Acordo para o tratamento de dados pessoais
O presente Acordo de Tratamento de Dados (“ATD”) aplica-se a todo o tratamento de dados pessoais que a Numintec realiza em nome dos seus clientes como subcontatante.
O presente Contrato de Processamento de Dados (“ATD”) é um acordo entre a Numintec Comunicaciones S.L. (“NUMINTEC”) e a entidade que contrata os seus serviços (“Cliente”) e estabelece as obrigações de ambas as partes en no que diz respeito ao tratamento e segurança de dados pessoais pelos quais o Cliente é responsável em relação à utilização dos serviços da Numintec.
Este ATD complementa os Termos e Condições de Contrato dos serviços da Numintec, disponíveis em https://www.numintec.com/pt-pt/acordo-para-o-tratamento-de-dados-pessoais/ ou outro acordo entre o Cliente e a Numintec que rege a utilização pelo Cliente dos serviços prestados pela Numintec quando a Regulamentação (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“RGPD”).
DEFINIÇÕES
Para efeitos do presente Acordo de Tratamento de Dados Pessoais:
“Lei aplicável de Proteção de Dados”, as leis e regulamentos aplicáveis em que o tratamento de dados ocorre, que se aplicam aos termos deste DPA e que podem variar ao longo do tempo. Inclui tanto o Regulamentação (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“RGPD”), bem como as legislações locais aplicáveis em que o tratamento ocorre, como, por exemplo, em Portugal está a Lei n.º 58/2019, de 08 de Agosto – Lei da Proteção de Dados Pessoais (“LPDP”).
“Responsável” ou ” Responsável pelo tratamento“, a pessoa singular ou jurídica, a autoridade pública, a agência ou outro organismo que, sozinho ou em conjunto com outros, determine as finalidades e os meios do tratamento de dados pessoais.
“Subcontratante” uma pessoa singular ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento;
“Titular dos dados“, uma pessoa que é objeto de dados pessoais;
“ATD”, “este ATD”, “este acordo ATD” é este Acordo de Processamento de Dados Pessoais;
“Dados pessoais “, qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
“Autoridade de controlo “, uma autoridade independente criada por um Estado-Membro responsável pela supervisão do tratamento de dados pessoais , a fim de proteger os direitos e liberdades fundamentais das pessoas singulares no que respeita ao tratamento dos seus dados;
“Dados do Cliente” significa todos os dados pessoais (incluindo todos os ficheiros de texto, som, vídeo ou imagem) que as pessoas autorizadas do Cliente incorporam nas bases de dados e nos sistemas de hospedagem de cada serviço, bem como aqueles que podem ser gerados e mantidos através da utilização dos serviços da NUMINTEC. O Cliente é responsável pelo tratamento destes dados pessoais.
“Contrato de Serviço “, a Aceitação da Ordem e os Termos e Condições do Contrato , juntamente com o formulário de encomenda correspondente, as descrições do Serviço, quaisquer Termos e Condições Específicos de Serviço aplicáveis e a Garantia de Nível de Serviço, em qualquer caso na versão existente na data do Formulário de Encomenda;
“Numintec”, “nós”, “nosso” e todas as derivações destas palavras significam Numintec Comunicaciones S.L., uma empresa incorporada de acordo com as leis de Espanha, com CIF nº B63003636 e sede na C/ Diputació, 279-283, Entlo. 2º, 08007 – Barcelona (Espanha);
“Serviços”, “Serviços NUMINTEC” são serviços de Software como serviço (SaaS). Estes são os serviços prestados através da internet pela NUMINTEC a favor do Cliente, em relação à utilização do serviço contratado, através da plataforma NUMINTEC e dentro da infraestrutura de computação em nuvem
“Subcontratantes ulteriores” são os subcontratantes que NUMINTEC utiliza para processar os Dados do Cliente, conforme descrito no artigo 28.º do RGPD.
TERMOS
SECCIDEN I
Cláusula 1. Finalidade e âmbito
- As presentes cláusulas contratuais-tipo (cláusulas) visam assegurar a conformidade o artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados].
- Os responsáveis pelo tratamento e os subcontratantes enumerados no anexo I acordaram nas presentes cláusulas a fim de assegurar o cumprimento do disposto no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679.
- As presentes cláusulas são aplicáveis ao tratamento de dados pessoais, conforme especificado no anexo II.
- Os anexos I a IV são parte integrante das cláusulas.
- As presentes cláusulas não prejudicam as obrigações a que o responsável pelo tratamento está sujeito por força do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725.
- As presentes cláusulas não garantem, por si só, o cumprimento das obrigações relacionadas com as transferências internacionais em conformidade com o capítulo V do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725.
- A especificação deste DPA está alinhada com a Decisão de Implementação da Comissão (UE) 2021/915, de 4 de junho de 2021, relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes.
- O presente ATD, incluindo as suas definições, considerandos e anexos, é um documento separado que não incorpora condições comerciais que devem ter sido estabelecidas pelas partes para acordos comerciais separados.
Cláusula 2. Variabilidade da lista de cláusulas
- As Partes comprometem-se a não alterar as cláusulas, exceto para acrescentar informações nos anexos ou atualizar as informações neles contidas.
- Tal não impede as Partes de incluírem as cláusulas contratuais-tipo estabelecidas nas presentes cláusulas num contrato mais abrangente ou de acrescentarem outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados.
Cláusula 3. Interpretação
- Caso as presentes cláusulas utilizem os termos definidos no Regulamento (UE) 2016, esses termos terão o mesmo significado que lhes é atribuído no regulamento em causa.
- As presentes cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
- As presentes cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679, sem prejuízo dos direitos e das liberdades fundamentais dos titulares dos dados.
Cláusula 4. Hierarquia
Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos celebrados entre as Partes que se encontrem em vigor no momento em que as presentes cláusulas sejam acordadas ou que sejam celebrados posteriormente, prevalecem as presentes cláusulas.
SECÇÃO II. OBRIGAÇÕES DAS PARTES
Cláusula 5. Descrição do tratamento ou tratamentos
Os pormenores das operações de tratamento, em particular as categorias de dados pessoais e as finalidades do tratamento para as quais os dados pessoais são tratados por conta do responsável pelo tratamento, são especificados no anexo II.
Cláusula 6. Obrigações das partes
6.1.Instruções
- O responsável pelo tratamento instruirá o transformador a tratar os dados pessoais da forma razoavelmente necessária para que o transformador efetue o tratamento de acordo com o presente ATD e de acordo com o Regulamento (UE) 2016/679.
- O subcontratante deve proceder ao tratamento de dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, salvo se for obrigado a fazê-lo pelo direito da União ou pelo direito do Estado-Membro a que esteja sujeito. Neste caso, o subcontratante deve informar o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei o proibir por motivos importantes de interesse público. O responsável pelo tratamento pode dar instruções subsequentes ao longo de toda a duração do tratamento de dados pessoais. Estas instruções devem ser sempre documentadas.
- O responsável pelo tratamento abster-se-á de fornecer instruções que não cumpram as leis aplicáveis, incluindo o Regulamento (UE) 2016/679 e, no caso de tais instruções serem dadas, o transformador tem o direito de se retirar da sua execução.
- O subcontratante deve informar imediatamente o responsável pelo tratamento se, no seu entender, as instruções dadas pelo responsável pelo tratamento violarem o Regulamento (UE) 2016/679 ou as disposições aplicáveis do direito da União ou do direito dos Estados-Membros em matéria de proteção de dados.
- O subcontratante não divulgará quaisquer dados pessoais a terceiros em nenhuma circunstância que não seja a pedido escrito específico do responsável pelo tratamento, a menos que tal divulgação seja necessária para cumprir as obrigações do Contrato de Serviço ou seja exigida nos termos da legislação da União ou dos Estados-Membros aplicável ao transformador.
6.2. Limitação de finalidade
O subcontratante deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) do tratamento, conforme estabelecido no anexo II, salvo se receber instruções adicionais do responsável pelo tratamento.
6.3. Duração do tratamento de dados pessoais
O tratamento pelo subcontratante só pode ocorrer durante o período especificado no anexo II.
6.4. Securança do tratamento
- O subcontratante deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo III para garantir a segurança dos dados pessoais. Tal inclui a proteção dos dados contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados aos dados (violação de dados pessoais). Ao avaliar o nível de segurança adequado, as Partes devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento e os riscos para os titulares dos dados.
- O subcontratante só deve conceder acesso aos dados pessoais objeto de tratamento aos membros do seu pessoal na medida estritamente necessária para a execução, a gestão e o acompanhamento do contrato.
- O subcontratante deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequada
- O subcontratante assegurará que as pessoas autorizadas a processar os dados pessoais recebidos se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação de confidencialidade de natureza legal. O subcontratante deve manter à disposição do responsável pelo tratamento todos os registos documentados do cumprimento da obrigação de confidencialidade.
- O transformador deve assegurar que todas as pessoas autorizadas a processar dados pessoais recebam a formação necessária na proteção de dados pessoais.
6.5. Dados sensíveis
Se o tratamento envolver dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais e com infrações («dados sensíveis»), o subcontratante deve aplicar limitações específicas e/ou garantias adicionais
6.6. Documentação e cumprimiento
- As partes devem poder demonstrar o cumprimento das cláusulas deste ATD.
- O subcontratante deve responder, rápida e adequadamente, aos pedidos de informação do responsável pelo tratamento sobre o tratamento de dados, em conformidade com as presentes cláusulas.
- O subcontratante designará no Anexo I um ponto de contato em sua organização autorizada para responder a consultas relacionadas ao processamento de dados pessoais e cooperará com o controlador, a parte interessada e a autoridade de controlo em relação a todos esses consultas dentro de um tempo razoável.
- O subcontratante deve disponibilizar ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas nas presentes cláusulas decorrentes diretamente do Regulamento (UE) 2016/679.
- A pedido do responsável pelo tratamento, o subcontratante deve igualmente facilitar e contribuir para as auditorias das operações de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou uma auditoria, o responsável pelo tratamento pode ter em conta as certificações pertinentes detidas pelo subcontratante.
Estas auditorias serão solicitadas com aviso razoável e serão realizadas durante o horário normal de trabalho. O pedido pode estar sujeito a qualquer consentimento ou aprovação necessária de uma autoridade de supervisão no país do responsável pelo tratamento.
- O responsável pelo tratamento pode optar por realizar, ele próprio, a auditoria ou mandatar um auditor independente. As auditorias podem igualmente incluir inspeções nos edifícios ou nas instalações físicas do subcontratante, devendo, se for caso disso, ser realizadas com uma antecedência razoável.
- As Partes devem disponibilizar as informações referidas na presente cláusula, incluindo os resultados de quaisquer auditorias, à(s) autoridade de controle competente(s), mediante pedido.
- O subcontratante coopera com a Autoridade De Controlo em relação a qualquer atividade exercida pelo subcontratante.
- O subcontratante notificará o responsável por qualquer solicitação de informação pela autoridade de supervisão.
- O subcontratante notificará o responsável por qualquer reclamação, notificação ou comunicação recebida que se relacione direta ou indiretamente com o tratamento de dados pessoais ou outras atividades conexas, ou que se relacione direta ou indiretamente com a conformidade e/ou capacidade de resposta do subcontratante com a legislação aplicável relevante, incluindo a lei aplicável em termos de proteção de dados pessoais.
6.7. Recurso a subcontratantes ulteriores
- O subcontratante é autorizado pelo responsável pelo tratamento para a contratação de subcontratantes ulteriores a partir de uma lista acordada documentada no anexo IV. O subcontratante deve informar especificamente o responsável pelo tratamento, por escrito, das alterações pretendidas a efetuar a essa lista quanto ao aumento do número ou à substituição de subcontratantes ulteriores com uma antecedência mínima de 1 mês de antecedência, dando assim ao responsável pelo tratamento tempo suficiente para se opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es) em causa. O subcontratante deve fornecer ao responsável pelo tratamento as informações necessárias para que este último possa exercer o direito de oposição.
- Caso o subcontratante contrate um subcontratante ulterior para realizar operações específicas de tratamento (por conta do responsável pelo tratamento), deve fazê-o através de um contrato que imponha ao subcontratante ulterior, do ponto de vista material, as mesmas obrigações em matéria de proteção de dados que as impostas ao subcontratante em conformidade com as presentes cláusulas. O subcontratante deve assegurar o cumprimento, pelo subcontratante ulterior, das obrigações a que o subcontratante está sujeito nos termos das presentes cláusulas e do Regulamento (UE) 2016/679.
- O subcontratante deve facultar ao responsável pelo tratamento, a pedido do mesmo, uma cópia do referido acordo de subcontratação e de quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o subcontratante pode editar o texto do acordo antes de partilhar a cópia.
- O subcontratante continua a ser inteiramente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações que incumbem ao subcontratante ulterior em conformidade com o seu contrato com o subcontratante. O subcontratante deve notificar o responsável pelo tratamento de qualquer incumprimento, pelo subcontratante ulterior, das obrigações contratuais que lhe incumbem.
- O subcontratante deve acordar com o subcontratante ulterior uma cláusula do terceiro beneficiário nos termos da qual – em caso de desaparecimento de facto, de extinção legal ou de insolvência do subcontratante – o responsável pelo tratamento tem o direito de rescindir o contrato do subcontratante ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.
6.8. Transferências Internacionais
- Qualquer transferência de dados para um país terceiro ou para uma organização internacional pelo subcontratante só pode ser efetuada com base em instruções documentadas do responsável pelo tratamento ou a fim de cumprir um requisito específico ao abrigo do direito da União ou do direito do Estado-Membro a que o subcontratante esteja sujeito e deve ter lugar em conformidade com o capítulo V do Regulamento (UE) 2016/679.
- O responsável pelo tratamento concorda que, caso o subcontratante contrate um subcontratante ulterior, em conformidade com a cláusula 7.7, para realizar operações específicas de tratamento (por conta do responsável pelo tratamento) e essas operações de tratamento envolve uma transferência de dados pessoais na aceção do capítulo V do Regulamento (UE) 2016/679, o subcontratante e o subcontratante ulterior podem assegurar o cumprimento do capítulo V do Regulamento (UE) 2016/679. Nesse caso, isso é feito somente quando o subcontratante trata os dados em países que oferecem um nível adequado de proteção ou que oferecem garantias adequadas, como normas corporativas vinculativas ou usando cláusulas contratuais-tipo adotadas pela Comissão em conformidade com o artigo 46.o, n.o 2, do Regulamento (UE) 2016/679, desde que as condições para o recurso a essas cláusulas contratuais-tipo sejam cumpridas.
- As transferências de dados para um país terceiro ou para uma organização internacional pelo transformador só podem ser efetuadas com base em instruções documentadas do responsável pelo tratamento ou por exigência expressa do direito da União ou dos Estados-Membros a que o transformador está sujeito; será realizado em conformidade com o capítulo V do Regulamento (UE) 2016/67.
Cláusula 7. Obrigações do responsável pelo tratamento
O responsável pelo tratamento garante e compromete-se a:
- Os dados pessoais foram recolhidos, tratados e transferidos de acordo com as leis de proteção de dados aplicáveis.
- Deve efetuar uma avaliação do impacto na proteção dos dados pessoais das operações de tratamento a realizar pelo transformador, sempre que um tipo de tratamento possa resultar num elevado risco para os direitos e liberdades dos sujeitos a dados
- Devem dispor de medidas técnicas e organizativas adequadas para proteger a confidencialidade dos dados pessoais, bem como protegê-los contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, e que proporcionem um nível de segurança adequado ao risco colocado pelo tratamento e à natureza dos dados a proteger.
- Responderá às solicitações das partes interessadas e às autoridades de controlo em relação ao processamento de dados pessoais, conforme estipulado na cláusula 8 (b).
- Efetuar consultas prévias com a autoridade de controlo sempre que uma avaliação do impacto da proteção de dados indique que o tratamento resultaria num risco elevado na ausência de medidas tomadas pelo responsável pelo tratamento para mitigar o risco.
Cláusula 8. Assistência aos responsável pelo tratamento
- O subcontratante deve notificar imediatamente o responsável pelo tratamento de qualquer pedido que tenha recebido do titular dos dados. Não pode responder ele próprio a esse pedido, salvo se autorizado a fazê-lo pelo responsável pelo tratamento.
- O subcontratante deve prestar assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos de exercício de direitos apresentados pelos titulares dos dados, tendo em conta a natureza do tratamento. No cumprimento das obrigações que lhe incumbem por força das alíneas a) e b), o subcontratante deve cumprir as instruções do responsável pelo tratamento.
Dado o caso:
- O titular dos dados deve, em primeiro lugar, dirigir o pedido ao responsável pelo tratamento;
- O responsável pelo tratamento solicitará, então, após a receção do pedido, que o subcontratante tome as medidas necessárias através do ponto de contacto constante do anexo I;
- Uma vez que o subcontratante tenha recebido o pedido do responsável pelo tratamento, o subcontratante responderá ao responsável pelo tratamento no prazo de dez (10) dias úteis;
- No caso de um titular de dados comunicar diretamente com o subcontratante, o subcontratante solicitará aos dados sujeitos que endereçam o seu pedido ao responsável pelo tratamento. Simultanea, o subcontratante informará o responsável pelo tratamento por este pedido;
- Para além da obrigação que incumbe ao subcontratante de prestar assistência ao responsável pelo tratamento nos termos da cláusula 8, alínea b), o subcontratante deve ainda prestar assistência ao responsável pelo tratamento para assegurar o cumprimento das obrigações a seguir indicadas, tendo em conta a natureza do tratamento de dados e as informações ao seu dispor:
- A obrigação de proceder a uma avaliação do impacto das operações de tratamento previstas na proteção de dados pessoais (uma «avaliação de impacto relativa à proteção de dados») caso um tipo de tratamento seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares;
- a obrigação de consultar a(s) autoridade de controlo competente(s) antes de proceder ao tratamento quando a avaliação de impacto relativa à proteção de dados indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco;
- a obrigação de assegurar que os dados pessoais sejam exatos e atualizados, informando sem demora o responsável pelo tratamento se o subcontratante tomar conhecimento de que os dados pessoais que está a tratar são inexatos ou estão desatualizados;
- as obrigações previstas no artigo 32.o do Regulamento (UE) 2016/679.
- As Partes devem estabelecer, no anexo III, as medidas técnicas e organizativas adequadas através das quais o subcontratante é obrigado a prestar assistência ao responsável pelo tratamento na aplicação da presente cláusula, bem como o âmbito e a amplitude da assistência necessária
Cláusula 9. Notificação de violação de dados pessoais
Em caso de violação de dados pessoais, o subcontratante deve cooperar com o responsável pelo tratamento e prestar-lhe assistência para que este cumpra as obrigações que lhe incumbem por força dos artigos 33.o e 34.o do Regulamento (UE) 2016/679, se aplicável, tendo em conta a natureza do tratamento e as informações ao seu dispor.
9.1 Violação de dados relativa a dados tratados pelo responsável pelo tratamento
Em caso de violação de dados pessoais relativa a dados tratados pelo responsável pelo tratamento, o subcontratante deve prestar assistência ao responsável pelo tratamento:
- Na notificação da violação de dados pessoais à(s) autoridade de controlo competente(s), sem demora injustificada, após o responsável pelo tratamento ter tomado conhecimento da violação, quando pertinente/(salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares);
- Na obtenção das informações a seguir enumeradas que, nos termos do [OPÇÃO 1] artigo 33.o, n.o 3, do Regulamento (UE) 2016/679/[OPÇÃO 2] artigo 34.o, n.o 3, do Regulamento (UE) 2018/1725, devem ser indicadas na notificação do responsável pelo tratamento e têm de incluir, pelo menos:
- A natureza dos dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, e as categorias e o número aproximado de registos de dados pessoais em causa,
- As consequências prováveis da violação de dados pessoais,
- As medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
Caso, e na medida em que, não seja possível comunicar todas estas informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.
- No cumprimento, nos termos do artigo 34.o do Regulamento (UE) 2016/679, da obrigação de comunicar, sem demora injustificada, a violação de dados pessoais ao titular dos dados, caso a violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares.
9.2 Violação de dados relativa a dados tratados pelo subcontratante
Em caso de violação de dados pessoais relativa a dados tratados pelo subcontratante, o subcontratante deve notificar o responsável pelo tratamento, sem demora injustificada, após ter tomado conhecimento da violação. Esta notificação deve conter, pelo menos, os seguintes elementos:
- Uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados e de registos de dados em causa);
- Os dados de um ponto de contacto onde possam ser obtidas mais informações relativas à violação de dados pessoais;
- As consequências prováveis da violação e as medidas adotadas ou propostas para a reparar, incluindo para atenuar os seus eventuais efeitos negativos.
Caso, e na medida em que, não seja possível comunicar todas estas informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.
As Partes devem estabelecer, no anexo III, todos os outros elementos a fornecer pelo subcontratante aquando da prestação de assistência ao responsável pelo tratamento no cumprimento das obrigações que lhe incumbem por força dos artigos 33.o e 34.o do Regulamento (UE) 2016/679.
SECÇÃO III. DISPOSIÇÕES FINAIS
Cláusula 10. Incumprimento das cláusulas e rescisão
- Sem prejuízo de quaisquer disposições do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725, caso o subcontratante viole as obrigações que lhe incumbem por força das presentes cláusulas, o responsável pelo tratamento pode dar instruções ao subcontratante para suspender o tratamento de dados pessoais até que este último cumpra as presentes cláusulas ou até que o contrato seja rescindido. O subcontratante deve informar imediatamente o responsável pelo tratamento caso, por qualquer motivo, não possa cumprir as presentes cláusulas.
- O responsável pelo tratamento tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais em conformidade com as presentes cláusulas, se:
- O tratamento de dados pessoais pelo subcontratante tiver sido suspenso pelo responsável pelo tratamento nos termos da alínea a) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, em todo o caso, no prazo de um mês após a suspensão;
- O subcontratante violar, de forma substancial ou persistente, as presentes cláusulas ou as obrigações que lhe incumbem por força do Regulamento (UE) 2016/679;
- O subcontratante não cumprir uma decisão vinculativa de um tribunal competente ou da(s) autoridade de controlo competente(s) relativamente às obrigações que lhe incumbem nos termos das presentes cláusulas ou do Regulamento (UE) 2016/679.
- O subcontratante tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, caso, após ter informado o responsável pelo tratamento de que as suas instruções violam os requisitos legais aplicáveis nos termos da cláusula 7.1, alínea b), o responsável pelo tratamento insista no cumprimento das instruções.
- Na sequência da rescisão do contrato, o subcontratante deve, consoante a escolha do responsável pelo tratamento, apagar todos os dados pessoais tratados por conta deste último e certificar ao responsável pelo tratamento que o fez ou devolver todos os dados pessoais ao responsável pelo tratamento e apagar as cópias existentes, salvo se a conservação dos dados pessoais for exigida ao abrigo do direito da União ou do direito dos Estados-Membros. Até que os dados sejam apagados ou devolvidos, o subcontratante deve continuar a assegurar o cumprimento das presentes cláusulas.
- Outros motivos e condições de rescisão estarão sujeitos aos Termos e Condições Gerais de Contrato dos serviços NUMINTEC, dos quais este acordo faz parte, ou outro acordo assinado entre as partes.
Cláusula 11. Responsabilidade e indemnização
- O subcontratante não se responsabiliza por qualquer reclamação apresentada por um titular de dados que seja o resultado de qualquer ação do subcontratante na medida em que tal ação seja o resultado direto das instruções do responsável pelo tratamento e da aplicação incorreta das suas medidas técnicas e organizativas.
- No caso de um titular de dados apresentar uma reclamação contra o subcontratante decorrente de qualquer ação ou omissão do subcontratante, na medida em que tal ação ou omissão seja o resultado direto das instruções do responsável pelo tratamento, ou da aplicação incorreta pelo responsável pelo tratamento das suas medidas organizacionais, em conformidade com a alínea c da cláusula 7 e a ATD, O responsável pelo tratamento indenizará e responsabilizará e defenderá, a expressões próprias, o subcontratante em relação a todos os custos, reclamações, danos ou despesas incorridas pelo subcontratante pelos quais o subcontratante pode ser responsável por qualquer violação por parte do responsável pelo tratamento ou pelos seus gestores, funcionários, agentes ou empreiteiros das suas obrigações ao abrigo das disposições do presente ATD.
Cláusula 12. Legislação aplicável a este ATD
Este ATD será regido e interpretado em todos os aspetos, de acordo com as leis e regulamentos da Espanha. As partes neste acordo submetem-se à jurisdição exclusiva de Espanha para todos os efeitos do presente DPA.
Cláusula 13. A resolução de litígios com titulares de dados ou autoridades de controlo
- Em caso de litígio ou queixa apresentada por um titular de datos causa ou por uma autoridade de controlo relativamente ao tratamento de dados pessoais contra uma ou ambas as partes, as partes devem informar-se mutuamente de tais litígios ou queixas e cooperar com vista à sua resolução amigável e da forma mais expedita.
- As partes concordam em responder a qualquer procedimento de mediação não vinculativo disponível, geralmente iniciado por uma parte interessada ou por uma autoridade de controle. Se participarem no processo, as partes podem optar por fazê-lo remotamente (por exemplo, por telefone ou outros meios electrónicos). As partes também concordam em considerar a participação em qualquer outro procedimento de arbitragem, mediação ou outro procedimento de resolução de disputas disponível para disputas sobre proteção de dados.
- Cada uma das partes compromete-se a acatar a decisão da autoridade de supervisão, que é definitiva e contra a qual já não é possível qualquer outro recurso.
ANEXO I. Lista das partes
Como Responsável pelo tratamento:
Nome: o Cliente que contrata os serviços da Numintec conforme se estabelece no contrato de serviços.
Endereço: conforme se especifica no acordo ou contrato de prestação de serviços assinado por ambas as partes.
Departamento/funcionário de referência: conforme se especifica no acordo ou contrato de prestação de serviços assinado por ambas as partes
Nome, cargo e dados de contacto da pessoa de contacto: conforme se especifica no acordo ou contrato de serviços assinado por ambas as partes
Data de adesão: data de entrada em vigor do contrato ou acordo de prestação de serviços assinado por ambas as partes
Por NUMINTEC (Subcontratante):
Nome: NUMINTEC COMUNICACIONES, S.L.
Endereço: C/ Diputació, 279-283, Entlo. 2º, 08007 – Barcelona (Espanha)
Departamento/trabalhador de referência: Conforme especificado no contrato ou contrato de prestação de serviço assinado entre ambas as partes.
Nome, título e dados de contacto da pessoa de contacto:
Datade entrada em vigor do contrato ou acordo de prestação de serviços assinado por ambas as partes
ANEXO II. Descrição do tratamento
Categorias de titulares de dados cujos dados pessoais são tratados
- Pessoal, colaboradores e outros autorizados pelo Cliente que são utilizadores da plataforma tecnológica NUMINTEC
- Pessoas cujos dados de contacto são recolhidos na agenda e serviços de comunicações fornecidos pela NUMINTEC.
- Pessoas que utilizam os canais de comunicação geridos pela NUMINTEC e que o Cliente disponibiliza publicamente.
Categorias de dados pessoais tratados
Responsável pelo tratamento, a NUMINTEC tratará os seguintes dados:
- Informação dos utilizadores e agentes necessários para aceder e utilizar os serviços da plataforma NUMINTEC
- Identidade dos utilizadores, por exemplo, o seu primeiro e último nome.
- Dados de contacto profissionais, como endereço de e-mail e número de telefone.
- Dados de autenticação para acesso (se nominais).
- Registos de atividade do utilizador na utilização dos Serviços, que podem incluir informações a partir do endereço IP a partir do qual a plataforma NUMINTEC é acedida.
- Contactos recolhidos no serviço de agenda
- Dados que circunstancialmente poderiam ser incluídos nos conteúdos trocados pelos utilizadores a través do serviço de chat e outros canais de comunicação que fazem parte dos serviços prestados.
- As gravações de chamadas quando os nossos clientes ativam esta funcionalidade.
Além disso, para prestar o serviço contratado, a NUMINTEC processará as seguintes categorias de dados comoresultado do tratamento:
- Dados e credenciais de acesso dos utilizadores da plataforma
- Registros de chamadas, incluindo números de origem e destino, duração e tempo da chamada e outros dados do histórico de serviços.
- Registos de utilização da plataforma
Dados especiais da categoria:
- Este ATD não considera o tratamento de dados classificados como “dados de categoria especial” ou que requeiram medidas de proteção especiais..
- O processamento de tais dados em nome do cliente apenas deve realizar-se com um acordo prévio entre ambas as partes e depois de ter sido realizada uma avaliação de impacto de proteção de dados adequada, antes do seu tratamento.
Finalidade(s) do tratamento de dados pessoais
- Como responsável pelo tratamento
- Gerir o acesso e uso da plataforma de serviços de comunicações na nuvem.
- Investigação e prevenção de atividades suscetíveis de constituir uma utilização fraudulenta dos serviços.
- Cumprimento de obrigações que correspondam à NUMINTEC por ordem legal.
- Análise da utilização dos serviços para melhorar o serviço prestado.
- Como subcontratante para o tratamento
- A NUMINTEC tratará os dados apenas com o objetivo de prestação dos serviços contratados e de acordo com os Termos e Condições Gerais de Contrato do Serviço
Natureza do processamento
- A prestação dos serviços contratados pelos clientes implica a contratação do tratamento de dados pessoais que estão sob a responsabilidade dos nossos clientes. A Numintec trata a informação mediante as instruções dos seus clientes e de acordo com as funcionalidades estabelecidas no produto, não tendo relação direta com as pessoas cujos dados pessoais processa.
- Implica as atividades de:
- Registo e armazenamento da informação do cliente.
- Eliminação ou destruição da informação quando requerido pelo cliente e o término do serviço.
- Limitação do tratamento da informação a pedido do cliente ou de autoridade competente.
- Os dados são fornecidos pelo Cliente, como responsável pelo tratamento, ao utilizar os Serviços.
- Todos os dados são armazenados em servidores da UE utilizando serviços fornecidos por terceiros, conforme estipulado na Lista de Sub-Processadores do ANEXO IV.
- O processamento na plataforma de comunicações na nuvem está automatizado, pelo que o pessoal da Numintec não tem acesso aos dados do Cliente. Se for o caso, este acesso apenas aconteceria mediante solicitação expressa e supervisão do Cliente, por exemplo, no caso de requerer suporte para a sua utilização ou resolução de um problema informado pelo Cliente.
- A Numintec considera que não dispõe de instruções para tratar de outros dados pessoais que circunstancialmente possam ter estado incluídos nos conteúdos geridos pelo Cliente.
- Qualquer dado pessoal adicional que seja tratado pela Numintec em nome do Cliente deve ser acordado como uma emenda a este ATD
- De notar que a NUMINTEC é responsável pelo processamento de todos os registos de chamadas e informações geradas e que deve manter como operador de telecomunicações, nos termos da Ley 11/2022, de 28 de junio, General de Telecomunicaciones e Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
- Do mesmo modo, a NUMINTEC, como responsável pelo tratamento de dados, pode recolher e manter informações para efeitos de prevenção, detecção, investigação e limitação das atividades que possam constituir utilização fraudulenta dos serviços, tais como o uso abusivo de chamadas, falsificação de números e outros. A detecção de tais atividades pode envolver a denúncia dos fatos ao cliente e, se houver indícios de que constituem uma atividade criminosa, às autoridades competentes.
Duração do tratamento
- Este ATD aplica-se enquanto estiver em vigor o contrato de serviços assinado por ambas as partes
- Após a rescisão do contrato, a Numintec manterá as suas obrigações em relação aos dados tratados pelos quais também é responsável, de acordo com a legislação em vigor.
Períodos de retenção de informação
- Está estabelecido que o responsável pelo tratamento manterá os dados enquanto o contrato de serviço assinado por ambas as partes estiver em vigor.
- De acordo com os prazos estipulados no contrato de serviços e/ou os Termos e Condições Gerais de Contratação, decorrido o prazo de noventa (90) dias desde a interrupção ou, se for o caso, o prazo estipulado nas condições do contrato de serviços, a Numintec eliminará definitivamente os dados incluídos nas suas bases de dados, exceto nas circunstâncias em que possam decorrer obrigações legais ou responsabilidades da execução da prestação do serviço, em cujo caso a Numintec poderá conservar uma cópia, com os dados devidamente bloqueados, até que tais responsabilidades ou obrigações cessem.
A Numintec aplica as medidas de segurança e organizacionais necessárias para garantir um nível adequado de segurança da informação, a fim de proteger a confidencialidade dos dados pessoais, assim como protegê-los contra a destruição acidental ou ilícita ou a perda acidental, alteração, divulgação ou acesso não autorizado, tendo em conta a natureza, o alcance, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
Estas medidas são implementadas no âmbito de um Sistema de Gestão de Segurança da Informação que tem certificação ISO 27001:2013 e ISO 27017:2015.
Em particular, e a título de resumo, o referido Sistema de Gestão da Segurança da Informação inclui medidas como:
- Políticas e procedimentos de acesso a dados para garantir que o acesso aos sistemas informáticos da NUMINTEC é feito através de utilizadores e palavras-passe individuais, aplicando as regras de menor privilégio e limitando o acesso aos dados aos colaboradores que estritamente o exigem para realizar o seu trabalho.
- Cópias de backup, se for caso disso, dos dados pessoais tratados pelos responsáveis pelo processamento que requerem garantias de disponibilidade e integridade.
- Encriptação de informação em trânsito e no armazenamento.
- Vigilância contínua e monitorização de sistemas e redes para detectar e minimizar o impacto de qualquer avaria ou ameaça.
- Registo de eventos e atividades de utilizadores e administradores.
- Configurações de segurança e sistemas de proteção do perímetro na rede para evitar intrusões e proteção antivírus dos seus sistemas informáticos.
- O bastião de sistemas e redes para limitar serviços, portos e protocolos aos estritamente necessários e, assim, minimizar a exposição a ataques e vulnerabilidades.
- Dispor de um registo de incidências de segurança e do estabelecimento de mecanismos e procedimentos de notificação de quebras de segurança.
- Controle físico de acesso e proteção do equipamento, pessoas e instalações onde os dados são tratados .
- Servidores hospedados em centros de dados externos que oferecem garantias de segurança completas com as certificações ISO 27001 relevantes.
- No caso de gestão de suportes ou documentos com os dados pessoais do responsável pelo tratamento, estes estão devidamente guardados em armários ou espaços fornecidos com dispositivos de bloqueio.
- Verificação, avaliação e valorização regular da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento no âmbito das revisões e auditorias periódicas exigidas pela norma ISO 27001..
- Um código de conduta que inclui a prevenção do comportamento criminoso e boas práticas na segurança da informação e privacidade.
- Formação e educação contínua do pessoal da NUMINTEC sobre questões de segurança de informação e privacidade de dados.
- Um Plano de Continuidade que estabelece a possibilidade de repor a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidente físico ou técnico dentro dos prazos requeridos para cumprir com os compromissos de negócio a que estamos obrigados conforme o nosso contrato de serviços.
- Configuração padrão de aplicações que oferecem o mais alto nível de segurança e privacidade.
- Medidas proativas de responsabilidade, incluindo o registo de atividades de processamento, análise dos riscos de privacidade e aplicação de medidas técnicas e organizativas adequadas para fazer face aos riscos identificados.
- Cláusulas contratuais da ATD e de todos os subcontratantes ulteriores que ofereçam garantias suficientes para implementar medidas técnicas e organizativas adequadas de modo a que o tratamento cumpra os requisitos do presente regulamento e garanta a proteção dos direitos dos titulares de dados.
- Procedimento automatizado para eliminar os dados do cliente uma vez terminado o período de retenção estipulado.
A Numintec coloca à disposição dos seus clientes a Política de segurança dos serviços na nuvem, na qual se fornecem mais detalhes sobre as medidas implementadas.
Por outro lado, o Cliente é responsável pela implementação e manutenção das medidas de segurança e proteção dos dados pessoais pertinentes como utilizador dos serviços, nos aspetos que estão sob o seu controlo.
ANEXO IV. Lista de subcontratantes ulteriores
Lista acordada de subcontratantes ulteriores de acordo com a cláusula 6.7(a)
Nome do subcontratante | Amazon Web Services Inc. |
Descrição do tratamento | Prestador de Serviços IaaS e PaaS |
Localização do tratamento | União Europeia (Irlanda) |
Endereço e dados de contato | Amazon Web Services EMEA SARL 38 Avenida John F. Kennedy, L-1855, Luxemburgo Telefone: +352 2789 0057 |
Garantias fornecidas | https://aws.amazon.com/compliance/gdpr-center/ |
Outros fornecedores envolvidos
Nome do fornecedor | BITNAP (CENTROS DE DADOS DE MBA, S.L.) |
Descrição do tratamento | Centro de dados externo, controlador de serviços de colóquio de servidores |
Localização do tratamento | Espanha |
Endereço e dados de contato | Endereço: C/ Pablo Iglesias 56, L’Hospitalet de Llobregat, 08908 Barcelona E-mail: |
Garantias fornecidas | ISO 27001:2013 https://bitnap.net/wp-content/uploads/2022/01/MBA_DATACENTERS_SL_BITNAP_IQNET_27001_ISO_9001.pdf https://bitnap.net/wp-content/uploads/2022/01/MBA_DATACENTERS_SL_BITNAP_IQNET_27001_ISO_9001.pdf |
Nome do fornecedor | Evolution Cloud Enabler, S.A.U. |
Descrição do tratamento | Centro de dados externo, controlador de serviços de colóquio de servidores |
Localização do tratamento | Espanha |
Endereço e dados de contato | Endereço: C/ Isabel Colbrand 6-8; 28050 Madrid. Email: |
Garantias fornecidas | https://www.evolutio.com/wp-content/uploads/2022/01/CGContrataci%C3%B3n_Diciembre21.pdf ISO 27001:2013 https://www.aenor.com/certificacion/certificado/?codigo=42390 ISO 20000-1:2018 https://www.aenor.com/certificacion/certificado/?codigo=201600 |
NUMINTEC COMUNICACIONES SL, Empresa de Serviços de Telecomunicações, registada no Registo Mercantile, no volume 35086, folio 126, secção geral, folha 260483, 1′. – C.I.F. B-63003636