Política de Privacidade

Última actualização: 23 de Abril de 2026

1. Responsável pelo Tratamento

Esta política aplica-se ao site gvasroc.pt e às plataformas de transferência de ficheiros e partilha documental a ele associadas. Responsável:

Garruço, Viana & Associados, SROC, Lda.
NIPC 514 490 136
Rua do Foral, 67, 2.º — 3770-218 Oliveira do Bairro
Portugal
Sociedade de Revisores Oficiais de Contas inscrita na OROC e registada na CMVM

2. Contacto para Assuntos de Protecção de Dados

Para qualquer questão relacionada com o tratamento dos seus dados pessoais, pode contactar-nos através do email rgpd@gvasroc.pt.

A sociedade não tem Encarregado de Protecção de Dados (DPO) formalmente designado, por o tratamento de dados realizado não recair nos critérios de obrigatoriedade previstos no artigo 37.º do RGPD. Esta avaliação é revista periodicamente.

3. Que dados recolhemos

Durante a navegação no site:

Endereço IP, identificação do browser (user-agent), data e hora do acesso — tratamento automático por motivos técnicos e de segurança.

Na utilização das plataformas internas de transferência e partilha segura de ficheiros:

Nome, endereço de email e credenciais de acesso fornecidas pelo utilizador.
Ficheiros submetidos ou descarregados, incluindo os dados pessoais e documentais neles contidos.
Registos de acesso (login, upload, download) para fins de auditoria e segurança.

No contexto da prestação de serviços de auditoria e revisão oficial de contas:

Dados recolhidos para execução dos trabalhos — contabilísticos, fiscais, laborais, societários — são tratados ao abrigo da Carta de Compromisso (engagement letter) celebrada com o cliente e dos deveres profissionais e legais aplicáveis.
Esta política cobre os dados recolhidos através do site e plataformas associadas. O tratamento de dados no contexto de mandatos profissionais é complementado pelos documentos contratuais específicos.

4. Finalidades e Fundamento Legal

Execução dos serviços de auditoria, revisão oficial de contas e consultoria contratados — fundamento: execução de contrato (art. 6.º, n.º 1, al. b) do RGPD).
Transferência segura de ficheiros e documentos entre a sociedade e os seus clientes — fundamento: execução de contrato.
Cumprimento de obrigações legais e profissionais aplicáveis a uma SROC — nomeadamente o Estatuto da Ordem dos Revisores Oficiais de Contas, o Código das Sociedades Comerciais, o Código do IRC, a Lei n.º 83/2017 (prevenção do branqueamento de capitais e financiamento do terrorismo), a Lei n.º 148/2015 (supervisão de auditoria) e o Regulamento (UE) n.º 537/2014 — fundamento: obrigação legal (art. 6.º, n.º 1, al. c)).
Documentação dos papéis de trabalho e arquivo de evidência de auditoria — fundamento: obrigação legal e interesse legítimo.
Segurança das infraestruturas (prevenção de acessos não autorizados, registo de logs) — fundamento: interesse legítimo (art. 6.º, n.º 1, al. f)).

5. Dever de Sigilo Profissional

Todos os dados obtidos no exercício das funções de revisor oficial de contas estão sujeitos ao dever de sigilo profissional previsto no Estatuto da OROC. Este sigilo é distinto e cumulativo com as obrigações do RGPD e só cede perante as derrogações legalmente previstas (nomeadamente comunicações obrigatórias a autoridades de supervisão, judiciais ou tributárias).

6. Com quem partilhamos os seus dados

Prestador de alojamento: PTisp (Portugal). Servidores dentro da União Europeia.
Autoridades competentes: OROC, CMVM, Autoridade Tributária, Banco de Portugal, autoridades judiciais, no âmbito das suas competências.
Entidades subcontratadas para suporte específico (software de auditoria, serviços de assinatura digital), sempre vinculadas por acordo de tratamento de dados e por dever de confidencialidade.
Em processos de controlo de qualidade: a OROC pode aceder a papéis de trabalho no âmbito dos seus procedimentos de inspecção, ao abrigo do seu Estatuto.

Não vendemos, alugamos nem partilhamos os seus dados para fins de marketing. Não utilizamos Cloudflare nem outros serviços de CDN/proxy para este domínio.

7. Transferências Internacionais de Dados

Os seus dados são tratados exclusivamente dentro do território da União Europeia. Eventuais transferências para fora do EEE, caso ocorram pontualmente no âmbito de mandatos específicos, serão sempre enquadradas por garantias adequadas nos termos do capítulo V do RGPD.

8. Período de Conservação

Papéis de trabalho e arquivo de auditoria: pelo período legalmente exigido, nomeadamente 5 anos para auditoria a entidades de interesse público (art. 15.º do Regulamento (UE) n.º 537/2014) e períodos equivalentes ou superiores para restantes auditorias, consoante a legislação aplicável.
Documentação com relevância fiscal: pelos prazos legalmente aplicáveis ao cliente (10 anos ao abrigo do art. 123.º do Código do IRC e art. 52.º do Código do IVA).
Registos de prevenção de branqueamento de capitais: 7 anos após cessação da relação de negócio (art. 51.º da Lei n.º 83/2017).
Ficheiros transferidos através das plataformas internas de partilha: eliminados após a finalidade da transferência, salvo necessidade de conservação para cumprimento de obrigação profissional ou legal.
Registos técnicos (logs de segurança): até 180 dias.

9. Cookies

O site utiliza cookies estritamente necessários ao seu funcionamento e à operação da plataforma de partilha de ficheiros. Não são utilizados cookies de tracking, publicidade ou análise comportamental.

Cookies de sessão das plataformas internas de partilha de ficheiros: autenticação e manutenção da sessão autenticada. Duração: sessão.

Por serem estritamente necessários, estes cookies não requerem consentimento prévio ao abrigo do n.º 2 do art. 5.º da Lei n.º 41/2004.

10. Segurança dos Dados

Transmissão encriptada (HTTPS/TLS) em todas as interacções com o site e plataformas.
Controlo de acesso por autenticação em todas as plataformas que contêm dados de clientes.
Registo de acessos para fins de auditoria e detecção de acessos indevidos.
Segregação funcional entre os diferentes mandatos.
Obrigação de sigilo vinculante para todos os colaboradores e subcontratados.

11. Os Seus Direitos

Nos termos do RGPD, tem os seguintes direitos sobre os seus dados pessoais: acesso, rectificação, apagamento, limitação, portabilidade e oposição.

Os direitos de apagamento, oposição e limitação podem ser restringidos quando o tratamento seja necessário para cumprimento de obrigação legal, para o exercício de funções de interesse público ou para declaração, exercício ou defesa de um direito em processo judicial ou arbitral.

Para exercer qualquer destes direitos, contacte-nos via rgpd@gvasroc.pt. Responderemos no prazo máximo de 30 dias.

12. Direito de Reclamação

Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 – 1.º · 1200-651 Lisboa
Telefone: +351 213 928 400
Email: geral@cnpd.pt
Website: www.cnpd.pt

13. Alterações à Política

Esta política poderá ser actualizada periodicamente, nomeadamente em resultado de alterações legais, regulamentares ou da forma como tratamos os dados. A data da última actualização está indicada no topo da página.

14. Enquadramento Legal

Regulamento (UE) 2016/679 (RGPD), Lei n.º 58/2019 de 8 de Agosto, Lei n.º 41/2004 de 18 de Agosto, tendo em conta ainda as obrigações específicas aplicáveis à actividade de Revisor Oficial de Contas.

Privacy Policy

Last updated: 23 April 2026

1. Data Controller

This policy applies to gvasroc.pt and the associated file transfer and document sharing platforms. Controller:

Garruço, Viana & Associados, SROC, Lda.
Tax ID (NIPC) 514 490 136
Rua do Foral, 67, 2.º — 3770-218 Oliveira do Bairro
Portugal
Statutory Audit Firm (SROC) registered with OROC and CMVM

2. Data Protection Contact

For any matter regarding the processing of your personal data, please contact us at rgpd@gvasroc.pt.

No Data Protection Officer (DPO) has been formally appointed, as the processing activities do not fall within the mandatory criteria of Article 37 GDPR. This assessment is reviewed periodically.

3. Data We Collect

During browsing of the site:

IP address, browser identification (user-agent), access date and time — automatic processing for technical and security reasons.

In the use of the internal platforms for secure file transfer and sharing:

Name, email address and login credentials provided by the user.
Files uploaded or downloaded, including the personal and documentary data contained therein.
Access records (login, upload, download) for audit and security purposes.

In the context of audit and statutory audit services:

Data collected to perform the engagement — accounting, tax, labour, corporate — is processed under the Engagement Letter entered into with the client and subject to applicable professional and legal duties.
This policy covers data collected through the site and associated platforms. Data processing within professional engagements is supplemented by specific contractual documents.

4. Purposes and Legal Basis

Performance of contracted audit, statutory audit and consultancy services — legal basis: performance of contract (Art. 6(1)(b) GDPR).
Secure transfer of files and documents between the firm and its clients — legal basis: performance of contract.
Compliance with legal and professional obligations applicable to an SROC — including the OROC Statute, Portuguese Commercial Companies Code, Corporate Income Tax Code, Law No. 83/2017 (AML/CFT), Law No. 148/2015 (audit supervision) and Regulation (EU) No. 537/2014 — legal basis: legal obligation (Art. 6(1)(c)).
Documentation of working papers and audit evidence archive — legal basis: legal obligation and legitimate interest.
Infrastructure security (prevention of unauthorised access, logging) — legal basis: legitimate interest (Art. 6(1)(f)).

5. Professional Secrecy

All data obtained in the exercise of statutory audit functions is subject to the professional secrecy duty provided for in the OROC Statute. This secrecy is distinct from and cumulative with GDPR obligations, and yields only to the legally provided derogations (namely mandatory communications to supervisory, judicial or tax authorities).

6. Data Recipients

Hosting provider: PTisp (Portugal). Servers within the European Union.
Competent authorities: OROC, CMVM, Portuguese Tax Authority, Bank of Portugal, judicial authorities, within their competencies.
Subcontractors for specific support (audit software, digital signature services), always bound by data processing agreements and confidentiality obligations.
In quality control procedures: OROC may access working papers under its inspection procedures, pursuant to its Statute.

We do not sell, rent or share your data for marketing purposes. We do not use Cloudflare or other CDN/proxy services for this domain.

7. International Data Transfers

Your data is processed exclusively within the territory of the European Union. Any transfers outside the EEA, should they occasionally occur within specific engagements, will always be framed by adequate safeguards under Chapter V GDPR.

8. Retention Period

Audit working papers and archive: for the legally required period, namely 5 years for audits of public-interest entities (Art. 15 of Regulation (EU) No. 537/2014) and equivalent or longer periods for other audits, under applicable legislation.
Documentation with tax relevance: for the periods legally applicable to the client (10 years under Art. 123 of the Portuguese Corporate Income Tax Code and Art. 52 of the VAT Code).
Anti-money laundering records: 7 years after termination of the business relationship (Art. 51 of Law No. 83/2017).
Files transferred through the internal sharing platforms: deleted after the purpose of the transfer, unless retention is required to comply with a professional or legal obligation.
Technical records (security logs): up to 180 days.

9. Cookies

The site uses cookies strictly necessary for its operation and for the operation of the file sharing platform. No tracking, advertising or behavioural analysis cookies are used.

Session cookies of the internal file sharing platforms: authentication and session maintenance. Duration: session.

As strictly necessary cookies, these do not require prior consent under Article 5(2) of Portuguese Law No. 41/2004.

10. Data Security

Encrypted transmission (HTTPS/TLS) in all interactions with the site and platforms.
Authentication-based access control on all platforms containing client data.
Access logging for audit and detection of unauthorised access.
Functional segregation between different engagements.
Binding confidentiality obligation for all staff and subcontractors.

11. Your Rights

Under the GDPR, you have the following rights regarding your personal data: access, rectification, erasure, restriction, portability and objection.

The rights of erasure, objection and restriction may be restricted when processing is necessary for compliance with a legal obligation, for the performance of tasks carried out in the public interest, or for the establishment, exercise or defence of legal claims in court or arbitration proceedings.

To exercise any of these rights, contact us at rgpd@gvasroc.pt. We will respond within a maximum of 30 days.

12. Right to Lodge a Complaint

Portuguese Data Protection Authority (CNPD)
Av. D. Carlos I, 134 – 1.º · 1200-651 Lisbon, Portugal
Phone: +351 213 928 400
Email: geral@cnpd.pt
Website: www.cnpd.pt

13. Changes to This Policy

This policy may be updated periodically. The date of the last update is indicated at the top of the page.

14. Legal Framework

Regulation (EU) 2016/679 (GDPR), Portuguese Law No. 58/2019 of 8 August, Law No. 41/2004 of 18 August, together with specific obligations applicable to the activity of Statutory Auditor.