APPA8

Legal

Acordo de Tratamento de Dados (DPA)

Última atualização: 2026-05-13

Este Acordo de Tratamento de Dados (Data Processing Agreement, DPA) é parte integrante dos Termos de Serviço e regula o tratamento de dados pessoais que o Fornecedor realiza por conta do Cliente no âmbito da utilização do APPA8.


1. Papéis das partes

Para efeitos do RGPD (Regulamento (UE) 2016/679):


  • o Cliente é o responsável pelo tratamento dos dados que carrega para o Serviço (workspace, equipamentos, colaboradores, manutenções, etc.);
  • o Fornecedor é o subcontratante, tratando esses dados exclusivamente por instruções documentadas do Cliente, que incluem a utilização normal do Serviço e estes Termos.

2. Objecto e duração

O Fornecedor trata os dados pelo período necessário à prestação do Serviço, acrescido do período de retenção pós-cancelamento previsto na Política de Privacidade (30 dias).


3. Natureza, finalidade e categorias dos dados

O tratamento incide sobre:


  • dados de identificação de utilizadores do Cliente (nome, e-mail, função);
  • conteúdo operacional carregado no workspace (equipamentos, locais, manutenções, inventário, anexos);
  • dados de utilização e logs técnicos.

Finalidade: prestação do Serviço contratado, suporte técnico, segurança, prevenção de fraude e cumprimento de obrigações legais.


O Cliente compromete-se a não introduzir no Serviço categorias especiais de dados (saúde, origem racial, opiniões políticas, etc.) ou dados de menores, salvo acordo escrito específico.


4. Obrigações do Fornecedor

  • tratar os dados apenas com base em instruções documentadas do Cliente, incluindo a utilização normal do Serviço;
  • assegurar que as pessoas autorizadas a tratar dados estão obrigadas a confidencialidade;
  • aplicar medidas técnicas e organizativas adequadas (ver página de Segurança);
  • assistir o Cliente, na medida do razoável e em condições comerciais a acordar, no cumprimento das suas obrigações de resposta a titulares de dados e de notificação à CNPD;
  • notificar o Cliente, sem demora injustificada, em caso de violação de dados pessoais que afecte os seus dados;
  • apagar ou devolver os dados no fim do contrato, salvo obrigação legal de conservação.

5. Obrigações do Cliente

  • informar e, quando aplicável, obter consentimento dos titulares dos dados que sejam utilizadores finais carregados no Serviço;
  • garantir uma base legal válida para o tratamento dos dados que carrega;
  • configurar correctamente permissões internas e remover acessos quando deixem de ser necessários;
  • não utilizar o Serviço para tratar categorias especiais de dados sem acordo prévio.

6. Medidas técnicas e organizativas

O Fornecedor mantém, no mínimo, as medidas descritas na página de Segurança, que incluem encriptação em trânsito (TLS), hashing de credenciais com bcrypt, isolamento de dados ao nível de base de dados por inquilino, controlo de acessos baseado em funções, registos de auditoria e backups encriptados replicados off-site.


7. Subprocessadores

O Cliente autoriza o Fornecedor a recorrer aos subprocessadores listados abaixo. A versão actualizada é publicada na Política de Privacidade e na presente página.


SubprocessadorFinalidadeRegião
Cloudflare, Inc.CDN, proxy, mitigação de DDoS e filtragem de tráfego.EUA + edge global (transferências com SCC + DPF da UE-EUA)
Stripe Payments Europe, Ltd.Processamento de pagamentos das subscrições. Nunca recebe dados operacionais dos workspaces.Irlanda (UE)
Backblaze, Inc.Réplica encriptada off-site das cópias de segurança (bucket B2).EUA (transferências com SCC + DPF da UE-EUA)

Adição ou substituição de subprocessadores é comunicada com pré-aviso mínimo de 30 dias, durante o qual o Cliente pode opor-se por escrito e fundamentadamente; nesse caso o Fornecedor procurará alternativa razoável; não sendo possível, o Cliente pode rescindir a subscrição com reembolso da fracção paga e não utilizada.


8. Transferências internacionais

Quando exista transferência de dados para fora do Espaço Económico Europeu (EEE), o Fornecedor assegura a aplicação de mecanismos de salvaguarda previstos no RGPD, em particular Cláusulas Contratuais-Tipo (SCC) da Comissão Europeia e, quando aplicável, adesão ao EU-U.S. Data Privacy Framework.


9. Auditoria

Mediante pedido escrito e razoável, o Fornecedor disponibilizará ao Cliente informações documentais suficientes para demonstrar o cumprimento das obrigações deste DPA. Auditorias in loco ou via terceiros independentes podem ser acordadas caso a caso, com pré-aviso mínimo de 30 dias, em horário comercial e a expensas do Cliente.


10. Eliminação e devolução de dados

No fim do contrato, o Cliente pode exportar os seus dados durante 30 dias. Findo esse prazo, os dados são apagados dos sistemas de produção; cópias residuais em backups são sobrescritas no ciclo normal de retenção.


11. Responsabilidade

A responsabilidade de cada parte por incumprimento do RGPD é determinada nos termos do artigo 82.º do Regulamento. A limitação de responsabilidade prevista nos Termos de Serviço aplica-se também a este DPA, nos limites permitidos pela lei.


12. Contacto

Pedidos ao abrigo deste DPA devem ser enviados para geral@appa8.com com o assunto "DPA — <nome da entidade>".