opor a tratamentos baseados em interesse legítimo, nos termos da secção 8.
4. Tratamento das mensagens após o teu falecimento ou ausência prolongada
Esta é a particularidade central do Last Message. O Serviço foi desenhado para tratar os teus dados precisamente em situações em que tu já não possas dar instruções. O processo é o seguinte:
- Se deixares de confirmar o Ping de vida durante o período definido na tua conta, são enviados alertas sucessivos para o teu próprio email.
- Se nomeaste Guardiões, contactamo-los por email para que confirmem a tua ausência prolongada. Apenas com a confirmação mínima necessária é desencadeada a entrega.
- Se não nomeaste Guardiões, a entrega é desencadeada após o decurso do período mínimo de inactividade definido nos Termos, com avisos intermédios e período de graça. Esta opção implica maior risco de entrega indevida — vê o tópico correspondente nos Termos.
- Antes da entrega definitiva, é observado o período de graça previsto nos Termos, durante o qual a simples autenticação na tua conta cancela todo o processo.
- Confirmada a ausência e decorrido o período de graça, as mensagens são decifradas e enviadas aos Destinatários através de link único.
Base legal e enquadramento. Este tratamento decorre da execução do contrato celebrado contigo em vida e do respeito pela tua vontade expressa. O tratamento de dados de pessoas falecidas segue o art. 17.º da Lei n.º 58/2019, que reconhece aos herdeiros legítimos o direito de exercer os direitos do titular.
Decisões automatizadas (art. 22.º RGPD). Quando nomeias Guardiões, o sistema não toma decisões totalmente automatizadas sobre a entrega de mensagens, porque depende de confirmação humana dos Guardiões. Quando dispensas Guardiões, há uma componente automatizada (decurso de prazos), mas com múltiplos avisos e período de graça com possibilidade de intervenção tua. Em qualquer caso, podes solicitar revisão humana de qualquer entrega contactando-nos.
5. Segurança dos dados
Implementamos medidas técnicas e organizativas adequadas, nos termos do art. 32.º do RGPD:
5.1. Cifragem
- Em trânsito: todo o tráfego é servido em HTTPS com TLS moderno.
- Em repouso: conteúdo de mensagens, anexos e foto de perfil cifrados com
XChaCha20-Poly1305(libsodium), com nonce único por elemento. - <strong>Palavras-passe:</strong> armazenadas exclusivamente como <em>hash</em> com sal (algoritmo <code>bcrypt</code> ou equivalente). Nunca são guardadas nem conhecidas em texto simples — nem por nós.
5.2. Controlos de acesso e aplicação
- Token CSRF em todos os formulários
- Cookies marcados como
Secure,HttpOnlyeSameSite=Lax - Pastas privadas inacessíveis directamente pela web
- Princípio do menor privilégio nos acessos administrativos
- Registo (<em>logging</em>) de eventos relevantes para detecção de incidentes
- Limitação de tentativas de autenticação e mecanismos contra força bruta
5.3. Continuidade e backups
Realizamos cópias de segurança periódicas. Os dados apagados desaparecem do backup mais recente no prazo máximo de 30 dias.
5.4. Notificação de violações
Em caso de violação de dados pessoais que represente risco para os teus direitos e liberdades, notificaremos a Comissão Nacional de Protecção de Dados (CNPD) no prazo máximo de 72 horas após o conhecimento (art. 33.º RGPD). Se a violação representar risco elevado, comunicaremos directamente aos titulares afectados (art. 34.º RGPD).
6. Conservação dos dados
Conservamos os teus dados apenas pelo tempo necessário às finalidades referidas:
| Categoria | Período de conservação |
|---|---|
| Conta activa | Enquanto mantiveres a conta aberta |
| Conta encerrada por ti | Apagamento completo até 30 dias |
| Mensagens entregues | Período razoável para consulta pelos Destinatários; depois apagadas. Apagamento antecipado a pedido. |
| Mensagens pausadas após despromoção | 90 dias após a despromoção, conforme Termos |
| Logs técnicos e de segurança | Até 12 meses |
| Dados de facturação | 10 anos (obrigação fiscal) |
| Backups | Rotação mensal; dados apagados desaparecem em 30 dias |
7. Partilha com terceiros e subcontratantes
Não vendemos os teus dados. Partilhamos apenas com os intervenientes estritamente necessários ao funcionamento do Serviço:
7.1. Destinatários e Guardiões
Partilhamos com as pessoas que tu próprio designaste, e apenas para o efeito específico que escolheste (receber as mensagens; confirmar a tua ausência).
7.2. Subcontratantes (art. 28.º RGPD)
Recorremos a subcontratantes para a operação técnica do Serviço, todos vinculados por contrato de subcontratação nos termos do art. 28.º do RGPD:
| Categoria | Prestador | Localização |
|---|---|---|
| Alojamento (servidores) | [NOME DO PRESTADOR] | União Europeia |
| Envio de emails (SMTP) | [NOME DO PRESTADOR] | União Europeia |
| Processamento de pagamentos | PayPal (Europe) S.à r.l. et Cie, S.C.A. | Luxemburgo (UE) |
| Suporte / helpdesk | [NOME DO PRESTADOR ou "Interno"] | [LOCALIZAÇÃO] |
7.3. Autoridades públicas
Podemos partilhar dados com autoridades judiciais, policiais ou administrativas competentes, quando legalmente obrigados, no estrito cumprimento de ordem válida e proporcional. Sempre que a lei o permita, notificaremos o Utilizador.
7.4. Transferências para fora do EEE
Não realizamos transferências de dados pessoais para fora do Espaço Económico Europeu (EEE). Caso, no futuro, seja necessária qualquer transferência, será efectuada com base nas garantias adequadas previstas nos arts. 44.º a 49.º do RGPD (designadamente cláusulas contratuais-tipo da Comissão Europeia) e comunicada nesta Política.
8. Os teus direitos
Enquanto titular dos dados, podes exercer, a qualquer momento e gratuitamente, os direitos previstos nos arts. 15.º a 22.º do RGPD:
- Direito de acesso — saber que dados teus tratamos e obter cópia.
- Direito de rectificação — corrigir dados inexactos ou incompletos.
- Direito ao apagamento ("direito a ser esquecido") — eliminar os teus dados, nos termos legais.
- Direito à limitação — restringir o tratamento em determinadas situações.
- Direito à portabilidade — receber os teus dados num formato estruturado, de uso corrente e leitura automática.
- Direito de oposição — opor-te a tratamentos baseados em interesse legítimo.
- Direito de retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento prévio.
- Direito de não estar sujeito a decisões totalmente automatizadas com efeitos significativos (vê secção 4 sobre o modo como este direito se aplica ao Serviço).
Como exercer. Envia um pedido para info@ultimamensagem.com (ou para o DPD, quando aplicável). Responderemos no prazo máximo de 30 dias, prorrogável por mais 60 dias em casos complexos, com fundamentação. Podemos solicitar elementos adicionais para confirmar a tua identidade.
9. Reclamações à autoridade de controlo
Se considerares que o tratamento dos teus dados não respeita o RGPD ou a Lei n.º 58/2019, podes apresentar reclamação à autoridade de controlo competente:
Comissão Nacional de Protecção de Dados (CNPD)
Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
Tel.: +351 213 928 400 — Email: geral@cnpd.pt — Website: www.cnpd.pt
10. Idade mínima
O Serviço destina-se a maiores de 16 anos. Não recolhemos intencionalmente dados de menores de 16 anos. Se tomarmos conhecimento de que recolhemos dados de menores nessas condições, procederemos ao seu apagamento imediato. Caso suspeites que tal aconteceu, contacta-nos.
11. Dados que nos forneces sobre terceiros
Ao indicares Destinatários ou Guardiões, fornece-nos dados pessoais de terceiros (nome e email). Declaras que:
- Tens uma relação pessoal ou justificação legítima para o fazer;
- Informaste, ou estás em condições de informar, essas pessoas de que os respectivos dados serão tratados pelo Serviço;
- Aceitas que possamos contactá-las directamente, designadamente para as informar do tratamento, para confirmar a tua ausência (Guardiões) ou para entregar a Mensagem (Destinatários).
Os Destinatários e Guardiões podem, a qualquer momento, exercer os direitos do RGPD junto da Empresa, designadamente o direito de oposição. O exercício desse direito pode implicar que mensagens a eles destinadas não sejam entregues.
12. Alterações a esta Política
Podemos actualizar esta Política sempre que necessário, por alteração legislativa, evolução do Serviço ou clarificação. A versão em vigor está sempre disponível em https://ultimamensagem.com/privacidade.php. Alterações materiais serão comunicadas por email com pelo menos 30 dias de antecedência.
13. Contacto
Para qualquer dúvida sobre esta Política ou sobre o tratamento dos teus dados pessoais, contacta-nos: info@ultimamensagem.com.
— Fim da Política de Privacidade —