← Voltar à página inicial

Acordo de Subcontratação de Dados (AVV)

Acordo relativo ao tratamento de dados pessoais por conta do responsável nos termos do art. 28.º do RGPD

Tradução de cortesia. Esta versão portuguesa é disponibilizada apenas para fins informativos. O texto juridicamente vinculativo é o original alemão; em caso de divergência, prevalece a versão alemã.

Preâmbulo

O presente acordo concretiza as obrigações das partes em matéria de proteção de dados no âmbito da utilização existente entre elas dos serviços da 121 Apps GmbH (doravante o «Subcontratante») pelo cliente (doravante o «Responsável pelo tratamento»). Aplica-se a todas as atividades em que o Subcontratante trate dados pessoais por conta do Responsável pelo tratamento.

§ 1 Objeto, natureza, âmbito, finalidade & duração

(1) O objeto e a finalidade do tratamento resultam do contrato principal subjacente (utilização do respetivo serviço). O Subcontratante trata os dados exclusivamente para a prestação dos serviços acordados contratualmente e mediante instruções documentadas do Responsável pelo tratamento.

(2) Consoante o serviço utilizado, o tratamento abrange, em particular, a recolha, o registo, a organização, a conservação, a adaptação, a consulta, a interrogação, a utilização, a transmissão, a limitação e o apagamento de dados pessoais.

(3) A duração do tratamento corresponde à vigência do contrato principal.

§ 2 Natureza dos dados & categorias de titulares dos dados

(1) Natureza dos dados pessoais: consoante o serviço utilizado, p. ex., dados de base (nome, e-mail, morada), dados de contacto, dados de utilização e de registo, bem como dados de conteúdo introduzidos pelo Responsável pelo tratamento (p. ex., respostas a inquéritos, dados de encomendas e de prestadores de serviços).

(2) As categorias especiais de dados pessoais (art. 9.º do RGPD) não são objeto do presente acordo, salvo se o Responsável pelo tratamento introduzir ele próprio esses dados nos dados de conteúdo; nesse caso, aplicam-se em conformidade os requisitos de proteção reforçados.

(3) Categorias de titulares dos dados: p. ex., trabalhadores, clientes, potenciais clientes, participantes em inquéritos e prestadores de serviços do Responsável pelo tratamento.

§ 3 Obrigações do Subcontratante

(1) O Subcontratante trata os dados apenas mediante instruções documentadas do Responsável pelo tratamento, salvo se estiver legalmente obrigado ao tratamento. As instruções são dadas em forma textual ou escrita; as instruções dadas oralmente devem ser confirmadas sem demora em forma textual ou escrita. As partes podem designar as pessoas autorizadas a dar instruções.

(2) O Subcontratante assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal adequada de sigilo.

(3) O Subcontratante adota todas as medidas técnicas e organizativas exigidas pelo art. 32.º do RGPD (§ 4, em conjugação com o Anexo 1).

(4) O Subcontratante apoia o Responsável pelo tratamento, na medida do possível, no cumprimento dos direitos dos titulares dos dados (art. 12.º a 23.º do RGPD), bem como das obrigações previstas nos art. 32.º a 36.º do RGPD (segurança dos dados, notificação de violações, avaliação de impacto sobre a proteção de dados).

(5) O Subcontratante informa sem demora o Responsável pelo tratamento se, no seu entender, uma instrução violar disposições em matéria de proteção de dados.

§ 4 Medidas técnicas e organizativas (art. 32.º)

O Subcontratante mantém medidas técnicas e organizativas adequadas na aceção do art. 32.º do RGPD, em particular para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas, bem como a verificação regular da sua eficácia. As medidas concretas estão descritas no Anexo 1 e são parte integrante do presente acordo. As alterações substanciais não podem ficar aquém do nível de proteção acordado.

§ 5 Subcontratantes ulteriores

(1) O Responsável pelo tratamento concede uma autorização geral para o recurso a subcontratantes ulteriores. O Subcontratante informa atempadamente o Responsável pelo tratamento, em forma textual, sobre as alterações previstas (contratação ou substituição). O Responsável pelo tratamento pode opor-se a uma alteração por motivo importante de proteção de dados no prazo de quatro semanas após ser informado; se não houver oposição, a alteração considera-se aprovada.

(2) O Subcontratante vincula os subcontratantes ulteriores a um nível de proteção de dados equivalente (art. 28.º, n.º 4, do RGPD). Os subcontratantes ulteriores atualmente contratados estão indicados no Anexo 2.

§ 6 Violações de dados pessoais

O Subcontratante notifica o Responsável pelo tratamento das violações da proteção de dados pessoais sem demora injustificada e, o mais tardar, no prazo de 24 horas após delas tomar conhecimento, e apoia-o no cumprimento das obrigações de notificação e de comunicação (art. 33.º e 34.º do RGPD), para que o Responsável pelo tratamento possa cumprir o seu próprio prazo de 72 horas.

§ 7 Apagamento & devolução

Após a conclusão do tratamento, o Subcontratante apaga os dados, à escolha do Responsável pelo tratamento, ou devolve-os e apaga as cópias existentes, salvo se existir uma obrigação legal de conservação. Até ao termo do contrato, o Responsável pelo tratamento tem a possibilidade de exportar os seus dados.

§ 8 Comprovativos & controlos

(1) O Subcontratante disponibiliza ao Responsável pelo tratamento as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º do RGPD. A demonstração pode igualmente ser feita através de certificados, atestados ou relatórios atuais de terceiros independentes adequados.

(2) As verificações adicionais (incluindo inspeções no local) são realizadas com um pré-aviso razoável de, em regra, duas semanas, no máximo uma vez por ano, bem como, pontualmente, em caso de suspeita concreta, durante o horário normal de funcionamento e sem perturbação desproporcionada da atividade. Os custos de uma inspeção no local promovida pelo Responsável pelo tratamento são suportados por este, salvo se a inspeção revelar uma violação significativa por parte do Subcontratante.

§ 9 Transferência para países terceiros

Por princípio, o tratamento é efetuado exclusivamente dentro da UE ou do EEE. Uma transferência para um país terceiro só é efetuada no cumprimento dos requisitos dos art. 44.º e seguintes do RGPD. A única exceção atual é o processamento de pagamentos através da Stripe, no âmbito do qual uma transferência para os EUA não pode ser totalmente excluída e que se baseia nas cláusulas contratuais-tipo da UE (art. 46.º do RGPD). De resto, não é efetuada qualquer transferência para países terceiros.

§ 10 Responsabilidade & disposições finais

(1) À responsabilidade aplica-se o art. 82.º do RGPD. Na relação entre as partes, aplicam-se complementarmente as disposições em matéria de responsabilidade do contrato principal.

(2) Em caso de contradições entre o presente AVV e o contrato principal, prevalecem as disposições do presente AVV nas questões de proteção de dados.

(3) Aplica-se o direito alemão. O foro exclusivo é, na medida em que a lei o permita, Munique.

(4) As alterações e os aditamentos ao presente acordo requerem forma textual. Caso alguma disposição seja inválida, o acordo permanece válido quanto ao restante.

(5) O presente AVV passa a integrar a relação contratual juntamente com o contrato principal. É celebrado eletronicamente mediante a sua aceitação pelo Responsável pelo tratamento aquando da celebração de uma subscrição paga — no âmbito do processo de encomenda e de pagamento através da Stripe ou por confirmação na sua conta de cliente. Nos termos do art. 28.º, n.º 9, do RGPD, não é necessária uma assinatura manuscrita; a forma eletrónica é suficiente.

Anexo 1 — Medidas técnicas e organizativas (art. 32.º do RGPD)

O Subcontratante aplica as seguintes medidas. Esta lista deve ser confrontada, antes da utilização, com a prática efetivamente implementada.

1. Confidencialidade

  • Controlo de acesso físico: operação em centros de dados da Alfahosting GmbH (Halle/Saale) e da Hetzner Online GmbH (Gunzenhausen), com controlo de acesso físico seguro (nomeadamente proteção de acesso e videovigilância).
  • Controlo de acesso aos sistemas: contas de utilizador individuais, palavras-passe seguras, autenticação multifator para acessos administrativos, bloqueios automáticos de sessão.
  • Controlo de acesso aos dados: conceito de autorizações baseado em funções, segundo o princípio do menor privilégio, registo dos acessos administrativos.
  • Controlo de separação: separação lógica, por cliente, dos dados dos diferentes responsáveis pelo tratamento; separação dos ambientes de produção, de teste e de desenvolvimento.
  • Encriptação: encriptação TLS da transmissão de dados; encriptação de dados sensíveis em repouso, bem como armazenamento encriptado de dados de acesso e de tokens.

2. Integridade

  • Controlo de introdução: registo da criação, alteração e eliminação; rastreabilidade através de registos de auditoria (audit logs).
  • Controlo de transmissão: transmissão exclusivamente através de ligações encriptadas.

3. Disponibilidade e resiliência

  • cópias de segurança regulares e encriptadas e um procedimento para restabelecer a disponibilidade após um incidente;
  • monitorização dos sistemas, proteção contra sobrecarga e ataques (nomeadamente firewalls, proteção contra DDoS), atualizações de segurança atempadas.

4. Procedimentos de verificação, apreciação e avaliação regulares

  • verificação regular da eficácia das medidas; revisões de proteção de dados e de segurança; controlo dos subcontratantes ulteriores;
  • proteção de dados desde a conceção e por defeito (art. 25.º do RGPD).

Anexo 2 — Subcontratantes ulteriores

À data do presente acordo, estão contratados os seguintes subcontratantes ulteriores:

  • Alfahosting GmbH, Halle (Saale), Alemanha — alojamento / centro de dados (UE).
  • Hetzner Online GmbH, Gunzenhausen, Alemanha — alojamento / centro de dados (UE).
  • Stripe Payments Europe Ltd., Dublin, Irlanda — processamento de pagamentos; uma transferência para os EUA não está excluída e baseia-se nas cláusulas contratuais-tipo da UE.
  • Sendinblue GmbH (Brevo), Köln, Alemanha — envio de e-mails e notificações (UE).

Última atualização: 6 de julho de 2026