Acordo de Tratamento de Dados (DPA)

Preâmbulo

O presente Acordo de Tratamento de Dados («DPA» — Data Processing Agreement) constitui o anexo contratual exigido pelo artigo 28 do Regulamento (UE) 2016/679, de 27 de abril de 2016 («RGPD»). Enquadra os tratamentos de dados pessoais realizados pela Axelo por conta de um Cliente profissional (B2B) no âmbito dos Serviços contratados.

O DPA complementa as CGV, as CGS SaaS e a Política de Privacidade. Em caso de contradição em matéria de proteção de dados, prevalece o DPA.

Artigo 1 — Partes e qualificação

Responsável pelo tratamento — o Cliente, pessoa coletiva ou singular profissional que subscreveu os Serviços Axelo, que determina as finalidades e os meios do tratamento dos dados pessoais dos seus próprios utilizadores, clientes, trabalhadores ou contactos.

Subcontratante — Axel REGNOULT, que opera sob o nome comercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 Paris, França — legal@web-agency.app), que trata os dados pessoais por conta do Responsável pelo tratamento e exclusivamente segundo as instruções deste.

Artigo 2 — Objeto, natureza e duração do tratamento

• Objeto: prestação dos Serviços Axelo (criação, alojamento, manutenção de sítios web, SaaS, prestações de desenvolvimento, suporte técnico) que implicam o tratamento de dados pessoais de que o Cliente é Responsável.
• Natureza: operações de recolha, registo, organização, estruturação, conservação, consulta, alteração, extração, supressão, cópia de segurança e destruição dos dados, bem como qualquer operação técnica necessária à prestação dos Serviços.
• Finalidade: execução do contrato principal e prestação dos Serviços ao Responsável pelo tratamento.
• Duração: durante toda a duração do contrato principal e até ao tratamento dos dados em conformidade com o artigo 11 do presente DPA.

Artigo 3 — Categorias de dados e titulares

As categorias de dados tratados e de titulares dependem da parametrização dos Serviços pelo Responsável. A título indicativo, compreendem:

• Titulares dos dados: utilizadores, clientes, contactos comerciais, trabalhadores, contactos profissionais do Responsável pelo tratamento.
• Categorias de dados: identidade (apelido, nome próprio), contactos (correio eletrónico, telefone, morada postal), dados de ligação (registos, endereço IP), dados transacionais, dados de navegação, conteúdos introduzidos nos formulários, metadados técnicos.
• Categorias especiais: nenhum dado sensível na aceção do artigo 9 do RGPD é tratado salvo instrução escrita expressa e prévia do Responsável, acompanhada de uma avaliação de impacto (AIPD).

Artigo 4 — Instruções documentadas do Responsável

O Subcontratante trata os dados pessoais apenas com base em instruções documentadas do Responsável (art. 28.3.a RGPD), inclusive no que respeita às transferências para um país terceiro ou uma organização internacional.

As instruções iniciais do Responsável materializam-se no contrato principal, nas CGV, nas CGS SaaS e na parametrização escolhida dos Serviços. Qualquer instrução complementar é dirigida por escrito para legal@web-agency.app.

O Subcontratante informa imediatamente o Responsável se, em seu entender, uma instrução constitui uma violação do RGPD ou de outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

Artigo 5 — Confidencialidade do pessoal

O Subcontratante garante que as pessoas autorizadas a tratar os dados pessoais estão sujeitas a uma obrigação de confidencialidade, contratual ou estatutária (art. 28.3.b RGPD), e que receberam a formação necessária em matéria de proteção de dados.

Artigo 6 — Medidas técnicas e organizativas

Em conformidade com o artigo 32 do RGPD, o Subcontratante aplica as medidas técnicas e organizativas adequadas para garantir um nível de segurança ajustado ao risco, nomeadamente:

• Cifragem: TLS 1.2+ em trânsito (HTTPS), AES-256 ou equivalente em repouso para os dados armazenados em Google Cloud Platform (Firestore, Cloud Storage);
• Isolamento: compartimentação lógica dos dados entre Clientes, controlos de acesso baseados em papéis (RBAC), autenticação forte (2FA) para as contas de administrador;
• Registo: registos de acesso e de operações conservados durante, no mínimo, seis (6) meses para permitir a deteção de incidentes e a auditoria;
• Cópias de segurança: cópias de segurança cifradas diárias com retenção de trinta (30) dias, restauração testada periodicamente;
• Atualizações: aplicação regular das correções de segurança em todos os componentes de software;
• Resiliência: infraestrutura Google Cloud europe-west4 com redundância multi-zona (cf. PCA).

Artigo 7 — Subcontratantes ulteriores

O Responsável autoriza, pela presente, o Subcontratante a recorrer a subcontratantes ulteriores para a execução dos Serviços. Trata-se de uma autorização geral escrita na aceção do art. 28.2 do RGPD.

À data do presente acordo, os principais subcontratantes ulteriores são:

• Google Ireland Limited / Google Cloud EMEA Limited (Dublin, Irlanda) — alojamento, computação, base de dados, armazenamento (região europe-west4, Países Baixos);
• Cloudflare, Inc. (São Francisco, EUA — entidade UE: Cloudflare Germany GmbH) — CDN, proteção DDoS, DNS gerido;
• Stripe Payments Europe, Ltd. (Dublin, Irlanda) — processamento de pagamentos por cartão bancário;
• Resend, Inc. ou prestador equivalente — envio de correios eletrónicos transacionais (região UE).

O Subcontratante informa o Responsável de qualquer projeto de adição ou substituição de um subcontratante ulterior por notificação escrita com pelo menos trinta (30) dias de antecedência relativamente à data de efeito. O Responsável dispõe deste prazo para formular uma objeção fundamentada. Na falta de objeção no prazo, considera-se aceite a adição. Em caso de objeção persistente, o Responsável pode resolver o contrato principal sem penalização nas condições previstas pelas CGV.

O Subcontratante impõe a cada subcontratante ulterior, por contrato, obrigações de proteção de dados equivalentes às do presente DPA. Continua plenamente responsável pela execução pelo subcontratante ulterior das suas obrigações.

Artigo 8 — Direitos dos titulares

O Subcontratante assiste o Responsável, por medidas técnicas e organizativas adequadas, na medida do possível, para permitir ao Responsável responder aos pedidos de exercício dos direitos dos titulares (acesso, retificação, apagamento, limitação, portabilidade, oposição, retirada do consentimento).

Quando um pedido é dirigido diretamente ao Subcontratante, este transmite-o sem demora ao Responsável e não lhe responde sem instrução escrita deste.

Artigo 9 — Notificação de incidente

Em conformidade com o artigo 33.2 do RGPD, o Subcontratante notifica o Responsável de qualquer violação de dados pessoais sem demora injustificada e, o mais tardar, no prazo de setenta e duas (72) horas após ter tido conhecimento da mesma.

A notificação é enviada por correio eletrónico para o endereço de contacto indicado pelo Responsável e precisa, na medida do possível:

• a natureza da violação e as categorias e o número aproximado de pessoas e de registos afetados;
• as consequências prováveis da violação;
• as medidas tomadas ou previstas para a remediar, inclusive para mitigar os eventuais efeitos negativos;
• os contactos do ponto de contacto para obter mais informações.

Artigo 10 — Auditoria

O Subcontratante coloca à disposição do Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações do artigo 28 do RGPD e permitir a realização de auditorias, incluindo inspeções, pelo Responsável ou por um auditor terceiro independente por si mandatado.

As auditorias são organizadas a pedido escrito do Responsável, com pré-aviso razoável de pelo menos trinta (30) dias, nas instalações ou por via documental, e dentro do limite de uma (1) auditoria por ano, salvo incidente comprovado. Os custos da auditoria são suportados pelo Responsável, salvo se a auditoria revelar um incumprimento substancial do Subcontratante das suas obrigações.

O auditor terceiro assina previamente um compromisso de confidencialidade. A auditoria não pode prejudicar a confidencialidade dos dados dos outros clientes do Subcontratante.

Artigo 11 — Destino dos dados no final do contrato

No termo da prestação, e por opção do Responsável manifestada por escrito num prazo de trinta (30) dias a contar do fim do contrato, o Subcontratante:

• restitui ao Responsável o conjunto dos dados pessoais num formato aberto e explorável; ou
• suprime de forma irreversível o conjunto dos dados pessoais e das cópias existentes.

Na falta de instrução escrita do Responsável no prazo concedido, o Subcontratante procede à supressão irreversível. As cópias de segurança são sobrescritas por rotação segundo o ciclo definido na PCA.

O Subcontratante pode conservar certos dados estritamente necessários ao cumprimento de uma obrigação legal (contabilidade, combate ao branqueamento, etc.), pela duração prevista por lei.

Artigo 12 — Registo das atividades (RGPD art. 30)

O Subcontratante mantém um registo das atividades de tratamento realizadas por conta do Responsável, em conformidade com o artigo 30.2 do RGPD. Este registo é colocado à disposição do Responsável e da autoridade de controlo (CNIL) a seu pedido escrito.

Artigo 13 — Transferências fora da UE

Os tratamentos principais são realizados no Espaço Económico Europeu (região Google Cloud europe-west4, Países Baixos).

As eventuais transferências para os Estados Unidos (Cloudflare, suporte técnico Google, etc.) são enquadradas pelo Data Privacy Framework (DPF) UE — Estados Unidos adotado em julho de 2023, complementado pelas Cláusulas Contratuais-Tipo (CCT) da Comissão Europeia de 4 de junho de 2021 quando o subcontratante ulterior não estiver certificado DPF.

Artigo 14 — Direito aplicável e jurisdição

O presente DPA rege-se pelo direito francês e pelo RGPD. Qualquer litígio relativo à sua interpretação ou execução é da competência exclusiva do Tribunal de comércio de Paris, não obstante a pluralidade de demandados ou o chamamento em garantia.

Os titulares dos dados têm o direito de apresentar reclamação junto da Comissão Nacional da Informática e das Liberdades (CNIL).