Acordo de Subcontratação de Dados (AVV)
Acordo relativo ao tratamento de dados pessoais por conta do responsável nos termos do art. 28.º do RGPD
Preâmbulo
O presente acordo concretiza as obrigações das partes em matéria de proteção de dados no âmbito da utilização existente entre elas dos serviços da 121 Apps GmbH (doravante o «Subcontratante») pelo cliente (doravante o «Responsável pelo tratamento»). Aplica-se a todas as atividades em que o Subcontratante trate dados pessoais por conta do Responsável pelo tratamento.
§ 1 Objeto, natureza, âmbito, finalidade & duração
(1) O objeto e a finalidade do tratamento resultam do contrato principal subjacente (utilização do respetivo serviço). O Subcontratante trata os dados exclusivamente para a prestação dos serviços acordados contratualmente e mediante instruções documentadas do Responsável pelo tratamento.
(2) Consoante o serviço utilizado, o tratamento abrange, em particular, a recolha, o registo, a organização, a conservação, a adaptação, a consulta, a interrogação, a utilização, a transmissão, a limitação e o apagamento de dados pessoais.
(3) A duração do tratamento corresponde à vigência do contrato principal.
§ 2 Natureza dos dados & categorias de titulares dos dados
(1) Natureza dos dados pessoais: consoante o serviço utilizado, p. ex., dados de base (nome, e-mail, morada), dados de contacto, dados de utilização e de registo, bem como dados de conteúdo introduzidos pelo Responsável pelo tratamento (p. ex., respostas a inquéritos, dados de encomendas e de prestadores de serviços).
(2) As categorias especiais de dados pessoais (art. 9.º do RGPD) não são objeto do presente acordo, salvo se o Responsável pelo tratamento introduzir ele próprio esses dados nos dados de conteúdo; nesse caso, aplicam-se em conformidade os requisitos de proteção reforçados.
(3) Categorias de titulares dos dados: p. ex., trabalhadores, clientes, potenciais clientes, participantes em inquéritos e prestadores de serviços do Responsável pelo tratamento.
§ 3 Obrigações do Subcontratante
(1) O Subcontratante trata os dados apenas mediante instruções documentadas do Responsável pelo tratamento, salvo se estiver legalmente obrigado ao tratamento. As instruções são dadas em forma textual ou escrita; as instruções dadas oralmente devem ser confirmadas sem demora em forma textual ou escrita. As partes podem designar as pessoas autorizadas a dar instruções.
(2) O Subcontratante assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal adequada de sigilo.
(3) O Subcontratante adota todas as medidas técnicas e organizativas exigidas pelo art. 32.º do RGPD (§ 4, em conjugação com o Anexo 1).
(4) O Subcontratante apoia o Responsável pelo tratamento, na medida do possível, no cumprimento dos direitos dos titulares dos dados (art. 12.º a 23.º do RGPD), bem como das obrigações previstas nos art. 32.º a 36.º do RGPD (segurança dos dados, notificação de violações, avaliação de impacto sobre a proteção de dados).
(5) O Subcontratante informa sem demora o Responsável pelo tratamento se, no seu entender, uma instrução violar disposições em matéria de proteção de dados.
§ 4 Medidas técnicas e organizativas (art. 32.º)
O Subcontratante mantém medidas técnicas e organizativas adequadas na aceção do art. 32.º do RGPD, em particular para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas, bem como a verificação regular da sua eficácia. As medidas concretas estão descritas no Anexo 1 e são parte integrante do presente acordo. As alterações substanciais não podem ficar aquém do nível de proteção acordado.
§ 5 Subcontratantes ulteriores
(1) O Responsável pelo tratamento concede uma autorização geral para o recurso a subcontratantes ulteriores. O Subcontratante informa atempadamente o Responsável pelo tratamento, em forma textual, sobre as alterações previstas (contratação ou substituição). O Responsável pelo tratamento pode opor-se a uma alteração por motivo importante de proteção de dados no prazo de quatro semanas após ser informado; se não houver oposição, a alteração considera-se aprovada.
(2) O Subcontratante vincula os subcontratantes ulteriores a um nível de proteção de dados equivalente (art. 28.º, n.º 4, do RGPD). Os subcontratantes ulteriores atualmente contratados estão indicados no Anexo 2.
§ 6 Violações de dados pessoais
O Subcontratante notifica o Responsável pelo tratamento das violações da proteção de dados pessoais sem demora injustificada e, o mais tardar, no prazo de 24 horas após delas tomar conhecimento, e apoia-o no cumprimento das obrigações de notificação e de comunicação (art. 33.º e 34.º do RGPD), para que o Responsável pelo tratamento possa cumprir o seu próprio prazo de 72 horas.
§ 7 Apagamento & devolução
Após a conclusão do tratamento, o Subcontratante apaga os dados, à escolha do Responsável pelo tratamento, ou devolve-os e apaga as cópias existentes, salvo se existir uma obrigação legal de conservação. Até ao termo do contrato, o Responsável pelo tratamento tem a possibilidade de exportar os seus dados.
§ 8 Comprovativos & controlos
(1) O Subcontratante disponibiliza ao Responsável pelo tratamento as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º do RGPD. A demonstração pode igualmente ser feita através de certificados, atestados ou relatórios atuais de terceiros independentes adequados.
(2) As verificações adicionais (incluindo inspeções no local) são realizadas com um pré-aviso razoável de, em regra, duas semanas, no máximo uma vez por ano, bem como, pontualmente, em caso de suspeita concreta, durante o horário normal de funcionamento e sem perturbação desproporcionada da atividade. Os custos de uma inspeção no local promovida pelo Responsável pelo tratamento são suportados por este, salvo se a inspeção revelar uma violação significativa por parte do Subcontratante.
§ 9 Transferência para países terceiros
Por princípio, o tratamento é efetuado exclusivamente dentro da UE ou do EEE. Uma transferência para um país terceiro só é efetuada no cumprimento dos requisitos dos art. 44.º e seguintes do RGPD. A única exceção atual é o processamento de pagamentos através da Stripe, no âmbito do qual uma transferência para os EUA não pode ser totalmente excluída e que se baseia nas cláusulas contratuais-tipo da UE (art. 46.º do RGPD). De resto, não é efetuada qualquer transferência para países terceiros.
§ 10 Responsabilidade & disposições finais
(1) À responsabilidade aplica-se o art. 82.º do RGPD. Na relação entre as partes, aplicam-se complementarmente as disposições em matéria de responsabilidade do contrato principal.
(2) Em caso de contradições entre o presente AVV e o contrato principal, prevalecem as disposições do presente AVV nas questões de proteção de dados.
(3) Aplica-se o direito alemão. O foro exclusivo é, na medida em que a lei o permita, Munique.
(4) As alterações e os aditamentos ao presente acordo requerem forma textual. Caso alguma disposição seja inválida, o acordo permanece válido quanto ao restante.
(5) O presente AVV passa a integrar a relação contratual juntamente com o contrato principal. É celebrado eletronicamente mediante a sua aceitação pelo Responsável pelo tratamento aquando da celebração de uma subscrição paga — no âmbito do processo de encomenda e de pagamento através da Stripe ou por confirmação na sua conta de cliente. Nos termos do art. 28.º, n.º 9, do RGPD, não é necessária uma assinatura manuscrita; a forma eletrónica é suficiente.
Anexo 1 — Medidas técnicas e organizativas (art. 32.º do RGPD)
O Subcontratante aplica as seguintes medidas. Esta lista deve ser confrontada, antes da utilização, com a prática efetivamente implementada.
1. Confidencialidade
- Controlo de acesso físico: operação em centros de dados da Alfahosting GmbH (Halle/Saale) e da Hetzner Online GmbH (Gunzenhausen), com controlo de acesso físico seguro (nomeadamente proteção de acesso e videovigilância).
- Controlo de acesso aos sistemas: contas de utilizador individuais, palavras-passe seguras, autenticação multifator para acessos administrativos, bloqueios automáticos de sessão.
- Controlo de acesso aos dados: conceito de autorizações baseado em funções, segundo o princípio do menor privilégio, registo dos acessos administrativos.
- Controlo de separação: separação lógica, por cliente, dos dados dos diferentes responsáveis pelo tratamento; separação dos ambientes de produção, de teste e de desenvolvimento.
- Encriptação: encriptação TLS da transmissão de dados; encriptação de dados sensíveis em repouso, bem como armazenamento encriptado de dados de acesso e de tokens.
2. Integridade
- Controlo de introdução: registo da criação, alteração e eliminação; rastreabilidade através de registos de auditoria (audit logs).
- Controlo de transmissão: transmissão exclusivamente através de ligações encriptadas.
3. Disponibilidade e resiliência
- cópias de segurança regulares e encriptadas e um procedimento para restabelecer a disponibilidade após um incidente;
- monitorização dos sistemas, proteção contra sobrecarga e ataques (nomeadamente firewalls, proteção contra DDoS), atualizações de segurança atempadas.
4. Procedimentos de verificação, apreciação e avaliação regulares
- verificação regular da eficácia das medidas; revisões de proteção de dados e de segurança; controlo dos subcontratantes ulteriores;
- proteção de dados desde a conceção e por defeito (art. 25.º do RGPD).
Anexo 2 — Subcontratantes ulteriores
À data do presente acordo, estão contratados os seguintes subcontratantes ulteriores:
- Alfahosting GmbH, Halle (Saale), Alemanha — alojamento / centro de dados (UE).
- Hetzner Online GmbH, Gunzenhausen, Alemanha — alojamento / centro de dados (UE).
- Stripe Payments Europe Ltd., Dublin, Irlanda — processamento de pagamentos; uma transferência para os EUA não está excluída e baseia-se nas cláusulas contratuais-tipo da UE.
- Sendinblue GmbH (Brevo), Köln, Alemanha — envio de e-mails e notificações (UE).
Última atualização: 6 de julho de 2026
