DataVigiaVoltar

Acordo de Subcontratação (DPA)

Última atualização: julho de 2026

1. Objeto

Este acordo rege o tratamento de dados pessoais que a DataVigia (subcontratante) efetua por conta do cliente (responsável pelo tratamento) na prestação do serviço, nos termos do artigo 28.º do RGPD.

2. Natureza e finalidade

A DataVigia trata os dados apenas para prestar o serviço de auditoria de segurança, deteção de exfiltração e formação anti-phishing, seguindo as instruções documentadas do cliente.

3. Dados e titulares

São tratados metadados de segurança (permissões, configurações, registos de acesso), dados de conta e dados dos colaboradores do cliente para as simulações de formação. NÃO é tratado o conteúdo dos ficheiros.

4. Obrigações do subcontratante

A DataVigia trata os dados apenas segundo instruções do cliente, garante a confidencialidade de quem os trata, aplica medidas técnicas e organizativas adequadas e assiste o cliente no cumprimento das suas obrigações.

5. Subcontratantes ulteriores

A DataVigia recorre a Supabase, Vercel, Anthropic e Resend, vinculados por contratos equivalentes. O cliente autoriza estes subcontratantes e será informado de alterações, podendo opor-se por motivos legítimos.

6. Transferências internacionais

Quando existam transferências para fora do Espaço Económico Europeu, aplicam-se salvaguardas adequadas, como as Cláusulas Contratuais-Tipo da Comissão Europeia.

7. Segurança (art. 32.º)

Medidas: cifra dos segredos dos conectores, isolamento entre organizações (Row Level Security), princípio do menor privilégio, controlo e registo de acessos, e minimização (não recolha do conteúdo dos ficheiros).

8. Violações de dados

A DataVigia notifica o cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais, prestando a informação necessária.

9. Direitos dos titulares

A DataVigia assiste o cliente, na medida do possível, a responder a pedidos de exercício de direitos dos titulares dos dados.

10. Auditoria

A DataVigia disponibiliza a informação necessária para demonstrar o cumprimento das suas obrigações e permite auditorias razoáveis pelo cliente ou por um auditor por este mandatado.

11. Cessação

No fim da prestação do serviço, a DataVigia devolve ou elimina os dados pessoais tratados por conta do cliente, à escolha deste, salvo obrigação legal de conservação.