Voltar ao início

Acordo de Processamento de Dados (DPA)

Janeiro 2025

Este Acordo de Processamento de Dados ("DPA") faz parte dos Termos de Serviço entre a Clario ("Subcontratante") e o Cliente ("Responsável pelo Tratamento"). Rege o tratamento de dados pessoais pela Clario em nome do Cliente, em conformidade com o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 ("RGPD") e legislação aplicável.

1. Definições

  • "Dados Pessoais" significa qualquer informação relativa a uma pessoa singular identificada ou identificável, conforme definido no Artigo 4.º(1) do RGPD.
  • "Tratamento" significa qualquer operação efetuada sobre dados pessoais, conforme definido no Artigo 4.º(2) do RGPD.
  • "Responsável pelo Tratamento" significa o Cliente que determina as finalidades e os meios do tratamento de dados pessoais através da Clario.
  • "Subcontratante" significa a Clario, que trata dados pessoais em nome do Responsável pelo Tratamento.
  • "Sub-subcontratante" significa um terceiro contratado pelo Subcontratante para tratar dados pessoais em nome do Responsável.
  • "Titular dos Dados" significa a pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito.

2. Âmbito do Tratamento

A Clario trata dados pessoais exclusivamente para fornecer serviços de recolha, validação e gestão de documentos, conforme descrito nos Termos de Serviço. As categorias de dados tratados incluem:

  • Nomes e informações de contacto dos clientes (números de telefone)
  • Documentos de identidade (cartão de cidadão, passaportes, títulos de residência)
  • Documentos financeiros (recibos de vencimento, declarações de IRS, extratos bancários)
  • Comprovativos de morada
  • Nomes e endereços de e-mail dos membros da organização
  • Metadados dos documentos (datas de upload, tipos de ficheiro, resultados de validação)

3. Obrigações das Partes

3.1 Obrigações do Subcontratante

  • Tratar dados pessoais apenas com base em instruções documentadas do Responsável, salvo obrigação legal da UE ou Estado-Membro.
  • Assegurar que as pessoas autorizadas a tratar dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a obrigação estatutária adequada.
  • Implementar e manter medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco (Artigo 32.º RGPD).
  • Assistir o Responsável na resposta a pedidos dos Titulares para exercer os seus direitos ao abrigo do Capítulo III do RGPD.
  • Assistir o Responsável no cumprimento das obrigações dos Artigos 32.º a 36.º do RGPD.
  • Por escolha do Responsável, eliminar ou devolver todos os dados pessoais após o término dos serviços.
  • Disponibilizar ao Responsável toda a informação necessária para demonstrar conformidade com o Artigo 28.º do RGPD.

3.2 Obrigações do Responsável

  • Assegurar que o tratamento de dados pessoais tem base legal nos termos do Artigo 6.º do RGPD.
  • Fornecer instruções documentadas de tratamento ao Subcontratante.
  • Assegurar que os Titulares são informados sobre o tratamento conforme Artigos 13.º e 14.º do RGPD.
  • Responder aos pedidos dos Titulares dentro dos prazos estabelecidos pelo RGPD.

4. Medidas de Segurança

A Clario implementa as seguintes medidas de segurança técnicas e organizativas:

  • Encriptação ponta-a-ponta: Todos os documentos são encriptados no lado do cliente com AES-256-GCM antes do upload. Os ficheiros são armazenados encriptados no Supabase Storage.
  • Encriptação TLS 1.3 para todos os dados em trânsito entre clientes, servidores e serviços de armazenamento.
  • Políticas de Row Level Security (RLS) em todas as tabelas da base de dados, garantindo isolamento estrito entre organizações.
  • Suporte a autenticação multifator para membros da organização.
  • Deteção automática de desfocagem e validação de documentos por IA para garantir a qualidade.
  • Registo de auditoria abrangente de todas as operações de acesso e modificação de dados.
  • Avaliações de segurança regulares e análise de vulnerabilidades da infraestrutura.
  • Fornecedores de infraestrutura com certificação SOC 2 Type II (Supabase, Vercel).

5. Sub-subcontratantes

O Responsável autoriza genericamente o Subcontratante a contratar sub-subcontratantes. O Subcontratante informará o Responsável de quaisquer alterações. Sub-subcontratantes atuais:

  • Supabase Inc. (Estados Unidos) — Alojamento de base de dados, autenticação e armazenamento. Certificado SOC 2 Type II.
  • Vercel Inc. (Estados Unidos) — Alojamento de aplicação e CDN. Certificado SOC 2 Type II.
  • OpenAI Inc. (Estados Unidos) — Validação de documentos por IA (imagens processadas temporariamente, não armazenadas).
  • Stripe Inc. (Estados Unidos) — Processamento de pagamentos. Certificado PCI DSS Level 1.

6. Transferências Internacionais de Dados

Quando os dados pessoais são transferidos para sub-subcontratantes localizados fora do Espaço Económico Europeu, a Clario assegura salvaguardas adequadas, incluindo Cláusulas Contratuais-Tipo (CCTs) aprovadas pela Comissão Europeia.

7. Notificação de Violação de Dados

Em caso de violação de dados pessoais, o Subcontratante deverá:

  • Notificar o Responsável sem demora injustificada, e em qualquer caso no prazo de 48 horas.
  • Fornecer informação suficiente para que o Responsável cumpra a sua obrigação de notificar a autoridade de controlo e os Titulares afetados.
  • Cooperar com o Responsável na investigação, mitigação e remediação da violação.
  • Documentar a violação, os seus efeitos e as medidas corretivas tomadas.

8. Direitos dos Titulares dos Dados

A Clario disponibiliza os seguintes mecanismos para apoiar os direitos dos Titulares ao abrigo do RGPD:

  • Direito de Acesso (Artigo 15.º): API de exportação de dados em /api/gdpr/export fornece exportação completa em JSON.
  • Direito ao Apagamento (Artigo 17.º): API de eliminação em /api/gdpr/delete remove permanentemente todos os dados da organização.
  • Direito à Portabilidade (Artigo 20.º): A exportação inclui todos os dados pessoais em formato estruturado e legível por máquina (JSON).
  • Direito de Retificação (Artigo 16.º): As definições da organização permitem atualizar dados; a funcionalidade de re-upload permite substituir documentos.
  • Direito à Limitação do Tratamento (Artigo 18.º): Contacte privacy@clario.app para solicitar restrições de tratamento.

9. Retenção de Dados

Os dados pessoais são conservados apenas durante o período necessário para cumprir as finalidades do tratamento. Pedidos de documentos expirados são automaticamente eliminados por tarefas de limpeza programadas. Após a cessação do contrato, o Responsável pode solicitar a eliminação via API GDPR, ou a Clario eliminará os dados num prazo de 30 dias.

10. Cessação

Este DPA permanece em vigor durante a vigência dos Termos de Serviço. Após a cessação, o Subcontratante deverá, por escolha do Responsável, devolver ou eliminar todos os dados pessoais, salvo obrigação legal de conservação.

11. Contacto

Para questões sobre este DPA ou para exercer direitos de proteção de dados, contacte-nos em privacy@clario.app.