Acordo de Subcontratação (DPA)
Última atualização: julho de 2026
1. Objeto
Este acordo rege o tratamento de dados pessoais que a DataVigia (subcontratante) efetua por conta do cliente (responsável pelo tratamento) na prestação do serviço, nos termos do artigo 28.º do RGPD.
2. Natureza e finalidade
A DataVigia trata os dados apenas para prestar o serviço de auditoria de segurança, deteção de exfiltração e formação anti-phishing, seguindo as instruções documentadas do cliente.
3. Dados e titulares
São tratados metadados de segurança (permissões, configurações, registos de acesso), dados de conta e dados dos colaboradores do cliente para as simulações de formação. NÃO é tratado o conteúdo dos ficheiros.
4. Obrigações do subcontratante
A DataVigia trata os dados apenas segundo instruções do cliente, garante a confidencialidade de quem os trata, aplica medidas técnicas e organizativas adequadas e assiste o cliente no cumprimento das suas obrigações.
5. Subcontratantes ulteriores
A DataVigia recorre a Supabase, Vercel, Anthropic e Resend, vinculados por contratos equivalentes. O cliente autoriza estes subcontratantes e será informado de alterações, podendo opor-se por motivos legítimos.
6. Transferências internacionais
Quando existam transferências para fora do Espaço Económico Europeu, aplicam-se salvaguardas adequadas, como as Cláusulas Contratuais-Tipo da Comissão Europeia.
7. Segurança (art. 32.º)
Medidas: cifra dos segredos dos conectores, isolamento entre organizações (Row Level Security), princípio do menor privilégio, controlo e registo de acessos, e minimização (não recolha do conteúdo dos ficheiros).
8. Violações de dados
A DataVigia notifica o cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais, prestando a informação necessária.
9. Direitos dos titulares
A DataVigia assiste o cliente, na medida do possível, a responder a pedidos de exercício de direitos dos titulares dos dados.
10. Auditoria
A DataVigia disponibiliza a informação necessária para demonstrar o cumprimento das suas obrigações e permite auditorias razoáveis pelo cliente ou por um auditor por este mandatado.
11. Cessação
No fim da prestação do serviço, a DataVigia devolve ou elimina os dados pessoais tratados por conta do cliente, à escolha deste, salvo obrigação legal de conservação.