Última atualização em 30 Janeiro 2025
Descarregar

Anexo C – Acordo de Processamento de Dados (DPA)

Para efeitos do presente Acordo de Processamento de Dados (doravante designado por “APD“), os termos iniciados com letra maiúscula são definidos de acordo com o Acordo ou o presente Anexo.

1. Contexto e finalidade

O Cliente, o controlador de dados (doravante denominado “Controlador de Dados”), subscreveu um ou mais Serviços da Partoo, nos termos dos Termos e Condições Gerais da Partoo (ou “T&C”) ou de um contrato específico (doravante denominado coletivamente “Contrato”, sejam os T&C ou um contrato específico).

O Controlador de Dados disponibiliza à Partoo os dados pessoais necessários para o desempenho do Contrato (doravante referidos coletivamente como “Dados Pessoais”). Neste sentido, a Partoo recebe o estatuto de processadora de dados (doravante designada por “Processadora de Dados”) em conformidade com as orientações das autoridades de supervisão. Deste modo, o objetivo destas cláusulas é determinar as condições sob as quais a Processadora de Dados se compromete a realizar as operações de processamento de Dados Pessoais, definidas abaixo em nome do Controlador de Dados.

2. Regulamentos aplicáveis

Como parte da respetiva relação contratual, as partes comprometem-se a cumprir os regulamentos em vigor, ao abrigo da legislação aplicável ao Contrato relativamente aos Dados Pessoais (doravante designados por “Regulamentos Gerais sobre a Proteção de Dados”) e, em particular, quando aplicável, o regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, aplicável a partir de 25 de maio de 2018 (doravante designados por “RGPD”).

3. Descrição do processamento

3.1. Natureza e objeto do processamento

A natureza das atividades de processamento envolve a respetiva utilização para identificar os indivíduos que iniciam sessão na plataforma, por um lado, e o alojamento e transmissão dos dados carregados por Utilizadores e terceiros, incluindo os clientes do Controlador de Dados, que interagem com os Serviços, por outro.

A finalidade do processamento é a implementação, pela Processadora de Dados, da recolha, registo, conservação, etc., em nome do Cliente, no âmbito do Contrato e quando necessário para a execução dos Serviços.

Recorda-se que, no contexto da respetiva relação comercial com o Controlador de Dados, a Processadora de Dados fornece principalmente acesso às Aplicações e Serviços da Partoo. Com exceção dos Utilizadores cujos Dados Pessoais são processados para fins de prestação dos serviços, a Processadora de Dados não tem a obrigação geral de monitorizar o conteúdo hospedado nas suas Aplicações da Partoo. Deste modo, a Processadora de Dados não tem conhecimento se o Cliente hospeda Dados Pessoais nos Serviços: a este respeito, especifica-se expressamente que, em relação ao uso do produto Mensagens, o Controlador de Dados permanece o único responsável por fornecer as informações necessárias aos titulares dos dados, selecionar a base legal apropriada para o processamento e obter qualquer consentimento necessário. A Processadora de Dados atua exclusivamente como uma provedora de serviços técnicos, garantindo a transmissão e o armazenamento temporário de mensagens.

3.2. Finalidade do processamento

A Processadora de Dados está autorizada a processar os Dados Pessoais dos Utilizadores para fornecer os Serviços contratados pelo Controlador de Dados, especialmente:

  • Fornecer acesso aos Utilizadores;
  • Hospedar e transmitir, em nome do Controlador de Dados, os Dados Pessoais que o Controlador de Dados optar por carregar como parte dos Serviços:
  • Gerir o alojamento da aplicação no modo Saas
  • Gerir cópias de segurança e atualizações das Aplicações da Partoo
  • Garantir a resolução de problemas nas Aplicações da Partoo:
  • Suporte para as Aplicações da Partoo
  • Resposta aos pedidos de chat online
  • Acesso às contas online dos Utilizadores para resolução de problemas
  • Consideração do feedback dos Utilizadores
  • Resolução de tickets de incidentes
  • Conservação de registos para rastreabilidade de incidentes
  • Desenvolvimento contínuo das Aplicações da Partoo.

Além de processar os Dados Pessoais dos funcionários para a finalidade de prestação dos serviços, conforme definido acima, a Processadora de Dados limita-se a hospedar e transmitir os dados que possam ser comunicados pelo Controlador de Dados ou pelo respetivo contacto, se aplicável, nas Aplicações da Partoo.

3.3. Categorias dos dados pessoais

As categorias dos Dados Pessoais processadas são:

  • Dados de identificação dos utilizadores: apelido, nome;
  • Dados profissionais: cargo, endereço de e-mail profissional;
  • Detalhes de início de sessão: registos (informações de data e hora, informações de acesso, como o IP e o navegador) e dados de navegação nas Aplicações da Partoo.

3.4. Categorias dos titulares de dados

As categorias dos titulares de dados são:

  • Utilizadores (funcionários do Controlador de Dados)
  • Pessoas que iteragem com o Controlador de Dados através do Website do Editor.

4. Termo

Este APD entra em vigor na data de assinatura do Contrato pelas Partes e permanece em vigor durante toda a vigência do Contrato. Assim, os Dados Pessoais serão processados durante a vigência do Contrato e, posteriormente, arquivados durante um período de noventa dias após a data de rescisão do Contrato.

5. Obrigações da Processadora de Dados perante o Controlador de Dados

A Processadora de Dados compromete-se a:

  1. Processar os dados exclusivamente para fins de subcontratação, conforme definido acima.
  2. Processar os dados de acordo com os serviços subscritos pelo Cliente. Caso a Processadora de Dados considere que uma instrução constitui uma violação do RGPD ou de qualquer outra disposição dos Regulamentos Gerais sobre Proteção de Dados, deverá informar imediatamente o Controlador de Dados. Além disso, se a Processadora de Dados for obrigada a transferir dados para um país terceiro ou uma organização internacional, deverá informar o Controlador de Dados dessa obrigação legal antes do processamento, a menos que a legislação em questão proíba tal informação por motivos relevantes de interesse público.
  3. Garantir a confidencialidade dos Dados Pessoais tratados ao abrigo deste contrato (desde que o Controlador de Dados não torne o seu alojamento acessível a terceiros não autorizados e garanta que sejam tomadas medidas de segurança que permitam a confidencialidade, uma vez que o Controlador de Dados tem acesso total aos Dados Pessoais alojados pela Processadora de Dados).
  4. Garantir que as pessoas autorizadas a processar Dados Pessoais ao abrigo deste contrato:
  5. Se comprometem a manter a confidencialidade ou estarem sujeitas a uma obrigação legal apropriada de confidencialidade.
  6. Recebam a formação necessária em proteção de Dados Pessoais.
  7. Considerar, em relação às suas ferramentas, produtos, aplicações ou serviços, os princípios de proteção de dados desde a conceção e por defeito.

6. Atividades de subprocessamento

6.4. Utilização de um subprocessador

A Processadora de Dados nomeou subprocessadores (doravante denominados “Subprocessador(es)“) para realizar atividades específicas de processamento na prestação dos seus Serviços, as quais o Controlador de Dados autoriza por este meio. A lista de Subprocessadores aprovados pelo Controlador de Dados, na data de conclusão do APD, está disponível na página web dedicada da Processadora de Dados. A Processadora de Dados compromete-se a atualizar regularmente esta lista e a comunicar, mediante simples solicitação do Controlador de Dados, a lista atualizada de todos os respetivos Subprocessadores.

Em caso de qualquer alteração na lista de Subprocessadores, a Processadora de Dados informará o Controlador de Dados. Estas informações devem indicar claramente as atividades processadas terceirizadas, a identidade e as informações de contacto do Subprocessador. O Controlador de Dados dispõe de um prazo máximo de quinze (15) dias a partir da data de recebimento desta informação para apresentar quaisquer objeções, em qualquer caso, por motivos razoáveis de proteção de dados. Caso o Controlador de Dados se oponha a um novo Subprocessador, a Processadora de Dados deverá, a seu exclusivo critério, optar por: (i) fornecer os Serviços sem utilizar o Subprocessador contestado; (ii) nomear um Subprocessador alternativo; ou (iii) rescindir o Serviço ou funcionalidade específica afetada por tal objeção. Este direito de rescisão é o único e exclusivo recurso do Controlador de Dados caso este se oponha a qualquer novo Subprocessador.

6.5. Garantias apresentadas pelo Subprocessador

O Subprocessador deve cumprir as obrigações deste APD em nome do Controlador de Dados e de acordo com as suas instruções. É da responsabilidade da Processadora de Dados garantir que o Subprocessador forneça as mesmas garantias suficientes relativamente à implementação de medidas técnicas e organizacionais adequadas, de forma a que o processamento cumpra os requisitos do RGPD e de qualquer outra legislação aplicável ao Contrato.

Caso o Subprocessador não cumpra as suas obrigações relativas à proteção de dados, a Processadora de Dados permanece totalmente responsável perante o Controlador de Dados pelo cumprimento das obrigações do Subprocessador.

7. Direito de informação dos titulares dos dados

É da responsabilidade do Controlador de Dados fornecer informações aos titulares dos dados afetados pelas operações de processamento no momento da recolha dos dados. A Operadora de Dados não pode ser responsabilizada por isto.

8. Exercício dos direitos dos titulares dos dados

Na medida do possível, a Processadora de Dados deve auxiliar o Controlador de Dados no cumprimento da respetiva obrigação de responder às solicitações para o exercício dos direitos do titular dos dados: direito de acesso, retificação, eliminação e oposição, direito à restrição do processamento, direito à portabilidade dos dados e direito de não ser submetido a uma decisão individual automatizada (incluindo a definição de perfis).

Quando os titulares dos dados enviarem solicitações para exercer os seus direitos à Processadora de Dados, este deverá encaminhar estas solicitações, assim que as receber, por e-mail, para o endereço fornecido pelo Cliente no momento da assinatura dos serviços.

9. Notificação de violação de Dados Pessoais

A Processadora de Dados deverá notificar o Controlador de Dados sem demora injustificada assim que tomar conhecimento de uma violação de Dados Pessoais, por e-mail, para o endereço fornecido pelo Controlador de Dados no momento da assinatura dos Serviços.

Esta notificação deverá ser acompanhada de toda a documentação relevante que permita ao Controlador de Dados, se necessário, comunicar esta violação à autoridade de controlo competente.

A notificação deverá conter, pelo menos:

  • A descrição da natureza da violação de Dados Pessoais, incluindo, se possível, a categoria e o número aproximado de titulares de dados afetados pela violação, bem como as categorias e o número aproximado de registos de Dados Pessoais envolvidos;
  • O nome e as informações de contacto do Responsável pela Proteção de Dados ou de qualquer outra pessoa de contacto que possa fornecer informações adicionais;
  • A descrição das prováveis consequências da violação de Dados Pessoais;
  • A descrição das medidas adotadas ou sugeridas pelo Controlador de Dados para remediar a violação de Dados Pessoais, incluindo, se aplicável, as medidas para mitigar quaisquer potenciais consequências negativas.

Caso não seja possível fornecer todas estas informações de uma só vez, e na medida em que isso não seja possível, as informações poderão ser comunicadas em fases, sem demora indevida.

O Controlador de Dados trata da comunicação com os titulares dos dados afetados pela violação de Dados Pessoais. Relembra-se que, a Processadora de Dados não tem visibilidade sobre a natureza dos dados hospedados em nome do Controlador de Dados e, portanto, não está em posição de avaliar o nível de risco para os direitos e liberdades das pessoas singulares em caso de violação de Dados Pessoais.

10. Assistência da Processadora de Dados para ajudar o Controlador de Dados a cumprir as suas obrigações

A Processadora de Dados fornecerá ao Controlador de Dados a documentação relevante para que este realize avaliações de impacto sobre a proteção de dados, apenas no que diz respeito aos aspetos pelos quais a Processadora de Dados é responsável, ou seja, no que se refere ao alojamento de dados.

A Processadora de Dados deverá auxiliar, sempre que possível e razoável, o Controlador de Dados na consulta prévia com a autoridade de controlo, fornecendo a documentação necessária.

Fica expressamente entendido que qualquer intervenção da Processadora de Dados em nome do Controlador de Dados no âmbito do presente APD, e em particular a assistência na realização de análises de impacto, será faturada ao Controlador de Dados de acordo com a tabela de preços, mediante o consentimento prévio do Controlador de Dados, caso tal intervenção exceda um (1) dia.

11. Medidas de segurança

O responsável pelo tratamento de dados realiza o processamento com medidas técnicas e organizacionais, que garantem um nível adequado de segurança para o risco de processamento associado, em conformidade com as disposições do Artigo 32º do RGPD.

Estas medidas incluem criptografia de dados, controlo de acesso robusto, auditorias de segurança regulares e quaisquer outras medidas necessárias para garantir a confidencialidade, integridade e disponibilidade dos dados. A Processadora de Dados reserva-se o direito de atualizar e melhorar estas medidas de segurança, de acordo com os requisitos regulamentares e as boas práticas do setor.

Para avaliar o nível de segurança adequado, a Processadora de Dados considera o estado da obra, os custos de implementação, bem como a natureza, o âmbito, o contexto e a finalidade do processamento, juntamente com os riscos para os titulares dos dados.

Em particular, a Processadora de Dados possui um processo e políticas de segurança documentados que satisfazem, no mínimo, os requisitos impostos pelos Regulamentos Gerais sobre Proteção de Dados e estão em conformidade com as práticas estabelecidas no setor. Durante a vigência do Contrato, a Processadora de Dados fornecerá ao Controlador de Dados a documentação de segurança mediante a sua primeira solicitação.

12. Reversibilidade dos dados no final do Contrato

A reversibilidade dos dados no término da relação contratual entre a Processadora de Dados e o Cliente está estipulada no Contrato.

13. Responsável pela Proteção de Dados

Os dados de contacto do Responsável pela Proteção de Dados (RPO) da Processadora de Dados são os seguintes:

Solène Langumier – personaldata@partoo.fr

14. Registo de categorias de atividade de processamento

A Processadora de Dados declara manter um registo escrito de todas as categorias de atividades de processamento realizadas em nome do Controlador de Dados, incluindo:

  • O nome e os dados de contacto do Controlador de Dados em nome de quem atua, de quaisquer Subprocessadores e, se aplicável, do responsável pela proteção de dados;
  • As categorias de processamento realizadas em nome do Controlador de Dados;
  • Quando aplicável, as transferências de Dados Pessoais para um país terceiro ou para uma organização internacional, incluindo a identificação desse país terceiro ou organização internacional e, no caso de transferências referidas no segundo parágrafo do artigo 49º, n.º 1, do RGPD, os documentos que atestem a existência de garantias adequadas.

15. Transferências de Dados Pessoais para fora da União Europeia

A Processadora de Dados poderá transferir indiretamente, através dos seus Subprocessadores mencionados no artigo 6º deste documento, os Dados Pessoais para fora da União Europeia. Neste caso, a Processadora de Dados compromete-se a obter o consentimento prévio e por escrito do Controlador de Dados.

Qualquer transferência de Dados Pessoais para fora da União Europeia deverá ser realizada em estrita conformidade com o Capítulo V do RGPD, especificamente com base numa decisão de adequação ou implementando salvaguardas apropriadas. Assim, quando tal transferência for realizada, o Responsável pelo Tratamento de Dados compromete-se a garantir que a mesma está abrangida pelo RGPD:

  • Cláusulas contratuais padrão emitidas pela Comissão Europeia ou por uma Autoridade de Supervisão, em conformidade com o Artigo 46º do RGPD (Regulamento Geral sobre a Proteção de Dados); e/ou
  • Quaisquer regras corporativas vinculativas aprovadas por uma Autoridade Supervisora competente nos termos do Artigo 47º do RGPD; e/ou
  • Um código de conduta aprovado em conformidade com o Artigo 46º do RGPD; e/ou
  • Um mecanismo de certificação aprovado em conformidade com o Artigo 46º do RGPD; e/ou
  • Decisão de adequação da Comissão Europeia em conformidade com o artigo 45º do RGPD.

Em qualquer caso, a Processadora de Dados informará o Controlador de Dados dentro de um prazo razoável sobre qualquer transferência planeada e, ao mesmo tempo, fornecerá ao Controlador de Dados todas as informações relevantes que lhe permitam cumprir as suas obrigações em caso de transferência de Dados Pessoais.

16. Avaliação do impacto sobre a proteção de dados

O Controlador de Dados é responsável por determinar se as operações de processamento realizadas através dos Serviços podem resultar num alto risco para os direitos e liberdades das pessoas físicas, de acordo com o Artigo 35º do RGPD. Sempre que tal risco for identificado, o Controlador de Dados deverá realizar uma Avaliação de Impacto sobre a Proteção de Dados (doravante designada por “AIPD”) antes do processamento.

A Processadora de Dados deverá fornecer ao Controlador de Dados toda a assistência razoável, mediante solicitação, para permitir a conclusão da Avaliação de Impacto sobre a Proteção de Dados (AIPD), incluindo o fornecimento de documentação relativa às medidas de segurança técnicas e organizacionais implementadas, bem como quaisquer outras informações relevantes sobre as operações de processamento realizadas em nome do Controlador de Dados.

17. Auditorias

17.1. Estrutura

A Processadora de Dados deverá disponibilizar ao Controlador de Dados as informações necessárias para demonstrar o cumprimento de todas as suas obrigações e para permitir auditorias, incluindo inspeções, pelo Controlador de Dados ou por outro auditor por ele designado, e contribuir para essas auditorias. Em caso de auditoria, as seguintes condições deverão ser satisfeitas:

As auditorias previstas neste artigo só podem ser realizadas sob as seguintes condições:

  1. A auditoria deve ser solicitada por carta registada com aviso de recebimento, com antecedência mínima de trinta (30) dias a partir da data pretendida para a auditoria, e deve indicar os motivos que a justificam. Caso a auditoria possa ser realizada mediante o fornecimento de documentos, as Partes darão prioridade à auditoria baseada na apresentação de documentos;
  2. Só pode haver uma (1) auditoria por ano;
  3. A auditoria não deverá durar mais de um (1) dia. Após este período, a Processadora de Dados poderá cobrar pelo tempo despendido pelas suas equipas na auditoria, de acordo com as taxas que serão comunicadas ao Cliente no momento da solicitação da auditoria ou a qualquer momento mediante solicitação do Cliente.

17.2. Finalidades

A auditoria não deve interferir nas atividades da Processadora de Dados além do estritamente necessário, podendo, portanto, concentrar-se apenas na conformidade da Processadora de Dados com as disposições deste APD.

Caso o Cliente decida confiar a auditoria a um terceiro, este deverá (i) não ser concorrente direto ou indireto da Processadora de Dados; (ii) estar estritamente vinculado ao sigilo profissional, que será apresentado pela Processadora de Dados antes da realização da auditoria; (iii) em qualquer caso, a Processadora de Dados poderá opor-se à escolha do auditor, desde que apresente justificação razoável; e (iv) cumprir todos os procedimentos internos da Processadora de Dados. O Cliente permanece, em qualquer caso, totalmente responsável pelo auditor, sem poder invocar any limitação de responsabilidade contra a Processadora de Dados em caso de violação por parte do referido auditor.

17.3. Resultados

Fica entendido entre as Partes que os resultados da auditoria não podem ser divulgados e permanecerão estritamente confidenciais. A Processadora de Dados poderá apresentar as suas observações antes da versão definitiva do relatório de auditoria e terá trinta (30) dias para o fazer, exceto se esse prazo for considerado insuficiente, caso em que poderá solicitar uma prorrogação de trinta (30) dias mediante notificação por e-mail.

18. Obrigações do Controlador de Dados para com a Processadora de Dados

O Controlador de Dados compromete-se em:

  1. Documentar por escrito todas as instruções relativas ao processamento de dados pela Processadora de Dados.
  2. Garantir, antes e durante todo o período de processamento, o cumprimento das obrigações estabelecidas pela legislação aplicável por parte da Processadora de Dados.
  3. Supervisionar o processamento realizado pela Processadora de Dados em conformidade com o Contrato.

19. Ambito de aplicação dos termos gerais de troca de dados

Este APD constitui um documento único juntamente com o Contrato.

Nesse sentido, todas as disposições do Contrato que não forem alteradas ou que não forem contraditórias aos termos deste APD permanecem plenamente aplicáveis entre as Partes. Em particular, a cláusula de limitação de responsabilidade prevista no Contrato (e especialmente no artigo 10º dos Termos e Condições, quando aplicável) é plenamente aplicável em caso de violação deste APD. Em caso de conflito entre as disposições do Contrato e este APD, este APD prevalecerá.

Caso alguma disposição deste APD seja considerada nula e sem efeito ao abrigo da lei aplicável ou decisão judicial definitiva, será considerada como não escrita, sem afetar a validade deste APD ou alterar a validade das demais disposições.