Acordo de tratamento de dados

O presente Acordo de tratamento de dados (o “Acordo”) é celebrado entre o Utilizador, enquanto

  • Responsável pelo Tratamento

e

a iubenda s.r.l.
Via San Raffaele, 1
20121 Milão
Itália

representante legal, Andrea Giannangelo

  • o Subcontratante

1. Objeto, contrato principal e vigência

O objeto do Acordo resulta do contrato principal assinado pelas partes para a prestação do serviço da iubenda (“Contrato”). O Subcontratante realizará as atividades de tratamento descritas no mesmo

  • relativamente às seguintes categorias de Dados Pessoais:

    • dados de contacto e de comunicação;
    • dados relativos a pagamentos para efeitos de faturação;
    • dados fornecidos pelo utilizador ao utilizar o gerador, incluindo informações da empresa e Dados Pessoais dos principais responsáveis e trabalhadores;
    • dados fornecidos para efeitos do produto do Registo das Atividades de Tratamento de Dados;
    • dados relativos à utilização do website da iubenda, como dados relativos ao apoio, à análise de dados estatísticos, etc.;
    • dados relativos aos utilizadores do cliente, incluindo informações relativas à sua interação com as ferramentas da iubenda no seu website e informações de rastreamento de consentimento recolhidas através da Privacy Controls and Cookie Solution, da Consent Database, Newsletter Opt-in Booster, Complianz, Data Subject Rights Management Tool, WayWidget ou dos produtos do Registo das Atividades de Tratamento de Dados.

  • referindo-se às seguintes categorias de Titulares dos Dados:

    • clientes;
    • principais responsáveis e trabalhadores dos clientes;
    • terceiros que atuem em nome dos clientes (como agências web);
    • clientes dos clientes.

Sem prejuízo da localização do Responsável pelo Tratamento, salvo indicação em contrário no presente documento - nomeadamente no que respeita aos Subcontratantes Ulteriores, nos termos do Artigo 7.º abaixo - todas as atividades de tratamento de dados levadas a cabo pelo Subcontratante serão realizadas nos territórios da União Europeia / Espaço Económico Europeu (UE/EEE).

2. Definições

No presente Acordo, salvo se do contexto resultar o contrário, os termos seguintes terão os seguintes significados:

  1. “Acordo” refere-se ao presente Acordo de Tratamento de Dados e respetivos anexos, bem como a quaisquer alterações aos mesmos.

  2. “Legislação aplicável em matéria de proteção de dados” refere-se, sendo caso disso, a quaisquer leis e regulamentos de privacidade e proteção de dados aplicáveis, como por exemplo: i) o Regulamento Geral da UE sobre a Proteção de Dados (Regulamento 2016/679) (o “RGPD”); ii) a Lei Federal de Proteção de Dados suíça (a “FADP”); iii) a Lei Geral de Proteção de Dados do Brasil No. 13,709/2018 (a “LGPD”); iv) o Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados do Reino Unido (o “RGPD do Reino Unido”).

  3. “Responsável pelo Tratamento” refere-se à entidade que, isoladamente ou em conjunto com outros, determina as finalidades e os meios de Tratamento de Dados Pessoais.

  4. “Titular dos Dados” refere-se à pessoa a quem os Dados Pessoais se referem.

  5. “Certificação ISO 27001” refere-se a uma norma internacional amplamente reconhecida para a gestão da Segurança da informação. Esta especifica os requisitos para estabelecer, implementar, manter e melhorar de forma continuada o sistema de gestão de segurança da informação (SGSI) de uma organização. A certificação ISO 27001 demonstra que o Subcontratante implementou um conjunto abrangente de medidas e controlos de segurança para proteger a confidencialidade, a integridade e a disponibilidade dos ativos de informação, e que foi submetido a uma avaliação e auditoria independentes por um organismo de certificação no sentido de verificar a conformidade com a norma ISO 27001.

  6. “Dados Pessoais” refere-se a qualquer informação relativa a uma pessoa singular identificada ou identificável; é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

  7. “Tratamento” refere-se a qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

  8. “Subcontratante” refere-se à pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata os Dados Pessoais por conta do Responsável pelo Tratamento.

  9. “Subcontratante Ulterior” refere-se a qualquer Subcontratante contratado pelo Subcontratante que aceite receber, do Subcontratante, Dados Pessoais destinados exclusivamente às atividades de tratamento a realizar em nome do Responsável pelo Tratamento, depois de este último ter autorizado tal subcontratação.

  10. “Medidas Técnicas e Organizativas” refere-se às medidas destinadas a proteger os Dados Pessoais contra a destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícita.

Qualquer termo em letras maiúsculas não definido no presente documento terá o significado que lhe é atribuído no RGPD, FADP, LGPD, RGPD do Reino Unido e em qualquer Legislação Aplicável em matéria de Proteção de Dados.

3. Tratamento por instrução

O Subcontratante concorda em tratar os Dados Pessoais apenas mediante instrução documentada do Responsável pelo Tratamento, nomeadamente no que respeita a transferências de Dados Pessoais para um país terceiro ou organização internacional, salvo quando tal seja exigido por qualquer Lei Aplicável em matéria de Proteção de Dados às quais o Subcontratante esteja sujeito.

4. Medidas Técnicas e Organizativas

O Subcontratante compromete-se a implementar Medidas Técnicas e Organizativas adequadas que proporcionem um nível de segurança adequado ao risco envolvido no Tratamento e à natureza dos Dados Pessoais a proteger. Estas medidas devem, nomeadamente, proteger os Dados Pessoais contra a destruição, perda, alteração, a divulgação ou o acesso, não autorizados, de modo acidental ou ilícito, a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
São apresentados pormenores específicos destas medidas no Anexo I.

5. Exercício de direitos

O Subcontratante compromete-se a apoiar o Responsável pelo Tratamento na garantia do cumprimento dos direitos dos Titulares dos Dados nos termos da Legislação Aplicável em matéria de Proteção de Dados.

Os direitos conferidos ao Responsável pelo Tratamento nos termos do presente acordo, incluindo, nomeadamente, o direito de retificação, limitação e apagamento ou devolução de dados, podem ser exercidos através do sistema de tickets ou contactando o Subcontratante através do endereço de correio eletrónico info@iubenda.com.

6. Garantia de qualidade e outros deveres do Subcontratante

O Subcontratante deve garantir a qualidade das suas atividades de tratamento de dados, cumprindo as suas obrigações nos termos da Legislação Aplicável em matéria de Proteção de Dados. O Subcontratante deve:

  1. Documentar e implementar procedimentos: O Subcontratante deve documentar todas as categorias de atividades de tratamento levadas a cabo em nome do Responsável pelo Tratamento, contendo as informações exigidas nos termos da Legislação Aplicável em matéria de Proteção de Dados.

  2. Minimização dos dados: O Subcontratante deve garantir que os Dados Pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

  3. Exatidão dos dados: O Subcontratante adotará quaisquer medidas adequadas para que os Dados Pessoais inexatos, tendo em conta as finalidades do tratamento, sejam apagados ou retificados sem demora.

  4. Disponibilidade, integridade e confidencialidade dos dados: O Subcontratante tratará os Dados Pessoais de forma a garantir a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as Medidas Técnicas e Organizativas adequadas.

  5. Cooperação com o Responsável pelo Tratamento: O Subcontratante assistirá o Responsável pelo Tratamento na garantia do cumprimento das obrigações em matéria de segurança do tratamento, na notificação das violações de Dados Pessoais à autoridade de controlo, na notificação de violações de Dados Pessoais do Titular dos Dados, nas avaliações de impacto sobre a proteção de dados, bem como na consulta prévia em matéria de tratamento de alto risco.

  6. Confidencialidade do trabalhador: O Subcontratante garantirá que os seus trabalhadores que estejam envolvidos no Tratamento de Dados Pessoais sejam informados da natureza confidencial dos Dados Pessoais, tenham recebido a formação adequada para as suas responsabilidades e estejam vinculados a obrigações de confidencialidade e limitações de utilização em matéria de Dados Pessoais.

  7. Resposta a Titulares dos Dados: Se o Subcontratante receber um pedido por parte de um Titular dos Dados, nos termos de qualquer Legislação Aplicável em matéria de Proteção de Dados, relativo a Dados Pessoais, o Subcontratante deve aconselhar o Titular dos Dados a apresentar o seu pedido ao Responsável pelo Tratamento, notificando este último do pedido logo que possível.

  8. Avaliação de impacto sobre a proteção de dados (AIPD): A pedido do Responsável pelo Tratamento, o Subcontratante fornecerá ao Responsável pelo Tratamento as informações necessárias à realização de uma AIPD, tal como exigido pela Legislação Aplicável em matéria de Proteção de Dados.

7. Subcontratantes Ulteriores

O Responsável pelo Tratamento reconhece e aceita que o Subcontratante pode contratar Subcontratantes Ulteriores para levar a cabo atividades de tratamento nos termos do presente Acordo. Considera-se que os Subcontratantes Ulteriores atualmente contratados foram aceites pelo Responsável pelo Tratamento.

Pode ser solicitada uma lista de Subcontratantes Ulteriores através do sistema de tickets ou através do endereço de correio eletrónico info@iubenda.com.

O Subcontratante compromete-se a notificar o Responsável pelo Tratamento antes de qualquer mudança planeada de Subcontratantes Ulteriores, bem como a obter a aprovação do Responsável pelo Tratamento antes de efetuar tal mudança. Em qualquer caso, o Subcontratante deve impor aos Subcontratantes Ulteriores as mesmas obrigações em matéria de proteção de dados que as previstas no presente Acordo.

8. Auditorias

O Subcontratante, mediante pedido do Responsável pelo Tratamento, disponibilizará quaisquer informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente Acordo, permitindo a realização de auditorias, incluindo inspeções, realizadas pelo Responsável pelo Tratamento ou por outro auditor mandatado pelo Responsável pelo Tratamento, e contribuindo para as mesmas.
As inspeções e as auditorias serão previamente acordadas com o Subcontratante, sendo realizadas sem prejudicar as operações comerciais normais do Subcontratante. O Subcontratante poderá imputar os custos de tais auditorias ou inspeções ao Responsável pelo Tratamento.

9. Violações de dados

O Subcontratante manterá procedimentos e tecnologias sólidos para detetar, prevenir e responder a violações de dados.

O Subcontratante notificará prontamente e sem demora injustificada o Responsável pelo Tratamento logo que tomar conhecimento de um caso de violação de Dados Pessoais. Esta notificação incluirá:

  • uma descrição da natureza da violação, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
  • o nome e os contactos do encarregado da proteção de dados do Subcontratante ou de outro ponto de contacto onde possam ser obtidas mais informações;
  • uma descrição das consequências prováveis da violação;
  • uma descrição das medidas adotadas ou propostas pelo Subcontratante para reparar a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

O Subcontratante documentará quaisquer violações de Dados Pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e as medidas de reparação adotadas. O Subcontratante prestará ainda assistência ao Responsável pelo Tratamento no sentido de assegurar o cumprimento das obrigações deste, previstas na legislação aplicável em matéria de proteção de dados, relativas às notificações de violações de segurança às autoridades e às pessoas afetadas.

O Subcontratante não comunicará a violação de Dados Pessoais a terceiros nem ao Titular dos Dados afetado sem o consentimento prévio por escrito do Responsável pelo Tratamento, salvo quando tal comunicação seja exigida pela Legislação Aplicável em matéria de Proteção de Dados. O Subcontratante compreende e aceita que qualquer falta de assistência ao Responsável pelo Tratamento, tal como previsto no presente Artigo, pode levar a sanções e coimas pelas quais o Subcontratante será considerado responsável.

O presente artigo é aplicável sem prejuízo de quaisquer direitos ou medidas aos quais o Responsável pelo Tratamento possa recorrer nos termos do presente Acordo ou da Legislação Aplicável em matéria de Proteção de Dados.

10. Conservação de Dados

O Subcontratante conservará, durante a vigência do presente Acordo, quaisquer Dados pessoais recolhidos e tratados nos termos do mesmo, durante o tempo necessário para a prestação dos serviços, salvo apagamento dos mesmos por parte do Responsável pelo Tratamento.

Conservação de Dados para utilizadores ativos do Registo de Preferência de Cookies e de Consentimentos
Sem prejuízo do estabelecido anteriormente, o Subcontratante deve dispor das provas de consentimento de cookies recolhidas através do Registo de Preferência de Cookies e de Consentimentos (CPL), sendo estas conservadas pelo período máximo de 5 (cinco) anos desde a data de recolha, permitindo que o Responsável pelo Tratamento recupere tais provas de consentimento por um período máximo de 5 (cinco) anos. O Responsável pelo Tratamento poderá, em qualquer momento, reduzir tal período máximo de conservação de provas de consentimento ou solicitar o apagamento das mesmas antes do termo do período de 5 (cinco) anos referido.

Conservação de Dados aplicada na conclusão da prestação de serviços
Após a conclusão da prestação de serviços, ou antes, se o Responsável pelo Tratamento o determinar, o Subcontratante, ao critério do Responsável pelo Tratamento, deve apagar ou devolver os restantes Dados pessoais recolhidos e tratados nos termos do presente acordo, a menos que o Subcontratante deva conservar tais Dados pessoais nos termos de qualquer disposição legal aplicável. Salvo instruções em contrário do Responsável pelo Tratamento para qualquer apagamento antecipado, o Subcontratante conservará tais restantes Dados pessoais durante os 6 (seis) meses seguintes à cessação do acordo e à conclusão da prestação dos serviços, apenas com o objetivo de permitir a exportação de tais Dados pelo Responsável pelo Tratamento; após o período de 6 (seis) meses indicado, o Subcontratante deve apagar todos os Dados pessoais referidos.

Sem prejuízo do que precede, o Subcontratante tem o direito de conservar, mesmo após a conclusão da prestação dos serviços e a cessação do acordo, todas as informações necessárias para demonstrar o cumprimento regular do tratamento por parte do mesmo, de acordo com os períodos de conservação legais.

Anexo I

ANEXO I - MEDIDAS TÉCNICAS E ORGANIZATIVAS

Os seguintes elementos-chave são implementados como Medidas Técnicas e Organizativas, de acordo com a certificação ISO 27001 do Subcontratante:

  1. Políticas de segurança da informação: O Subcontratante estabeleceu, e revê regularmente, uma política de segurança da informação que fornece orientação e apoio em matéria de segurança da informação, de acordo com os requisitos comerciais e a legislação e regulamentos relevantes.

  2. Organização da segurança da informação: O Subcontratante atribui responsabilidades para tarefas específicas para garantir uma gestão eficaz da segurança da informação.

  3. Segurança dos recursos humanos: O Subcontratante implementou práticas de segurança para os trabalhadores e os contratantes no decurso do seu emprego e das suas funções.

  4. Gestão de ativos: O Subcontratante deve manter um inventário de ativos, definindo as responsabilidades de proteção adequadas.

  5. Controlo do acesso: O Subcontratante deve garantir que os trabalhadores e os contratantes apenas têm acesso às informações e aos ativos associados às suas funções.

  6. Criptografia: O Subcontratante deve utilizar encriptação e gestão de chaves para a proteção da informação.

  7. Segurança física e ambiental: O Subcontratante deve proteger os escritórios, as salas e as instalações para impedir o acesso físico não autorizado, danos e interferências nas instalações e informações do Subcontratante.

  8. Segurança das operações: O Subcontratante deve assegurar o funcionamento correto e seguro das instalações de tratamento da informação.

  9. Segurança das comunicações: O Subcontratante deve implementar redes e transferências de informação de forma segura.

  10. Aquisição, desenvolvimento e manutenção de sistemas: O Subcontratante deve garantir que a segurança da informação é parte integrante dos sistemas ao longo do seu ciclo de vida.

  11. Relacionamento com fornecedores: O Subcontratante deve proteger os ativos do Subcontratante a que os fornecedores tenham acesso.

  12. Gestão de incidentes: O Subcontratante deve gerir os incidentes e as melhorias em matéria de segurança da informação.

  13. Gestão da continuidade do negócio: O Subcontratante deve gerir a continuidade da gestão da segurança da informação em caso de perturbação da atividade.

  14. Conformidade: O Subcontratante cumprirá os requisitos legais, estatutários, regulamentares e contratuais, bem como as políticas e procedimentos do Subcontratante.

  15. Segurança na cloud: O Subcontratante implementou medidas adicionais de segurança na cloud para proteger a integridade, acessibilidade e confidencialidade dos dados. Estas medidas incluem, nomeadamente, transferência de dados segura, interfaces de software seguras, conservação de dados segura, gestão da identidade e do acesso do utilizador, bem como segurança das infraestruturas. O Subcontratante deve ainda realizar auditorias de segurança regulares à sua cloud para identificar e resolver potenciais vulnerabilidades.

Informações adicionais sobre a certificação ISO 27001 do Subcontratante, incluindo uma cópia do próprio certificado, podem ser solicitadas através do sistema de tickets do Subcontratante por email.

Última atualização: novembro 18, 2025

Este documento foi criado com o Gerador de Termos e Condições. Veja ainda o Gerador de Políticas de Privacidade e de Cookies. iubenda aloja este conteúdo e só recolhe os Dados Pessoais estritamente necessários para o fornecimento do mesmo.
(EN) This document has been created with the iubenda Terms and Conditions Generator. See also the Privacy and Cookie Policy Generator.