Acordo de Tratamento de Dados

1. Definições

• «Dados pessoais» significa qualquer informação relativa a uma pessoa singular identificada ou identificável («Titular dos dados»), conforme definido no artigo 4.º, n.º 1, do GDPR.
• «Tratamento» significa qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais, por meios automatizados ou não, incluindo recolha, registo, organização, estruturação, conservação, adaptação, recuperação, consulta, utilização, divulgação por transmissão, difusão, apagamento ou destruição.
• «Subcontratante ulterior» significa qualquer terceiro contratado pelo Subcontratante para tratar Dados Pessoais por conta do Responsável pelo tratamento.
• «Titular dos dados» significa a pessoa singular identificada ou identificável a que se referem os Dados Pessoais.
• «GDPR» significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho.
• «Cláusulas Contratuais-Tipo» (CCT) significa as cláusulas contratuais aprovadas pela Comissão Europeia para a transferência de Dados Pessoais para países terceiros.

2. Âmbito e finalidade

O Subcontratante trata Dados Pessoais por conta do Responsável pelo tratamento exclusivamente para os seguintes fins:

• Fornecimento do serviço INCI API, incluindo análise de ingredientes, pesquisa de produtos, pontuação de segurança, deteção de alergénios e análise de compatibilidade cutânea
• Gestão de conta, autenticação e autorização
• Acompanhamento da utilização, limitação de débito e faturação
• Melhoria do serviço, monitorização do desempenho e análise
• Apoio ao cliente e comunicação

O Subcontratante não tratará Dados Pessoais para qualquer finalidade que não seja a especificada neste DPA ou documentada por escrito pelo Responsável pelo tratamento.

3. Tipos de dados pessoais tratados

• Dados de conta: nome, endereço de e-mail, palavra-passe em hash
• Dados de utilização da API: registos de pedidos, carimbos temporais, endereços IP, endpoints acedidos, códigos de resposta, identificadores de chave de API
• Dados de faturação: nível de subscrição, metadados do método de pagamento (os dados completos de pagamento são tratados exclusivamente pela Stripe e nunca armazenados nos nossos servidores)
• Dados técnicos: tipo de navegador, informações do dispositivo, sistema operativo, URLs de referência (recolhidos via análise para melhoria do serviço)

O Subcontratante não trata categorias especiais de Dados Pessoais (artigo 9.º do GDPR) nem Dados Pessoais relativos a condenações penais (artigo 10.º do GDPR).

4. Categorias de titulares dos dados

Os Dados Pessoais tratados ao abrigo deste DPA referem-se às seguintes categorias de Titulares dos dados:

• Colaboradores e prestadores de serviços do Cliente que acedem à INCI API e a utilizam
• Utilizadores finais das aplicações do Cliente integradas com a INCI API (na medida em que os seus dados sejam transmitidos por pedidos à API)

5. Obrigações do Subcontratante

O Subcontratante compromete-se a:

1. Tratar os Dados Pessoais apenas mediante instruções documentadas do Responsável pelo tratamento, incluindo no que respeita às transferências para um país terceiro, salvo se obrigado por força do direito da União ou do Estado-Membro a que está sujeito
2. Assegurar que as pessoas autorizadas a tratar os Dados Pessoais estão obrigadas a respeitar a confidencialidade ou estão sujeitas a uma adequada obrigação legal de confidencialidade
3. Implementar medidas técnicas e organizativas de segurança adequadas em conformidade com o artigo 32.º do GDPR para garantir um nível de segurança adequado ao risco
4. Não contratar outro subcontratante (subcontratante ulterior) sem autorização prévia, específica ou geral, por escrito do Responsável pelo tratamento. No caso de autorização geral por escrito, o Subcontratante informa o Responsável de quaisquer alterações previstas relativas à inclusão ou substituição de subcontratantes ulteriores, dando-lhe assim a oportunidade de se opor
5. Tendo em conta a natureza do tratamento, ajudar o Responsável pelo tratamento, mediante medidas técnicas e organizativas adequadas, na medida do possível, no cumprimento da sua obrigação de responder aos pedidos de exercício dos direitos do Titular dos dados
6. Auxiliar o Responsável pelo tratamento no cumprimento das obrigações previstas nos artigos 32.º a 36.º do GDPR, tendo em conta a natureza do tratamento e as informações ao dispor do Subcontratante
7. Por escolha do Responsável pelo tratamento, apagar ou devolver todos os Dados Pessoais ao Responsável após a prestação dos serviços e apagar as cópias existentes, salvo se a legislação da União ou do Estado-Membro exigir a sua conservação
8. Disponibilizar ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do GDPR e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Responsável ou outro auditor por ele mandatado

6. Medidas de segurança

O Subcontratante implementa as seguintes medidas técnicas e organizativas para proteger os Dados Pessoais em conformidade com o artigo 32.º do GDPR:

• Encriptação em trânsito: Todos os dados transmitidos entre clientes e servidores são encriptados usando TLS 1.2 ou superior (HTTPS)
• Encriptação em repouso: O armazenamento da base de dados utiliza encriptação em repouso do MongoDB para todos os Dados Pessoais armazenados
• Controlos de acesso: Autenticação via tokens JWT e chaves de API; controlos de acesso baseados em funções; princípio do mínimo privilégio
• Segurança de palavras-passe: As palavras-passe são armazenadas em hash bcrypt com fatores de custo adequados; as chaves de API são armazenadas como hashes seguros
• Segurança da infraestrutura: Infraestrutura com firewall (UFW com portas restritas), atualizações de segurança e patches regulares
• Localização do servidor: Infraestrutura DigitalOcean (atualmente nos EUA; migração para um centro de dados UE/EEE planeada)
• Dados de pagamento: Sem armazenamento de dados de cartões de pagamento nos nossos servidores. Todo o processamento de pagamentos é gerido pela Stripe, que mantém conformidade PCI DSS Nível 1
• Monitorização: Monitorização, registo e alertas automatizados para eventos de segurança e anomalias

7. Subcontratantes ulteriores

O Responsável pelo tratamento concede ao Subcontratante autorização geral para contratar os seguintes subcontratantes ulteriores. O Subcontratante notificará o Responsável de quaisquer alterações previstas relativas à inclusão ou substituição de subcontratantes ulteriores com pelo menos 30 dias de aviso prévio por escrito, dando assim ao Responsável a oportunidade de se opor a tais alterações.

Se o Responsável pelo tratamento se opuser a um novo subcontratante ulterior por motivos razoáveis relacionados com a proteção de dados, as partes discutirão a questão de boa-fé. Se não for alcançada uma solução no prazo de 30 dias, o Responsável poderá rescindir os serviços afetados sem penalização.

8. Transferências de dados

Os Dados Pessoais podem ser transferidos e tratados em países fora da União Europeia e do Espaço Económico Europeu. Quando ocorrerem tais transferências, o Subcontratante garante a existência de salvaguardas adequadas em conformidade com o Capítulo V do GDPR, incluindo:

• Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914)
• Decisões de adequação da Comissão Europeia, quando aplicáveis
• Medidas técnicas e organizativas adicionais para complementar os mecanismos de transferência sempre que necessário, em conformidade com o acórdão Schrems II (Processo C-311/18)

9. Notificação de violação de dados

O Subcontratante notificará o Responsável pelo tratamento sem demora indevida e, em qualquer caso, no prazo de 72 horas, após tomar conhecimento de uma violação de Dados Pessoais conforme definida no artigo 4.º, n.º 12, do GDPR. A notificação incluirá:

• Uma descrição da natureza da violação, incluindo as categorias e o número aproximado de Titulares dos dados e de registos afetados
• O nome e os dados de contacto do responsável pela proteção de dados junto do qual podem ser obtidas mais informações
• Uma descrição das consequências prováveis da violação
• Uma descrição das medidas adotadas ou propostas para fazer face à violação, incluindo medidas para atenuar os possíveis efeitos negativos

O Subcontratante cooperará com o Responsável pelo tratamento e tomará medidas comerciais razoáveis para auxiliar na investigação, atenuação e resolução de cada uma destas violações.

10. Direitos dos titulares dos dados

O Subcontratante auxiliará o Responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos Titulares dos dados que exerçam os seus direitos ao abrigo do Capítulo III do GDPR, incluindo:

• Direito de acesso (artigo 15.º)
• Direito de retificação (artigo 16.º)
• Direito ao apagamento / direito a ser esquecido (artigo 17.º)
• Direito à limitação do tratamento (artigo 18.º)
• Direito à portabilidade dos dados (artigo 20.º)
• Direito de oposição (artigo 21.º)

Se o Subcontratante receber um pedido diretamente de um Titular dos dados, notificará prontamente o Responsável pelo tratamento e não responderá ao pedido sem a autorização prévia por escrito do Responsável, salvo se legalmente obrigado a fazê-lo.

11. Direitos de auditoria

O Responsável pelo tratamento pode auditar o cumprimento deste DPA pelo Subcontratante. As auditorias estão sujeitas às seguintes condições:

• O Responsável pelo tratamento dará pelo menos 30 dias de aviso prévio por escrito
• As auditorias serão realizadas, no máximo, uma vez por ano civil, salvo se exigido por uma autoridade de controlo ou na sequência de uma violação de Dados Pessoais
• As auditorias serão realizadas durante o horário comercial normal e não interferirão de forma irrazoável nas operações do Subcontratante
• O Responsável pelo tratamento suportará os custos da auditoria, salvo se a auditoria revelar incumprimento material por parte do Subcontratante
• O Responsável pelo tratamento pode contratar um auditor externo qualificado e independente, sujeito a obrigações razoáveis de confidencialidade

12. Vigência e cessação

Este DPA permanece em vigor durante a duração do acordo de serviço entre as partes. Após a cessação do acordo de serviço:

• O Subcontratante, por escolha do Responsável pelo tratamento, apagará ou devolverá todos os Dados Pessoais no prazo de 30 dias a contar da data de cessação
• O Subcontratante apagará as cópias existentes de Dados Pessoais, salvo se a legislação da União ou do Estado-Membro exigir a sua conservação (por exemplo, registos fiscais e financeiros nos termos da lei espanhola)
• O Subcontratante fornecerá certificação escrita do apagamento mediante pedido do Responsável pelo tratamento

13. Lei aplicável

Este DPA é regido e interpretado de acordo com as leis do Reino de Espanha, sem consideração pelas suas disposições em matéria de conflito de leis. O GDPR aplica-se a todas as questões relativas ao tratamento de Dados Pessoais. Quaisquer litígios decorrentes deste DPA estão sujeitos à jurisdição exclusiva dos tribunais das Ilhas Canárias, Espanha (Santa Cruz de Tenerife).

14. Contacto

Para questões, preocupações ou pedidos relacionados com este Acordo de Tratamento de Dados, contacte-nos: