O presente Acordo de tratamento de dados (o “Acordo”) é celebrado entre o Utilizador, enquanto
e
a iubenda s.r.l.
Via San Raffaele, 1
20121 Milão
Itália
representante legal, Andrea Giannangelo
O objeto do Acordo resulta do contrato principal assinado pelas partes para a prestação do serviço da iubenda (“Contrato”). O Subcontratante realizará as atividades de tratamento descritas no mesmo
relativamente às seguintes categorias de Dados Pessoais:
referindo-se às seguintes categorias de Titulares dos Dados:
Sem prejuízo da localização do Responsável pelo Tratamento, salvo indicação em contrário no presente documento - nomeadamente no que respeita aos Subcontratantes Ulteriores, nos termos do Artigo 7.º abaixo - todas as atividades de tratamento de dados levadas a cabo pelo Subcontratante serão realizadas nos territórios da União Europeia / Espaço Económico Europeu (UE/EEE).
No presente Acordo, salvo se do contexto resultar o contrário, os termos seguintes terão os seguintes significados:
a. “Acordo” refere-se ao presente Acordo de Tratamento de Dados e respetivos anexos, bem como a quaisquer alterações aos mesmos.
b. “Legislação aplicável em matéria de proteção de dados” refere-se, sendo caso disso, a quaisquer leis e regulamentos de privacidade e proteção de dados aplicáveis, como por exemplo: i) o Regulamento Geral da UE sobre a Proteção de Dados (Regulamento 2016/679) (o “RGPD”); ii) a Lei Federal de Proteção de Dados suíça (a “FADP”); iii) a Lei Geral de Proteção de Dados do Brasil No. 13,709/2018 (a “LGPD”); iv) o Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados do Reino Unido (o “RGPD do Reino Unido”).
c. “Responsável pelo Tratamento” refere-se à entidade que, isoladamente ou em conjunto com outros, determina as finalidades e os meios de Tratamento de Dados Pessoais.
d. “Titular dos Dados” refere-se à pessoa a quem os Dados Pessoais se referem.
e. “Certificação ISO 27001” refere-se a uma norma internacional amplamente reconhecida para a gestão da Segurança da informação. Esta especifica os requisitos para estabelecer, implementar, manter e melhorar de forma continuada o sistema de gestão de segurança da informação (SGSI) de uma organização. A certificação ISO 27001 demonstra que o Subcontratante implementou um conjunto abrangente de medidas e controlos de segurança para proteger a confidencialidade, a integridade e a disponibilidade dos ativos de informação, e que foi submetido a uma avaliação e auditoria independentes por um organismo de certificação no sentido de verificar a conformidade com a norma ISO 27001.
f. “Dados Pessoais” refere-se a qualquer informação relativa a uma pessoa singular identificada ou identificável; é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
g. “Tratamento” refere-se a qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
h. “Subcontratante” refere-se à pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata os Dados Pessoais por conta do Responsável pelo Tratamento.
i. “Subcontratante Ulterior” refere-se a qualquer Subcontratante contratado pelo Subcontratante que aceite receber, do Subcontratante, Dados Pessoais destinados exclusivamente às atividades de tratamento a realizar em nome do Responsável pelo Tratamento, depois de este último ter autorizado tal subcontratação.
l. “Medidas Técnicas e Organizativas” refere-se às medidas destinadas a proteger os Dados Pessoais contra a destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícita.
Qualquer termo em letras maiúsculas não definido no presente documento terá o significado que lhe é atribuído no RGPD, FADP, LGPD, RGPD do Reino Unido e em qualquer Legislação Aplicável em matéria de Proteção de Dados.
O Subcontratante concorda em tratar os Dados Pessoais apenas mediante instrução documentada do Responsável pelo Tratamento, nomeadamente no que respeita a transferências de Dados Pessoais para um país terceiro ou organização internacional, salvo quando tal seja exigido por qualquer Lei Aplicável em matéria de Proteção de Dados às quais o Subcontratante esteja sujeito.
O Subcontratante compromete-se a implementar Medidas Técnicas e Organizativas adequadas que proporcionem um nível de segurança adequado ao risco envolvido no Tratamento e à natureza dos Dados Pessoais a proteger. Estas medidas devem, nomeadamente, proteger os Dados Pessoais contra a destruição, perda, alteração, a divulgação ou o acesso, não autorizados, de modo acidental ou ilícito, a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
São apresentados pormenores específicos destas medidas no Anexo I.
O Subcontratante compromete-se a apoiar o Responsável pelo Tratamento na garantia do cumprimento dos direitos dos Titulares dos Dados nos termos da Legislação Aplicável em matéria de Proteção de Dados.
Os direitos conferidos ao Responsável pelo Tratamento nos termos do presente acordo, incluindo, nomeadamente, o direito de retificação, limitação e apagamento ou devolução de dados, podem ser exercidos através do sistema de tickets ou contactando o Subcontratante através do endereço de correio eletrónico info@iubenda.com.
O Subcontratante deve garantir a qualidade das suas atividades de tratamento de dados, cumprindo as suas obrigações nos termos da Legislação Aplicável em matéria de Proteção de Dados. O Subcontratante deve:
a. Documentar e implementar procedimentos: O Subcontratante deve documentar todas as categorias de atividades de tratamento levadas a cabo em nome do Responsável pelo Tratamento, contendo as informações exigidas nos termos da Legislação Aplicável em matéria de Proteção de Dados.
b. Minimização dos dados: O Subcontratante deve garantir que os Dados Pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.
c. Exatidão dos dados: O Subcontratante adotará quaisquer medidas adequadas para que os Dados Pessoais inexatos, tendo em conta as finalidades do tratamento, sejam apagados ou retificados sem demora.
d. Disponibilidade, integridade e confidencialidade dos dados: O Subcontratante tratará os Dados Pessoais de forma a garantir a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as Medidas Técnicas e Organizativas adequadas.
e. Cooperação com o Responsável pelo Tratamento: O Subcontratante assistirá o Responsável pelo Tratamento na garantia do cumprimento das obrigações em matéria de segurança do tratamento, na notificação das violações de Dados Pessoais à autoridade de controlo, na notificação de violações de Dados Pessoais do Titular dos Dados, nas avaliações de impacto sobre a proteção de dados, bem como na consulta prévia em matéria de tratamento de alto risco.
f. Confidencialidade do trabalhador: O Subcontratante garantirá que os seus trabalhadores que estejam envolvidos no Tratamento de Dados Pessoais sejam informados da natureza confidencial dos Dados Pessoais, tenham recebido a formação adequada para as suas responsabilidades e estejam vinculados a obrigações de confidencialidade e limitações de utilização em matéria de Dados Pessoais.
g. Resposta a Titulares dos Dados: Se o Subcontratante receber um pedido por parte de um Titular dos Dados, nos termos de qualquer Legislação Aplicável em matéria de Proteção de Dados, relativo a Dados Pessoais, o Subcontratante deve aconselhar o Titular dos Dados a apresentar o seu pedido ao Responsável pelo Tratamento, notificando este último do pedido logo que possível.
h. Avaliação de impacto sobre a proteção de dados (AIPD): A pedido do Responsável pelo Tratamento, o Subcontratante fornecerá ao Responsável pelo Tratamento as informações necessárias à realização de uma AIPD, tal como exigido pela Legislação Aplicável em matéria de Proteção de Dados.
O Responsável pelo Tratamento reconhece e aceita que o Subcontratante pode contratar Subcontratantes Ulteriores para levar a cabo atividades de tratamento nos termos do presente Acordo. Considera-se que os Subcontratantes Ulteriores atualmente contratados foram aceites pelo Responsável pelo Tratamento.
Pode ser solicitada uma lista de Subcontratantes Ulteriores através do sistema de tickets ou através do endereço de correio eletrónico info@iubenda.com.
O Subcontratante compromete-se a notificar o Responsável pelo Tratamento antes de qualquer mudança planeada de Subcontratantes Ulteriores, bem como a obter a aprovação do Responsável pelo Tratamento antes de efetuar tal mudança. Em qualquer caso, o Subcontratante deve impor aos Subcontratantes Ulteriores as mesmas obrigações em matéria de proteção de dados que as previstas no presente Acordo.
O Subcontratante, mediante pedido do Responsável pelo Tratamento, disponibilizará quaisquer informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente Acordo, permitindo a realização de auditorias, incluindo inspeções, realizadas pelo Responsável pelo Tratamento ou por outro auditor mandatado pelo Responsável pelo Tratamento, e contribuindo para as mesmas.
As inspeções e as auditorias serão previamente acordadas com o Subcontratante, sendo realizadas sem prejudicar as operações comerciais normais do Subcontratante. O Subcontratante poderá imputar os custos de tais auditorias ou inspeções ao Responsável pelo Tratamento.
O Subcontratante manterá procedimentos e tecnologias sólidos para detetar, prevenir e responder a violações de dados.
O Subcontratante notificará prontamente e sem demora injustificada o Responsável pelo Tratamento logo que tomar conhecimento de um caso de violação de Dados Pessoais. Esta notificação incluirá:
O Subcontratante documentará quaisquer violações de Dados Pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e as medidas de reparação adotadas. O Subcontratante prestará ainda assistência ao Responsável pelo Tratamento no sentido de assegurar o cumprimento das obrigações deste, previstas na legislação aplicável em matéria de proteção de dados, relativas às notificações de violações de segurança às autoridades e às pessoas afetadas.
O Subcontratante não comunicará a violação de Dados Pessoais a terceiros nem ao Titular dos Dados afetado sem o consentimento prévio por escrito do Responsável pelo Tratamento, salvo quando tal comunicação seja exigida pela Legislação Aplicável em matéria de Proteção de Dados. O Subcontratante compreende e aceita que qualquer falta de assistência ao Responsável pelo Tratamento, tal como previsto no presente Artigo, pode levar a sanções e coimas pelas quais o Subcontratante será considerado responsável.
O presente artigo é aplicável sem prejuízo de quaisquer direitos ou medidas aos quais o Responsável pelo Tratamento possa recorrer nos termos do presente Acordo ou da Legislação Aplicável em matéria de Proteção de Dados.
Após a conclusão da prestação de serviços, ou antes, se o Responsável pelo Tratamento o determinar, o Subcontratante, ao critério do Responsável pelo Tratamento, deve apagar ou devolver todos os dados pessoais recolhidos e tratados nos termos do presente acordo, a menos que o Subcontratante deva conservar tais dados pessoais nos termos de qualquer disposição legal aplicável.
Salvo instruções em contrário do Responsável pelo Tratamento, o Subcontratante conservará os dados pessoais durante os seis meses seguintes à cessação do contrato e à conclusão da prestação dos serviços, apenas com o objetivo de permitir a sua exportação pelo Responsável pelo Tratamento. Após o termo do prazo de conservação de seis meses, o Subcontratante deve eliminar todos os dados pessoais.
Sem prejuízo do que precede, o Subcontratante tem o direito de conservar, mesmo após a conclusão da prestação dos serviços e a cessação do contrato, todas as informações necessárias para demonstrar o cumprimento regular do tratamento, de acordo com os períodos de conservação legais.
Os seguintes elementos-chave são implementados como Medidas Técnicas e Organizativas, de acordo com a certificação UNI CEI EN ISO/IEC ISO 27001:2017 do Subcontratante:
a. Políticas de segurança da informação: O Subcontratante estabeleceu, e revê regularmente, uma política de segurança da informação que fornece orientação e apoio em matéria de segurança da informação, de acordo com os requisitos comerciais e a legislação e regulamentos relevantes.
b. Organização da segurança da informação: O Subcontratante atribui responsabilidades para tarefas específicas para garantir uma gestão eficaz da segurança da informação.
c. Segurança dos recursos humanos: O Subcontratante implementou práticas de segurança para os trabalhadores e os contratantes no decurso do seu emprego e das suas funções.
d. Gestão de ativos: O Subcontratante deve manter um inventário de ativos, definindo as responsabilidades de proteção adequadas.
e. Controlo do acesso: O Subcontratante deve garantir que os trabalhadores e os contratantes apenas têm acesso às informações e aos ativos associados às suas funções.
f. Criptografia: O Subcontratante deve utilizar encriptação e gestão de chaves para a proteção da informação.
g. Segurança física e ambiental: O Subcontratante deve proteger os escritórios, as salas e as instalações para impedir o acesso físico não autorizado, danos e interferências nas instalações e informações do Subcontratante.
h. Segurança das operações: O Subcontratante deve assegurar o funcionamento correto e seguro das instalações de tratamento da informação.
i. Segurança das comunicações: O Subcontratante deve implementar redes e transferências de informação de forma segura.
l. Aquisição, desenvolvimento e manutenção de sistemas: O Subcontratante deve garantir que a segurança da informação é parte integrante dos sistemas ao longo do seu ciclo de vida.
m. Relacionamento com fornecedores: O Subcontratante deve proteger os ativos do Subcontratante a que os fornecedores tenham acesso.
n. Gestão de incidentes: O Subcontratante deve gerir os incidentes e as melhorias em matéria de segurança da informação.
o. Gestão da continuidade do negócio: O Subcontratante deve gerir a continuidade da gestão da segurança da informação em caso de perturbação da atividade.
p. Conformidade: O Subcontratante cumprirá os requisitos legais, estatutários, regulamentares e contratuais, bem como as políticas e procedimentos do Subcontratante.
q. Segurança na cloud: O Subcontratante implementou medidas adicionais de segurança na cloud para proteger a integridade, acessibilidade e confidencialidade dos dados. Estas medidas incluem, nomeadamente, transferência de dados segura, interfaces de software seguras, conservação de dados segura, gestão da identidade e do acesso do utilizador, bem como segurança das infraestruturas. O Subcontratante deve ainda realizar auditorias de segurança regulares à sua cloud para identificar e resolver potenciais vulnerabilidades.
Informações adicionais sobre a certificação ISO 27001 do Subcontratante, incluindo uma cópia do próprio certificado, podem ser solicitadas através do sistema de tickets do Subcontratante por email.