Acordo de Tratamento de Dados Pessoais

ACORDO DE TRATAMENTO DE DADOS PESSOAIS

 

O presente Acordo de Tratamento de Dados Pessoais ("DPA") é parte integrante do contrato de licenciamento e/ou de prestação de serviços (“Contrato do Cliente”), celebrado por e entre a ESRI PORTUGAL– Sistemas e Informação Geográfica, S.A. (adiante “ESRI PORTUGAL”) e o Cliente (conjuntamente referidas como “Partes”).

Em caso de conflito ou inconsistência, em matéria de dados pessoais, entre os termos previstos neste DPA e quaisquer outros documentos, aplicar-se-á a seguinte ordem de precedência: (1) Proposta Comercial; (2) DPA; (3) Contrato do Cliente. Sem prejuízo do que antecede, caso o Cliente seja uma entidade de natureza pública, ou não o sendo, se encontre sujeito ainda assim às regras de contratação pública por força do Código dos Contratos Públicos, a documentação relativa ao procedimento de contratação deste prevalecerá, seguindo-se a referida ordem.

1. Definições

“Autoridade de Controlo”: uma autoridade independente criada por um Estado-Membro da União Europeia nos termos e para os efeitos de supervisão e controle do cumprimento do RGPD;

“Colaboradores”: todos os titulares de um vínculo de colaboração profissional (ainda que temporário ou precário), assim como todos os representantes, agentes ou quaisquer prestadores de serviços da ESRI PORTUGAL e/ou dos seus Subcontratantes Ulteriores utilizados para a execução do Contrato do Cliente e/ou para as atividades de tratamento;

“Contrato do Cliente”: o contrato de licenciamento e/ou de prestação de serviços celebrado entre as Partes, cujo objeto pressupõe o tratamento de Dados Pessoais;

“Cláusulas Contratuais-Tipo”: as Cláusulas Contratuais-Tipo, conforme publicado na Decisão da Comissão Europeia (UE) 2021/914, de 4 de junho de 2021.  

“Dados Pessoais”: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

“Legislação aplicável em matéria de Proteção de Dados Pessoais”: todas as leis, regulamentos e recomendações que incluam regras relativas à proteção de dados e à privacidade, designadamente, o RGPD e a Lei n.º 58/2019, de 8 de agosto, aplicáveis ao tratamento de Dados Pessoais previstos no presente DPA;

“País Não Adequado”: um país considerado pela Comissão Europeia como incapaz de proporcionar uma proteção apropriada para os Dados Pessoais no âmbito do RGPD, uma vez que não dispõe de uma Decisão de Adequação emitida pela Comissão Europeia ou não integra um quadro legal definido pela Comissão Europeia para transferências de dados para países terceiros (como por exemplo, o EU-US Data Privacy Framework);

“País Terceiro”: país localizado fora do Espaço Económico Europeu (“EEE”);

“Danos em matéria de Dados Pessoais”: os danos diretos originados pelo não cumprimento dos termos do presente DPA e/ou da Legislação aplicável em matéria de Proteção de Dados Pessoais imputáveis à ESRI PORTUGAL ou pelos quais esta deva responder, conforme aqui previsto ou resulte da Legislação aplicável em matéria de Proteção de Dados Pessoais;

“Responsável pelo Tratamento de Dados”: a pessoa singular ou coletiva que determina as finalidades e os meios de tratamento dos Dados Pessoais; neste caso, o Cliente;

“RGPD”: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à sua livre circulação;

“Subcontratante”: a pessoa singular ou coletiva que trate os Dados Pessoais por conta do Responsável pelo Tratamento (Cliente), neste caso a ESRI PORTUGAL;

“Subcontratante Ulterior”: qualquer entidade que trate Dados Pessoais mediante as instruções, em parceria ou sob a supervisão do Subcontratante (ESRI PORTUGAL), no âmbito do objeto do Contrato do Cliente;

“Terceiro(s)”: qualquer pessoa singular ou coletiva que não seja parte do Contrato do Cliente;

“Violação de Dados Pessoais”: uma quebra de segurança que cause a destruição, a perda, a alteração, a divulgação não autorizada e/ou o acesso ilegais ou acidentais de Dados Pessoais transmitidos, guardados ou tratados sob qualquer outra forma.

2. Objeto e âmbito de aplicação

2.1. O presente DPA estabelece os termos e condições relativos à privacidade, confidencialidade e à segurança dos Dados Pessoais respeitantes aos produtos e serviços que serão fornecidos e prestados pela ESRI PORTUGAL ao Cliente, nos termos do Contrato do Cliente.

2.2. O Cliente e a ESRI PORTUGAL concordam que, no âmbito do fornecimento e prestação dos serviços referidos no número anterior, o Cliente atuará como Responsável pelo Tratamento e a ESRI PORTUGAL como Subcontratante, exceto se o Cliente for Subcontratante, caso em que a ESRI PORTUGAL atuará como subcontratante ulterior.

2.3. Os termos do presente DPA não se aplicam quando a ESRI PORTUGAL atua na qualidade de Responsável pelo Tratamento (caso em que se aplicará os termos da sua Política de Privacidade, bem como quando for especificamente excluído por qualquer documento contratual.

3.    Detalhes do Tratamento de Dados

3.1.  O tratamento dos Dados Pessoais incidirá apenas e mediante a estrita observância do teor das seguintes alíneas:

a) Objeto do tratamento: Execução do contrato, nomeadamente a subscrição e o fornecimento de software, dados ou prestação de serviços, conforme definido no objeto do Contrato do Cliente;

b) Duração do tratamento: os dados pessoais serão tratados apenas pelo período correspondente à duração do Contrato do Cliente, exceto se a Legislação aplicável em matéria de Proteção de Dados Pessoais ou outra legislação aplicável exigir a sua conservação por período superior e/ou se o Cliente der instruções noutro sentido;

c) Natureza e finalidade do tratamento: todas as operações de tratamento inerentes ao objeto acima identificado, com a finalidade de disponibilizar os produtos e/ou os serviços que decorram do Contrato do Cliente;

d) Fundamento de licitude: Execução do contrato.

3.2. Os detalhes relativos às categorias de dados pessoais, às categorias de titulares dos dados, às operações de tratamento e transferências internacionais de dados estão descritos no Anexo I, o qual é parte integrante do presente DPA.

4.    Instruções de Tratamento

4.1. A ESRI PORTUGAL procederá ao tratamento dos Dados Pessoais segundo o descrito neste DPA apenas (i) em nome e por conta do Cliente, (ii) em conformidade com as instruções documentadas do Cliente e (iii) para efeitos de cumprimento das suas obrigações conforme previsto neste DPA, no Contrato do Cliente e na Legislação aplicável em matéria de Proteção de Dados Pessoais e em qualquer outra legislação em vigor.

4.2. A ESRI PORTUGAL procederá ao tratamento de Dados Pessoais conforme o estritamente necessário para a execução do Contrato do Cliente e não procederá ao tratamento para além das instruções do Cliente.  

4.3. O presente DPA (incluindo os seus Anexos) e o Contrato do Cliente constituem as instruções completas do Cliente para a ESRI PORTUGAL, no que respeita ao tratamento de Dados Pessoais. Quaisquer instruções alternativas ou adicionais só podem ser realizadas mediante aditamento escrito, assinado por ambas as Partes, ao presente DPA.

4.4. A ESRI PORTUGAL compromete-se a informar o Cliente se, no seu entender, alguma instrução violar a Legislação aplicável em matéria de proteção de Dados Pessoais.

5.    Confidencialidade

5.1. A ESRI PORTUGAL manterá a confidencialidade dos Dados Pessoais e não os divulgará sob qualquer modo a qualquer Terceiro, sem a autorização escrita do Cliente, exceto quando, nos termos deste DPA: (i) os Dados Pessoais necessitem ser divulgados conforme requerido para efeitos de auditoria, tal como descrito na Cláusula 13ª, (ii) para o cumprimento de obrigações legais (iii) ou no caso de a divulgação ser permitida.

5.2. A ESRI PORTUGAL assegurar-se-á de que qualquer colaborador, parceiro ou qualquer outra pessoa que trabalhe sob a sua autoridade direta assumiu o compromisso de respeitar e manter a confidencialidade e as medidas de segurança aplicáveis ao tratamento de Dados Pessoais. 

6.    Segurança no Tratamento

6.1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, a ESRI PORTUGAL declara e garante que implementou as medidas de segurança técnica, física e organizativa apropriadas para prevenir a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso ilegais ou acidentais aos Dados Pessoais. Tais medidas constam do Anexo II.

7.    Registo de Atividades de Tratamento

7.1. A ESRI PORTUGAL manterá o registo de todas as atividades de tratamento de Dados Pessoais realizadas por conta do Cliente, o qual deve incluir, a identificação das finalidades do tratamento, das categorias de titulares dos dados e dos dados pessoais, das categorias de destinatários a quem os dados pessoais foram ou serão divulgados, as medidas de segurança, técnicas e organizativas adotadas, a identificação de Subcontratantes Ulteriores, fluxos e transferências internacionais de Dados e um espaço para verificações de controlo interno e auditoria. 

7.2. O registo previsto na presente cláusula deve estar atualizado e correto em cada momento, ser mantido e gerido pela ESRI PORTUGAL e facultado ao Cliente sempre que este razoavelmente o solicite.

8.    Subcontratantes Ulteriores

8.1. A ESRI PORTUGAL não irá partilhar, transferir, divulgar ou permitir o acesso a quaisquer Dados Pessoais a Terceiros, nem irá ceder a Terceiros quaisquer direitos ou obrigações seus relativos aos Dados Pessoais, salvo se o Cliente tenha, por escrito, autorizado a ESRI PORTUGAL a fazê-lo ou tal seja exigido por lei.

8.2. Caso o elenco dos seus Subcontratantes Ulteriores seja alterado, a ESRI PORTUGAL informará o Cliente e conceder-lhe-á o direito de este se opor a tal alteração. Na medida em que o Cliente tenha uma objeção razoável à alteração do elenco dos Subcontratantes Ulteriores, as Partes devem cooperar para dirimir a oposição de forma razoável.

8.3. A ESRI PORTUGAL permanece como responsável pelo cumprimento pelos Subcontratantes Ulteriores relativamente ao disposto no Contrato do Cliente e neste DPA.

8.4. A ESRI PORTUGAL garantirá que os Subcontratantes Ulteriores estão vinculados contratualmente com as mesmas obrigações em matéria de proteção de dados que a própria ESRI PORTUGAL está sujeita nos termos do Contrato do Cliente e deste DPA.

9.    Obrigações de Cooperação da ESRI PORTUGAL  

9.1. A ESRI PORTUGAL deve responder atempadamente e sempre que possível aos pedidos de informação e de assistência solicitados pelo Cliente relativos ao tratamento de dados pessoais. Esta obrigação inclui a cooperação e a assistência em casos em que os Titulares de Dados pretendam exercer os seus direitos.

9.2. A ESRI PORTUGAL deve informar, prontamente, o Cliente de quaisquer reclamações, requerimentos ou pedidos de informação recebidos diretamente dos Titulares de Dados.

9.3. A ESRI PORTUGAL não responderá diretamente aos Titulares de Dados, salvo indicação do Cliente nesse sentido.

9.4. A ESRI PORTUGAL deve cooperar e assistir o Cliente em tudo o que seja necessário para que este possa realizar a sua avaliação de impacto sobre proteção dos dados nos termos e de acordo com a Legislação aplicável em matéria de Proteção de Dados Pessoais. 

10.  Declarações e Garantias do Cliente

10.1. O Cliente declara e garante que:

(i) Obteve o consentimento explícito, por escrito, ou outra autorização por escrito ("Consentimento") dos Titulares dos Dados ou que possui outro fundamento legítimo e legal para transmitir ou disponibilizar os Dados Pessoais à ESRI PORTUGAL (bem como aos seus Subcontratantes Ulteriores), e que tal Consentimento ou fundamento permite que a ESRI PORTUGAL (e os seus Subcontratantes Ulteriores) tratem os Dados Pessoais de acordo com os termos do Contrato do Cliente e do presente DPA, e

(ii) Certificou-se que a transmissão e divulgação à ESRI PORTUGAL de Dados Pessoais está em conformidade com o RGPD e qualquer outra Legislação aplicável em matéria de Proteção de Dados Pessoais aplicável ao Contrato do Cliente e ao Cliente.

11.  Violação de Dados Pessoais

11.1. A ESRI PORTUGAL deve, sem atrasos indevidos e em qualquer caso no prazo de 48 (quarenta e oito) horas, informar o Cliente se a própria ESRI PORTUGAL ou um Subcontratante Ulterior tiverem tomado conhecimento ou suspeitarem razoavelmente da ocorrência de uma Violação de Dados Pessoais.

11.2. Em caso de Violação de Dados Pessoais, a ESRI PORTUGAL adotará as medidas corretivas adequadas para a minimização dos Danos e proteção dos Dados Pessoais. Adicionalmente, deve disponibilizar ao Cliente toda a informação relevante relativamente à Violação de Dados Pessoais, cooperar com o Cliente na investigação da natureza e do âmbito da Violação de Dados Pessoais e prestar assistência ao Cliente de modo a garantir o cumprimento de quaisquer obrigações legais, incluindo as obrigações de notificação nesta matéria.

11.3. A notificação ou resposta da ESRI PORTUGAL a uma Violação de Dados Pessoais ao abrigo da presente cláusula não será considerada como um reconhecimento, por parte da ESRI PORTUGAL, de qualquer falha ou responsabilidade no que respeita à Violação de Dados Pessoais ocorrida.

12.  Devolução e Destruição de Dados Pessoais

12.1. Após o termo do Contrato do Cliente ou mediante solicitação do Cliente, a ESRI PORTUGAL deve, consoante a escolha do Cliente, devolver os Dados Pessoais a este último e/ou destruir de forma segura os mencionados Dados Pessoais e todas as cópias dos mesmos, a expensas do Cliente (se existirem), salvo se a Legislação aplicável em matéria de Proteção de Dados Pessoais ou outra legislação aplicável exigir a sua conservação.

13.  Cumprimento de Obrigações e Direito de Auditoria

11.1 A ESRI PORTUGAL deve disponibilizar ao Cliente toda a informação necessária para demonstrar o cumprimento das disposições deste DPA.

11.2 A ESRI PORTUGAL disponibilizará o acesso a documentação de apoio relevantes para o tratamento de Dados Pessoais e proporcionará toda a assistência razoavelmente solicitada para a realização de auditorias.

11.3 O Cliente deve:

i. notificar a ESRI PORTUGAL com um período mínimo 15 (quinze) dias úteis de antecedência, da intenção de realizar uma auditoria;

ii. assegurar que a auditoria seja realizada com respeito pelas obrigações de confidencialidade assumidas pela ESRI PORTUGAL.

14.  Notificação

14.1. A ESRI PORTUGAL deve imediatamente, e em qualquer caso no prazo de 48 (quarenta e oito) horas após a receção, informar o Cliente se receber:

i. um pedido de informação ou uma notificação por parte de um Titular dos Dados, Autoridade de Controlo ou outro;

ii. um pedido de inspeção ou auditoria de um tribunal ou autoridade pública, incluindo uma Autoridade de Controlo, ou,

iii. de uma entidade reguladora relativamente ao tratamento de Dados Pessoais ao abrigo do Contrato do Cliente, exceto se a ESRI PORTUGAL estiver proibida por lei de realizar tal notificação ao Cliente.

15.  Transferências Internacionais

15.1. Qualquer transferência de Dados Pessoais pela ESRI PORTUGAL para uma entidade localizada num País Não Adequado, reger-se-á pelas condições das Cláusulas Contratuais-Tipo.

15.2. Quando qualquer uma das Cláusulas Contratuais-Tipo aplicáveis a uma transferência requerer um ajustamento ou for invalidada em resultado de qualquer alteração ou decisão de uma Autoridade de Controlo, ou entidade da UE ou ao abrigo de uma disposição prevista na Legislação em matéria de Proteção de Dados, a ESRI PORTUGAL deve assegurar-se de que os ajustamentos necessários às Cláusulas Contratuais-Tipo são realizados e devidamente implementados para garantir que a transferência continua a ser realizada em cumprimento da Legislação aplicável em matéria de Proteção de Dados Pessoais.

16.  Responsabilidade

16.1. A ESRI PORTUGAL é responsável nos termos gerais de direito pelos Danos em matéria de Dados Pessoais, em resultado de:

i. violação das suas obrigações emergentes do presente DPA e/ou da Legislação em matéria de Proteção de Dados; ou

ii. atos ou omissões que constituam violações das Instruções de Tratamento;

17.  Resolução

17.1. Qualquer uma das Partes pode resolver o Contrato do Cliente, nos termos aí previstos, se a outra Parte incumprir quaisquer termos e condições do presente DPA, conquanto, caso o incumprimento seja suscetível de sanação, a outra Parte seja informada por escrito do incumprimento e não o retifique no prazo de 30 (trinta) dias a contar da receção dessa informação.

17.2. A resolução do Contrato do Cliente nos termos do presente DPA não prejudica e não afeta os direitos, meios de reparação ou obrigações que se tenham surgido na esfera das Partes antes da cessação, bem como não afeta a entrada ou permanência em vigor de qualquer disposição que se destine, expressa ou implicitamente, a entrar ou permanecer em vigor durante ou após a cessação.

17.3. Nada do acordado no presente DPA prejudica os direitos que assistam a qualquer uma das Partes de recuperar qualquer montante que esteja em dívida na data de cessação.

18.  Jurisdição e Foro

18.1. A lei aplicável ao presente DPA é a lei portuguesa.

18.2. Para dirimir todo e qualquer conflito emergente, de qualquer Contrato do Cliente celebrado nos termos deste DPA é competente o Tribunal Judicial da Comarca de Lisboa, com renúncia expressa a qualquer outro.

19.  Disposições Finais

19.1. Os Anexos referentes ao Contrato do Cliente celebrados entre as Partes, constituem parte integrante deste DPA.

19.2. O presente DPA será interpretado em conjugação com os termos dos seus Anexos. Em caso de conflito de interpretação entre os termos do presente DPA e os dos seus Anexos, será dada prevalência aos termos DPA.

20.  Ponto de Contacto em matéria de Dados Pessoais

20.1. Se o Cliente considerar que a ESRI PORTUGAL não respeitou os respetivos compromissos de privacidade, confidencialidade ou segurança, ou necessitar de qualquer esclarecimento adicional relativo ao presente DPA ou ao tratamento de Dados Pessoais, poderá contactar o Ponto de Contacto em matéria de Dados Pessoais, identificado no Anexo I, ou enviar um pedido para:

 

Esri Portugal
Proteção de Dados Pessoais
Morada: Rua das Vigias 2, 1ºA, 1990-506 Lisboa
E-mail: gdpr@esri.pt.

 

Versão de: 17 de dezembro de 2025