Política de Privacidade da Aplicação Móvel
MadeiraGovID para iOS e Android — Tratamento de Dados Pessoais
A presente política descreve o tratamento de dados pessoais efetuado pela aplicação móvel MadeiraGovID, disponibilizada para iOS e Android, e complementa a Política de Privacidade do portal id.madeira.gov.pt nos aspetos específicos do ambiente móvel. Aplica-se o Regulamento (UE) 2016/679 (RGPD).
1. Entidade Gestora da Aplicação Móvel
A aplicação móvel MadeiraGovID é disponibilizada pelo Governo Regional da Madeira como extensão do portal de Single Sign-On MadeiraGovID, e tem por finalidade permitir a autenticação dos utilizadores nos serviços do GRM a partir de um dispositivo móvel, com suporte de autenticação multifator, leitura de códigos QR de início de sessão e gestão da própria conta. A aplicação é compatível com iOS 15 e superiores e Android 9 (API 28) e superiores.
Para questões de natureza técnica relacionadas com a aplicação pode contactar-nos através do endereço id@madeira.gov.pt.
2. Responsável pelo Tratamento
Os dados pessoais recolhidos pela aplicação móvel MadeiraGovID são tratados sob a responsabilidade do Governo Regional da Madeira, em conformidade com os princípios já enunciados na Política de Privacidade do portal.
3. Confidencialidade, Segurança e Privacidade
A aplicação assegura o tratamento dos dados de forma leal e transparente, em conformidade com o disposto no n.º 1 do artigo 32.º do RGPD. Adicionalmente, no ambiente móvel são aplicadas as seguintes medidas técnicas reforçadas:
- armazenamento de credenciais, identificadores e tokens em armazenamento seguro do sistema operativo (Keychain no iOS, EncryptedSharedPreferences no Android), com proteção por hardware sempre que disponível;
- geração de um par de chaves criptográficas assimétricas (ECDSA P-256) por instalação, mantido na área segura do dispositivo, utilizado para assinar todos os pedidos efetuados ao backend;
- verificação biométrica delegada ao sistema operativo (Face ID, Touch ID no iOS; BiometricPrompt no Android), sem que a aplicação aceda ou armazene quaisquer dados biométricos.
4. Categorias de Dados Pessoais Tratados
No âmbito da utilização da aplicação móvel, são recolhidos e tratados, consoante a operação que o utilizador pretende realizar, os seguintes dados:
- Dados de identificação e contacto: nome, nome de utilizador, endereço de correio eletrónico e, quando aplicável, número de identificação civil (NIC) e número de identificação fiscal (NIF);
- Dados de autenticação: tokens OIDC (access, refresh e identity tokens), códigos de autenticação multifator, códigos de recuperação e fatores associados;
- Dados de dispositivo: identificador único da instalação (UUID), nome do dispositivo, modelo, sistema operativo e versão, chave pública gerada para assinatura de pedidos, e token de notificações push (FCM no Android e APNs no iOS);
- Imagens documentais: fotografias da frente e do verso do Cartão de Cidadão, capturadas exclusivamente para fins de validação por OCR no backend; estas imagens são transmitidas em ligação cifrada e não são conservadas localmente após o envio;
- Identificadores validados: apenas após validação por Cartão de Cidadão ou Chave Móvel Digital — NIC, NIF, data de nascimento, número de identificação de segurança social (NISS) e, quando aplicável, endereços de correio eletrónico institucionais (gov.pt, edu.pt);
- Dados biométricos: não acedidos nem armazenados pela aplicação. A verificação biométrica é realizada pelo subsistema seguro do sistema operativo, que apenas devolve à aplicação um resultado booleano (sucesso ou insucesso) e, quando suportado, uma assinatura criptográfica vinculada à operação;
- Registos de auditoria e sessão: registos das ações relevantes praticadas na conta (autenticações, alterações de credenciais, registo e revogação de dispositivos, revogações de sessão), associados ao identificador do dispositivo.
5. Permissões de Sistema Solicitadas
A aplicação solicita ao sistema operativo as permissões estritamente necessárias ao seu funcionamento. As permissões podem ser concedidas ou revogadas a qualquer momento nas definições do sistema operativo. A recusa de uma permissão limita as funcionalidades correspondentes, mas não impede a utilização das restantes.
| Plataforma | Permissão | Finalidade |
|---|---|---|
| Android | INTERNET, ACCESS_NETWORK_STATE |
Comunicação com os servidores de autenticação do MadeiraGovID. |
| Android | CAMERA |
Leitura de códigos QR de início de sessão e captura de imagens do Cartão de Cidadão para validação. |
| Android | USE_BIOMETRIC |
Verificação biométrica delegada ao sistema operativo. |
| Android | POST_NOTIFICATIONS |
Receção de notificações de autenticação (pedidos 2FA, login por QR e alertas de segurança). |
| Android | VIBRATE |
Feedback háptico durante operações sensíveis. |
| iOS | NSCameraUsageDescription |
Leitura de códigos QR e captura de imagens do Cartão de Cidadão. |
| iOS | NSFaceIDUsageDescription |
Autenticação biométrica via Face ID. |
| iOS | UIBackgroundModes: remote-notification |
Receção de notificações push em segundo plano. |
6. Notificações Push
As notificações push são processadas através de Firebase Cloud Messaging (FCM) no Android e dos Apple Push Notification Services (APNs) no iOS, operados pela Google Ireland Ltd. e pela Apple Distribution International, respetivamente, na qualidade de subcontratantes. O tratamento tem por base legal a execução do contrato celebrado com o utilizador (alínea b) do n.º 1 do artigo 6.º do RGPD), uma vez que as notificações são necessárias aos fluxos de autenticação multifator e de aprovação de pedidos QR. O token de notificação é associado, no servidor, ao identificador do dispositivo registado.
As notificações abrangem: pedidos de autenticação multifator (number matching), aprovações de início de sessão via QR e alertas de segurança. As notificações push mantêm-se ativas em qualquer dos modos de telemetria descritos na secção seguinte, dado serem indispensáveis ao serviço.
7. Telemetria, Diagnóstico e Análise de Utilização
A aplicação utiliza os serviços Firebase Analytics e Firebase Crashlytics, operados pela Google Ireland Ltd., para fins, respetivamente, de análise estatística agregada da utilização da aplicação e de diagnóstico de erros e estabilidade.
A aplicação não recolhe identificadores publicitários nem quaisquer dados destinados a publicidade. Em particular, e em qualquer dos modos de funcionamento descritos abaixo:
- não é recolhido o Android Advertising ID (AAID), o iOS Identifier for Advertisers (IDFA) nem o Android SSAID;
- os sinais de personalização publicitária (Google Signals, ad personalization) estão permanentemente desativados;
- os parâmetros do Consent Mode V2
ad_storage,ad_user_dataead_personalizationestão fixados emdenied.
No primeiro arranque da aplicação, e a qualquer momento em Definições > Privacidade > Preferências de Telemetria, o utilizador é convidado a escolher entre dois modos:
| Modo | Identificadores analíticos persistentes | Fundamento de licitude |
|---|---|---|
| Aceitar todos | São recolhidos: o Firebase Analytics regista um app_instance_id persistente que permite correlacionar sessões e gerar relatórios de retenção e funis multi-sessão. |
Consentimento — alínea a) do n.º 1 do artigo 6.º do RGPD. |
| Apenas os essenciais | Não são recolhidos: o Firebase Analytics opera em modo Consent Mode V2 Advanced, enviando apenas pings agregados sem cookies/identificadores persistentes (cookieless pings / behavioral modeling), processados pelo Google sem associação a um dispositivo concreto. | Interesse legítimo — alínea f) do n.º 1 do artigo 6.º do RGPD, com medidas de minimização (sem identificadores, sem publicidade, IP truncado). |
Em ambos os modos:
- o Firebase Crashlytics continua ativo e recebe registos de falhas (stack traces) para fins de manutenção da estabilidade do serviço; os registos enviados não contêm dados de identificação pessoal;
- o endereço IP é processado pelo Google em data centers europeus e truncado antes de qualquer armazenamento, em conformidade com o EU Data Mode aplicado ao Google Analytics 4 e ao Firebase (em vigor desde outubro de 2020). O IP não é utilizado para criar identificadores nem geolocalização precisa;
- as funcionalidades publicitárias estão desativadas no painel de administração do projeto Firebase.
O subcontratante é a Google Ireland Ltd., ao abrigo dos termos de tratamento de dados do Firebase disponíveis em firebase.google.com/terms/data-processing-terms. Eventuais transferências para países terceiros são efetuadas ao abrigo das Cláusulas Contratuais Tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão. O utilizador pode opor-se ao tratamento de telemetria, nos termos do artigo 21.º do RGPD, através do contacto indicado na secção 13.
8. Transferências Internacionais
Os dados de telemetria, de diagnóstico e de notificações são tratados pela Google em infraestrutura situada no Espaço Económico Europeu. Quando se verifiquem transferências para países terceiros, designadamente para os Estados Unidos da América, estas são realizadas ao abrigo das Cláusulas Contratuais Tipo (Decisão de Execução (UE) 2021/914 da Comissão).
9. Períodos de Conservação
- os registos de segurança (data/hora, IP, dispositivo) são conservados pelo período máximo de 90 dias, à semelhança do portal;
- as imagens do Cartão de Cidadão são eliminadas após a conclusão do processo de OCR e validação;
- a cache local da aplicação é apagada no momento da terminação de sessão;
- as chaves criptográficas do dispositivo são eliminadas em caso de revogação ou de reinstalação da aplicação;
- os dados de telemetria do Firebase são conservados pelo período mínimo configurado no painel de administração (2 meses para dados ao nível do evento).
10. Acesso, Segurança e Identificação do Utilizador
O acesso à conta na aplicação está protegido por palavra-passe e, opcionalmente, por um segundo fator de autenticação (autenticador TOTP, number matching por push ou códigos de recuperação). A verificação biométrica, quando ativada, funciona como segundo fator local, totalmente delegada no subsistema seguro do sistema operativo.
11. Direitos dos Titulares dos Dados
Nos termos dos artigos 15.º a 22.º do RGPD, é assegurado ao titular dos dados o direito a aceder, retificar, apagar, limitar, portar ou opor-se ao tratamento dos seus dados, bem como a retirar consentimentos prestados. Estes direitos podem ser exercidos diretamente na aplicação através das seguintes funcionalidades:
- visualização e revogação de sessões ativas;
- remoção de identificadores previamente validados;
- alteração do endereço de correio eletrónico e da palavra-passe;
- ativação ou desativação do segundo fator de autenticação;
- terminação de sessão, com purga do armazenamento seguro local;
- revogação remota do registo do dispositivo;
- alteração das preferências de telemetria a qualquer momento.
12. Cookies e Tecnologias Análogas
Por se tratar de uma aplicação nativa, o MadeiraGovID móvel não utiliza cookies. Utiliza, no entanto, armazenamento local e identificadores persistentes com finalidades análogas, descritos em detalhe na Política de Armazenamento e Identificadores da Aplicação Móvel.
13. Encarregado de Proteção de Dados e Autoridade de Controlo
Para o exercício dos direitos descritos na presente política, ou para qualquer questão sobre o tratamento dos seus dados pessoais — incluindo o exercício do direito de oposição ao tratamento de telemetria — pode contactar o Encarregado de Proteção de Dados do Governo Regional da Madeira:
Gabinete para a Conformidade Digital e Proteção de Dados (GCPD)
Palácio do Governo Regional — Avenida Zarco, 9004-527 Funchal
Telefone: (+351) 291 145 175
Email: gcpd@madeira.gov.pt
Caso considere que o tratamento dos seus dados pessoais viola o RGPD, tem ainda o direito de apresentar reclamação junto da autoridade de controlo nacional:
CNPD — Comissão Nacional de Proteção de Dados
Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
Telefone: (+351) 213 928 400
Email: geral@cnpd.pt
14. Atualizações desta Política
A presente política pode ser atualizada para refletir alterações na aplicação ou no enquadramento legal. As atualizações materiais são comunicadas no primeiro arranque seguinte à atualização da aplicação.
Última atualização: 13 de maio de 2026.