Acordo de Tratamento de Dados Pessoais

    O presente Acordo de Tratamento de Dados Pessoais ("DPA") é parte integrante do Contrato de Prestação de Serviços (“Contrato”), celebrado por e entre o prestador de serviços (adiante “Prestador”) e a Esri Portugal Sistemas e Informação Geográfica, S.A. (adiante “Esri”), em conjunto doravante designadas como “Partes”.

    Em caso de conflito ou inconsistência, em matéria de dados pessoais, entre os termos previstos neste DPA e quaisquer outros documentos, aplicar-se-á a seguinte ordem de precedência: (1) DPA e os seus Anexos; (2) Contrato; (3) Proposta Comercial.

    1. Definições

    “Autoridade de Controlo”: uma autoridade independente criada por um Estado-Membro da União Europeia nos termos e para os efeitos de supervisão e controle do cumprimento do RGPD;

    “Colaboradores”: todos os titulares de um vínculo de colaboração profissional (ainda que temporário ou precário), assim como todos os representantes, agentes ou quaisquer prestadores de serviços do Subcontratante e/ou dos seus Sub-Subcontratantes utilizados para a execução do Contrato e/ou para as atividades de tratamento;

    “Contrato”: o Contrato de Prestação de Serviços celebrado entre as Partes, cujo objeto pressupõe o tratamento de Dados Pessoais;

    “Cláusulas Contratuais-Tipo”: as Cláusulas Contratuais-Tipo conforme publicado na Decisão de Execução (EU) 2021/914 da Comissão Europeia de 4 de junho de 2021;

    “Dados Pessoais”: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular de Dados”); é considerada identificável uma pessoa singular que possa ser identificada direta ou indiretamente;

    “Legislação aplicável em matéria de Proteção de Dados Pessoais”: todas as leis, regulamentos e recomendações que incluam regras relativas à proteção de dados e à privacidade, designadamente, o RGPD e a Lei n.º 58/2019, de 8 de agosto, aplicáveis ao tratamento de Dados Pessoais previstos no presente DPA;

    “País Não Adequado”: um país considerado pela Comissão Europeia como incapaz de proporcionar uma proteção apropriada para os Dados Pessoais no âmbito do RGPD, uma vez que não dispõe de uma Decisão de Adequação emitida pela Comissão Europeia ou não integra um quadro legal definido pela Comissão Europeia para transferências de dados para países terceiros (como por exemplo, o EU-US Data Privacy Framework);

    “País Terceiro”: país localizado fora do Espaço Económico Europeu (“EEE”);

    “Danos em matéria de Dados Pessoais”: todos os danos emergentes e lucros cessantes originados no não cumprimento dos termos do presente DPA e/ou da Legislação sobre Proteção de Dados, imputáveis ao Subcontratante ou pelos quais este deva responder, conforme aqui previsto ou resulte da Legislação aplicável em matéria de Proteção de Dados Pessoais;

    “Proposta Comercial”: cada proposta de serviços a ser apresentada pelo Subcontratante na qualidade de prestador de serviços, à ESRI, e a ser aceite por esta última para efeitos da execução do Contrato, definindo os exatos serviços a prestar em cada momento e o respetivo custo, sendo todas as Propostas Comerciais reguladas pelos termos e condições estabelecidos no Contrato;    

    “Responsável pelo Tratamento de Dados”: a pessoa singular ou coletiva que determina as finalidades e os meios de tratamento dos Dados Pessoais, neste caso, a ESRI;

    “RGPD”: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à sua livre circulação;

    “Subcontratante”: a pessoa singular ou coletiva que trate os Dados Pessoais por conta do Responsável pelo Tratamento;

    “Sub-Subcontratante”: qualquer entidade que trate Dados Pessoais mediante as instruções, em parceria ou sob a supervisão do Subcontratante, na prestação de serviços objeto do Contrato;

    “Terceiro(s)”: qualquer parte que não sejam as Partes do DPA;

    “Violação de Dados Pessoais”: uma quebra de segurança que cause a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso ilegais ou acidentais de Dados Pessoais transmitidos, guardados ou tratados sob qualquer outra forma.

    2. Objeto

        2.1. Nos termos do Contrato, o Subcontratante trata Dados Pessoais por conta do Responsável pelo Tratamento no âmbito da prestação dos serviços que constituem o objeto do mesmo, sendo regulada pelo presente DPA a relação de subcontratação estabelecida entre as Partes, enquanto Responsável pelo Tratamento e Subcontratante.

        2.2. O tratamento de Dados Pessoais previsto em cada Proposta Comercial aceite pela Esri, é regulado pelos termos e condições constantes do presente DPA.

    3.    Detalhes do tratamento

        3.1. O tratamento dos dados pessoais pelo Subcontratante nos termos do Contrato e do presente DPA incidirá apenas e será efetuado na estrita observância do teor das seguintes alíneas:

    (a) Objeto do tratamento: prestação de serviços, objeto do Contrato
    (b)Duração do tratamento: os dados pessoais serão tratados pelo período correspondente à duração da prestação dos serviços que são objeto do Contrato, acrescido do período de tempo necessário para o exercício da totalidade dos direitos e execução das obrigações dele emergentes;
    (c) Natureza do tratamento: todas as operações de tratamento inerentes ao exercício dos direitos e à execução das obrigações objeto do Contrato, e à gestão da respetiva relação contratual;
    (d) Fundamento de licitude: execução da relação contratual;(e) Finalidade: prestação dos serviços pelo Subcontratante ao Responsável pelo Tratamento.

    4.    Instruções de tratamento

        4.1. O Subcontratante procederá ao tratamento dos Dados Pessoais de acordo com o disposto neste DPA apenas (i) em nome e por conta da Esri, (ii) em conformidade com as instruções escritas da Esri e (iii) para efeitos de execução do Contrato ou indicados por escrito pela ESRI.

        4.2. O Subcontratante compromete-se a cumprir a Legislação aplicável em matéria de Proteção de Dados Pessoais na execução das obrigações estabelecidas no Contrato.

        4.3. O Subcontratante não procederá ao tratamento de Dados Pessoais para além das instruções da Esri e conforme o estritamente necessário para a execução do Contrato ou do exigido pela Legislação aplicável em matéria de Proteção de Dados Pessoais.

    5.    Confidencialidade

        5.1. O Subcontratante manterá a confidencialidade dos Dados Pessoais e não os divulgará sob qualquer modo a qualquer Terceiro, sem a autorização escrita da Esri, exceto quando, nos termos deste DPA: (i) os Dados Pessoais necessitem ser divulgados conforme o requerido para efeitos de auditoria do modo descrito na Cláusula 12ª do presente DPA, (ii) para o cumprimento de obrigações legais (iii) ou no caso de a divulgação ser permitida pela Esri.

        5.2. O Subcontratante assegurar-se-á de que qualquer um dos seus Colaboradores assumiu o compromisso de respeitar e manter a confidencialidade e as medidas de segurança aplicáveis ao tratamento de Dados Pessoais.

    6.    Segurança no Tratamento

        6.1. O Subcontratante declara e garante que implementou as medidas de segurança técnica, física e organizativa apropriadas para prevenir a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso ilegais ou acidentais aos Dados Pessoais.

        6.2. As medidas de segurança devem considerar o estado da técnica, os custos da implementação, a natureza, o alcance, o contexto e as finalidades do tratamento segundo o objeto do Contrato, bem como o risco de probabilidade e severidade da violação dos direitos de privacidade dos Titulares de Dados.

    7.    Registo

        7.1. O Subcontratante deve manter o registo de todas as atividades de tratamento de Dados Pessoais realizadas por conta da Esri, o qual deve incluir, no mínimo e sem caráter limitativo, a identificação das categorias de tratamentos de dados, as medidas de segurança, organizativas e técnicas adotadas, a identificação de Sub-Subcontratantes ou quaisquer terceiros encarregados de subatividades ou atividades conexas de tratamento, fluxos e transferências internacionais de Dados (incluindo para fora da UE) e um espaço para verificações de controlo interno e auditoria.

        7.2. O registo referido deve estar atualizado e correto em cada momento, ser mantido e gerido pelo Subcontratante e facultado à ESRI sempre que esta razoavelmente o solicite.

    8.    Sub-Subcontratantes

        8.1. O Subcontratante não subcontratará nenhum Sub-Subcontratante sem o conhecimento e autorização prévia da Esri.

       8.2. O Subcontratante permanece como responsável pelo cumprimento dos Sub-Subcontratantes relativamente ao disposto no Contrato e neste DPA.

      8.3. O Subcontratante garantirá que os Sub-Subcontratantes estão vinculados contratualmente com as mesmas restrições e obrigações relativas ao tratamento de dados pessoais que o próprio Subcontratante está sujeito nos termos do Contrato e deste DPA.

    9.    Obrigações de Cooperação

        9.1. O Subcontratante deve responder atempadamente e sempre que possível aos pedidos de informação e de assistência da Esri relativos ao tratamento de dados pessoais. Esta obrigação inclui a cooperação e a assistência em casos em que os Titulares de Dados pretendam exercer os seus direitos.

        9.2. O Subcontratante deve informar prontamente a Esri de quaisquer reclamações, requerimentos ou pedidos de informação recebidos diretamente dos Titulares de Dados.

        9.3. O Subcontratante não responderá diretamente aos Titulares de Dados.

        9.4. O Subcontratante deve cooperar e assistir a ESRI em tudo o que seja necessário para que esta possa realizar a sua avaliação de impacto sobre proteção dos dados nos termos e de acordo com a Legislação aplicável em matéria de Proteção de Dados Pessoais. 

    10. Violação de Dados Pessoais

        10.1. O Subcontratante deve prontamente, e em qualquer caso no prazo de vinte e quatro (24) horas, informar a Esri se o próprio Subcontratante ou um Sub-Subcontratante tiverem tomado conhecimento ou suspeitarem razoavelmente da ocorrência de uma Violação de Dados Pessoais.

        10.2. Em caso de Violação de Dados Pessoais, o Subcontratante adotará imediatamente as medidas corretivas adequadas. Adicionalmente, o Subcontratante deve disponibilizar à Esri toda a informação relevante solicitada por esta relativamente à Violação de Dados Pessoais, cooperar com a Esri na investigação da natureza e do alcance da Violação de Dados Pessoais e prestar toda a assistência solicitada pela Esri de modo a garantir o cumprimento de quaisquer obrigações legais, incluindo as obrigações de notificação nesta matéria.

    11. Devolução e Destruição de Dados Pessoais

        11.1. Após o termo do Contrato ou mediante solicitação da Esri, o Subcontratante deve, por opção da Esri, devolver-lhe os Dados Pessoais que tenha na sua posse em consequência da celebração e execução do presente DPA, e todas as cópias dos mesmos, e/ou deve destruir de forma segura os mencionados Dados Pessoais e todas as cópias dos mesmos, exceto se a Legislação aplicável em matéria de Proteção de Dados Pessoais prever um período de conservação superior.

        11.2. Quaisquer pedidos de eliminação ou devolução de Dados Pessoais ao abrigo desta cláusula serão cumpridos pelo Subcontratante no prazo de trinta (30) dias após a resolução do Contrato.  

    12. Cumprimento de Obrigações e Direito de Auditoria

        12.1. O Subcontratante deve disponibilizar à Esri toda a informação necessária para demonstrar o cumprimento das disposições deste DPA.

        12.2. O Subcontratante disponibilizará o acesso às instalações e a documentação de apoio relevantes para o tratamento de Dados Pessoais ao Responsável pelo Tratamento, ou a auditor por este mandatado para efeitos de realização de auditoria, e obriga-se a proporcionar-lhe toda a assistência razoavelmente solicitada para a realização da auditoria.

        12.3. O Subcontratante deve informar a Esri caso tenha conhecimento de alguma instrução que infrinja a Legislação aplicável em matéria de Proteção de Dados Pessoais.

        12.4. Para efeitos do disposto no nº2 supra, a Esri deve:

        i. dirigir ao Subcontratante um aviso razoável com um período mínimo de 15 (quinze) dias úteis de antecedência, da intenção de realizar uma auditoria;

      ii. procurar que a auditoria seja realizada em conformidade com as disposições de confidencialidade.

        12.5. Se qualquer auditoria realizada conforme aqui previsto revelar o incumprimento do presente DPA e/ou da Legislação sobre Proteção de Dados, por facto imputável ao Subcontratante, Colaboradores ou aos seus Sub-Subcontratantes e/ou Colaboradores destes ou quaisquer terceiros de que se socorram, o Subcontratante assumirá os custos inerentes à correção das situações de incumprimento detetadas que lhe sejam imputáveis, sem prejuízo da obrigação de indemnizar a Esri.

    13. Notificação

        13.1. O Subcontratante deve imediatamente, e em qualquer caso no prazo de vinte e quatro (24) horas após a receção, informar a Esri se receber:

             i. um pedido de informação ou uma notificação de uma Autoridade de Controlo, ou de um Titular de Dados;

            ii. um pedido de inspeção ou auditoria de um tribunal ou Autoridade de Controlo.  

    14. Encarregado da Proteção de Dados / Ponto de Contacto

        14.1. O Subcontratante deve de dispor de um encarregado da proteção de dados nos casos em que a Legislação aplicável em matéria de Proteção de Dados Pessoais o exija e, se for esse o caso, o Subcontratante reconhece e aceita que:

        i.  nomeou um encarregado da proteção de dados por escrito e da forma devida;

        ii. o seu encarregado da proteção de dados não é membro da direção e possui conhecimentos especializados relevantes; e

        iii. facultará à Esri o nome e contactos do encarregado da proteção de dados mediante solicitação.

        14.2. O Subcontratante deverá nomear e comunicar à Esri um indivíduo para atuar como ponto de contacto com a Esri no que respeita ao presente DPA (o qual pode ser o seu encarregado da proteção de dados ou outro indivíduo que possua habilitações e experiência adequadas). O Subcontratante deve assegurar que o indivíduo em questão responde ativamente aos pedidos de esclarecimento apresentados pela Esriou, quando autorizado pela Esri por escrito, aos pedidos de esclarecimento apresentados por uma Autoridade de Controlo relevante ou por um Titular de Dados.

    15. Transferências Internacionais

        15.1. O Subcontratante está impedido de transferir quaisquer Dados Pessoais a que tenha acesso em consequência do presente DPA sem o conhecimento e autorização prévia da Esri.

        15.2. Qualquer transferência de Dados Pessoais para o Subcontratante localizado num País Não Adequado ou num País Terceiro reger-se-á pelas condições das Cláusulas Contratuais-Tipo.

        15.3. Quando qualquer das Cláusulas Contratuais-Tipo aplicáveis a uma transferência requerer um ajustamento ou for invalidada em resultado de qualquer alteração ou decisão de uma Autoridade de Controlo ou entidade da UE ou ao abrigo de uma disposição de Legislação aplicável em matéria de Proteção de Dados Pessoais, o Subcontratante deve assegurar-se de que os ajustamentos necessários às Cláusulas Contratuais-Tipo são realizados e devidamente implementados para garantir que a transferência continua a ser realizada em cumprimento da Legislação aplicável em matéria de Proteção de Dados Pessoais.

    16. Responsabilidade

        16.1. O Subcontratante é responsável nos termos gerais de direito pelos Danos em matéria de Dados Pessoais em resultado de:

        i. violação das obrigações emergentes do presente DPA e seus Anexos e/ou da Legislação aplicável em matéria de Proteção de Dados Pessoais; ou

      ii. atos ou omissões que constituam violações das Instruções de Tratamento;

      iii. que lhe sejam imputáveis, incluindo (sem caráter limitativo) os imputáveis aos seus Colaboradores, Sub-Subcontratantes ou Colaboradores destes.

    17. Resolução

        17.1. Qualquer uma das Partes pode resolver o Contrato, nos termos aí previstos, e o presente DPA após a ocorrência de qualquer uma das seguintes situações:

        i. Se a outra Parte incumprir quaisquer termos e condições do presente DPA, conquanto, caso o incumprimento seja suscetível de sanação, a outra Parte seja informada por escrito do incumprimento e não o retifique no prazo de 30 (trinta) dias a contar da receção dessa informação;

      ii. Se, na opinião do Responsável pelo Tratamento dos Dados, a aplicação do presente DPA ou qualquer ato ou omissão do Subcontratante ou de um Sub-Subcontratante de algum modo infringir, ou for suscetível de implicar a violação da Legislação aplicável em matéria de Proteção de Dados Pessoais.

       17.2. A resolução do Contrato nos termos do presente DPA não prejudica e não afeta os direitos, meios de reparação ou obrigações que se tenham acumulado nos termos do mesmo antes da cessação, nem afeta a entrada ou permanência em vigor de qualquer disposição que se destine, expressa ou implicitamente, a entrar ou permanecer em vigor na ou após a cessação, e nada do estipulado no presente DPA prejudica os direitos que assistam a qualquer uma das Partes de recuperar qualquer montante que esteja em dívida na data de cessação.

    18. Jurisdição e Foro

        18.1. A lei aplicável ao presente DPA é a lei portuguesa.

      18.2. Para dirimir todo e qualquer conflito emergente, de qualquer contrato celebrado nos termos deste DPA é competente o Tribunal Judicial da Comarca de Lisboa, com renúncia expressa a qualquer outro.

    19. Disposições Finais

        1. Os Anexos referentes ao Contrato celebrado entre as Partes, constituem parte integrante deste DPA.

        2. O presente DPA será interpretado em conjugação com os termos dos seus Anexos. Em caso de conflito de interpretação entre os termos do presente DPA e os dos seus Anexos, será dada prevalência ao termos DPA.

    *Atualizado a 20 de agosto de 2024

Previous
Next