Acordo de Tratamento de Dados Pessoais - Subcontratação
O presente Acordo de Tratamento de Dados Pessoais ("DPA") é parte integrante do Contrato de Prestação de Serviços (“Contrato”), celebrado por e entre o prestador de serviços (adiante “Prestador”) e a ESRI PORTUGAL– Sistemas e Informação Geográfica, S.A. (adiante “ESRI”), em conjunto doravante designadas como “Partes”.
Em caso de conflito ou inconsistência, em matéria de dados pessoais, entre os termos previstos neste DPA e quaisquer outros documentos, aplicar-se-á a seguinte ordem de precedência: (1) DPA e os seus Anexos; (2) Contrato; (3) Proposta Comercial.
1. Definições
“Autoridade de Controlo”: uma autoridade independente criada por um Estado-Membro da União Europeia nos termos e para os efeitos de supervisão e controle do cumprimento do RGPD;
“Colaboradores”: todos os titulares de um vínculo de colaboração profissional (ainda que temporário ou precário), assim como todos os representantes, agentes ou quaisquer prestadores de serviços do Subcontratante de 2º Grau e/ou dos seus Sub-Subcontratantes utilizados para a execução do Contrato e/ou para as atividades de tratamento;
“Contrato”: o Contrato de Prestação de Serviços celebrado entre as Partes, cujo objeto pressupõe o tratamento de Dados Pessoais;
“Cláusulas Contratuais-Tipo”: as Cláusulas Contratuais-Tipo conforme publicado na Decisão de Execução (EU) 2021/914 da Comissão Europeia de 4 de junho de 2021;
“Cliente da ESRI PORTUGAL”: a pessoa singular ou coletiva que contratou os serviços da ESRI, no âmbito dos quais a ESRI subcontratou o Prestador;
“Dados Pessoais”: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular de Dados”); é considerada identificável uma pessoa singular que possa ser identificada direta ou indiretamente;
“Legislação aplicável em matéria de Proteção de Dados Pessoais”: todas as leis, regulamentos e recomendações que incluam regras relativas à proteção de dados e à privacidade, designadamente, o RGPD e a Lei n.º 58/2019, de 8 de agosto, aplicáveis ao tratamento de Dados Pessoais previstos no presente DPA;
“País Não Adequado”: um país considerado pela Comissão Europeia como incapaz de proporcionar uma proteção apropriada para os Dados Pessoais no âmbito do RGPD, uma vez que não dispõe de uma Decisão de Adequação emitida pela Comissão Europeia ou não integra um quadro legal definido pela Comissão Europeia para transferências de dados para países terceiros (como por exemplo, o EU-US Data Privacy Framework);
“País Terceiro”: país localizado fora do Espaço Económico Europeu (“EEE”);
“Danos em matéria de Dados Pessoais”: todos os danos emergentes e lucros cessantes originados no não cumprimento dos termos do presente DPA e/ou da Legislação sobre Proteção de Dados, imputáveis ao Subcontratante ou pelos quais este deva responder, conforme aqui previsto ou resulte da Legislação aplicável em matéria de Proteção de Dados Pessoais;
“Proposta Comercial”: cada proposta de serviços a ser apresentada pelo Subcontratante de 2º Grau na qualidade de prestador de serviços, à ESRI, e a ser aceite por esta última para efeitos da execução do Contrato, definindo os exatos serviços a prestar em cada momento e o respetivo custo, sendo todas as Propostas Comerciais reguladas pelos termos e condições estabelecidos no Contrato;
“Responsável pelo Tratamento de Dados”: a pessoa singular ou coletiva que determina as finalidades e os meios de tratamento dos Dados Pessoais, neste caso, o Cliente da ESRI;
“RGPD”: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à sua livre circulação;
“Subcontratante”: a pessoa coletiva que trata os Dados Pessoais por conta do Responsável pelo Tratamento, neste caso a ESRI;
“Subcontratante de 2º Grau”: a pessoa singular ou coletiva que trata os Dados Pessoais por conta do Subcontratante (ESRI), neste caso o Prestador;
“Sub-Subcontratante”: qualquer entidade que trate Dados Pessoais mediante as instruções, em parceria ou sob a supervisão do Subcontratante de 2º Grau (Prestador), na prestação de serviços objeto do Contrato;
“Terceiro(s)”: qualquer parte que não sejam as Partes do DPA;
“Violação de Dados Pessoais”: uma quebra de segurança que cause a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso ilegais ou acidentais de Dados Pessoais transmitidos, guardados ou tratados sob qualquer outra forma.
2. Objeto
2.1. Nos termos do Contrato, o Subcontratante de 2º Grau trata Dados Pessoais por conta do Subcontratante no âmbito da prestação dos serviços que constituem o objeto do mesmo, sendo regulada pelo presente DPA a relação de subcontratação estabelecida entre as Partes, enquanto Subcontratante e Subcontratante de 2º Grau.
2.2. O tratamento de Dados Pessoais previsto em cada Proposta Comercial aceite pela ESRI, é regulado pelos termos e condições constantes do presente DPA.
3. Detalhes do tratamento
3.1. O tratamento dos dados pessoais pelo Subcontratante de 2º Grau nos termos do Contrato e do presente DPA incidirá apenas e será efetuado na estrita observância do teor das seguintes alíneas:
(a) Objeto do tratamento: prestação de serviços, objeto do Contrato;
(b)Duração do tratamento: os dados pessoais serão tratados pelo período correspondente à duração da prestação dos serviços que são objeto do Contrato, acrescido do período de tempo necessário para o exercício da totalidade dos direitos e execução das obrigações dele emergentes;
(c) Natureza do tratamento: todas as operações de tratamento inerentes ao exercício dos direitos e à execução das obrigações objeto do Contrato, e à gestão da respetiva relação contratual;
(d)Fundamento de licitude: execução da relação contratual.
(e) Finalidade: prestação dos serviços pelo Prestador à ESRI.
4. Instruções de tratamento
4.1. O Subcontratante de 2º Grau procederá ao tratamento dos Dados Pessoais de acordo com o disposto neste DPA apenas (i) em nome e por conta da ESRI, (ii) em conformidade com as instruções escritas da ESRI e (iii) para efeitos de execução do Contrato ou indicados por escrito pela ESRI.
4.2. O Subcontratante de 2º Grau compromete-se a cumprir a Legislação aplicável em matéria de Proteção de Dados Pessoais na execução das obrigações estabelecidas no Contrato.
4.3. O Subcontratante de 2º Grau não procederá ao tratamento de Dados Pessoais para além das instruções da ESRI e conforme o estritamente necessário para a execução do Contrato ou do exigido pela Legislação aplicável em matéria de Proteção de Dados Pessoais.
5. Confidencialidade
5.1. O Subcontratante de 2º Grau manterá a confidencialidade dos Dados Pessoais e não os divulgará sob qualquer modo a qualquer Terceiro, sem a autorização escrita da ESRI, exceto quando, nos termos deste DPA: (i) os Dados Pessoais necessitem ser divulgados conforme o requerido para efeitos de auditoria do modo descrito na Cláusula 12ª do presente DPA, (ii) para o cumprimento de obrigações legais (iii) ou no caso de a divulgação ser permitida pela ESRI.
5.2. O Subcontratante de 2º Grau assegurar-se-á de que qualquer um dos seus Colaboradores assumiu o compromisso de respeitar e manter a confidencialidade e as medidas de segurança aplicáveis ao tratamento de Dados Pessoais.
6. Segurança no Tratamento
6.1. O Subcontratante de 2º Grau declara e garante que implementou as medidas de segurança técnica, física e organizativa apropriadas para prevenir a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso ilegais ou acidentais aos Dados Pessoais.
6.2. As medidas de segurança devem considerar o estado da técnica, os custos da implementação, a natureza, o alcance, o contexto e as finalidades do tratamento segundo o objeto do Contrato, bem como o risco de probabilidade e severidade da violação dos direitos de privacidade dos Titulares de Dados.
7. Registo
7.1. O Subcontratante de 2º Grau deve manter o registo de todas as atividades de tratamento de Dados Pessoais realizadas por conta da ESRI, o qual deve incluir, no mínimo e sem caráter limitativo, a identificação das categorias de tratamentos de dados, as medidas de segurança, organizativas e técnicas adotadas, a identificação de Sub-Subcontratantes ou quaisquer terceiros encarregados de subatividades ou atividades conexas de tratamento, fluxos e transferências internacionais de Dados (incluindo para fora da UE) e um espaço para verificações de controlo interno e auditoria.
7.2. O registo referido deve estar atualizado e correto em cada momento, ser mantido e gerido pelo Subcontratante de 2º Grau e facultado à ESRI sempre que esta razoavelmente o solicite.
8. Sub-Subcontratantes
8.1. O Subcontratante de 2º Grau não subcontratará nenhum Sub-Subcontratante sem o conhecimento e autorização prévia da ESRI.
8.2. O Subcontratante de 2º Grau permanece como responsável pelo cumprimento dos Sub-Subcontratantes relativamente ao disposto no Contrato e neste DPA.
8.3. O Subcontratante de 2º Grau garantirá que os Sub-Subcontratantes estão vinculados contratualmente com as mesmas restrições e obrigações relativas ao tratamento de dados pessoais que o próprio Subcontratante de 2º Grau está sujeito nos termos do Contrato e deste DPA.
9. Obrigações de Cooperação
9.1. O Subcontratante de 2º Grau deve responder atempadamente e sempre que possível aos pedidos de informação e de assistência da ESRI relativos ao tratamento de dados pessoais. Esta obrigação inclui a cooperação e a assistência em casos em que os Titulares de Dados pretendam exercer os seus direitos.
9.2. O Subcontratante de 2º Grau deve informar prontamente a ESRI de quaisquer reclamações, requerimentos ou pedidos de informação recebidos diretamente dos Titulares de Dados.
9.3. O Subcontratante de 2º Grau não responderá diretamente aos Titulares de Dados.
9.4. O Subcontratante de 2º Grau deve cooperar e assistir a ESRI em tudo o que seja necessário para que esta possa realizar a sua avaliação de impacto sobre proteção dos dados nos termos e de acordo com a Legislação aplicável em matéria de Proteção de Dados Pessoais.
10. Violação de Dados Pessoais
10.1. O Subcontratante de 2º Grau deve prontamente, e em qualquer caso no prazo de vinte e quatro (24) horas, informar a ESRI se o próprio Subcontratante de 2º Grau ou um Sub-Subcontratante tiverem tomado conhecimento ou suspeitarem razoavelmente da ocorrência de uma Violação de Dados Pessoais.
10.2. Em caso de Violação de Dados Pessoais, o Subcontratante de 2º Grau adotará imediatamente as medidas corretivas adequadas. Adicionalmente, o Subcontratante de 2º Grau deve disponibilizar à ESRI toda a informação relevante solicitada por esta relativamente à Violação de Dados Pessoais, cooperar com a ESRI na investigação da natureza e do alcance da Violação de Dados Pessoais e prestar toda a assistência solicitada pela ESRI de modo a garantir o cumprimento de quaisquer obrigações legais, incluindo as obrigações de notificação nesta matéria.
11. Devolução e Destruição de Dados Pessoais
11.1. Após o termo do Contrato ou mediante solicitação da ESRI, o Subcontratante de 2º Grau deve, por opção da ESRI, devolver-lhe os Dados Pessoais que tenha na sua posse em consequência da celebração e execução do presente DPA, e todas as cópias dos mesmos, e/ou deve destruir de forma segura os mencionados Dados Pessoais e todas as cópias dos mesmos, exceto se a Legislação aplicável em matéria de Proteção de Dados Pessoais prever um período de conservação superior.
11.2. Quaisquer pedidos de eliminação ou devolução de Dados Pessoais ao abrigo desta cláusula serão cumpridos pelo Subcontratante de 2º Grau no prazo de trinta (30) dias após a resolução do Contrato.
12. Cumprimento de Obrigações e Direito de Auditoria
12.1. O Subcontratante de 2º Grau deve disponibilizar à ESRI toda a informação necessária para demonstrar o cumprimento das disposições deste DPA.
12.2. O Subcontratante de 2º Grau disponibilizará o acesso às instalações e a documentação de apoio relevantes para o tratamento de Dados Pessoais ao Responsável pelo Tratamento, ou a auditor por este mandatado para efeitos de realização de auditoria, e obriga-se a proporcionar-lhe toda a assistência razoavelmente solicitada para a realização da auditoria.
12.3. O Subcontratante de 2º Grau deve informar a ESRI caso tenha conhecimento de alguma instrução que infrinja a Legislação aplicável em matéria de Proteção de Dados Pessoais.
12.4. Para efeitos do disposto no nº2 supra, a ESRI deve:
i. dirigir ao Subcontratante de 2º Grau um aviso razoável com um período mínimo de 15 (quinze) dias úteis de antecedência, da intenção de realizar uma auditoria;
ii. procurar que a auditoria seja realizada em conformidade com as disposições de confidencialidade.
12.5. Se qualquer auditoria realizada conforme aqui previsto revelar o incumprimento do presente DPA e/ou da Legislação sobre Proteção de Dados, por facto imputável ao Subcontratante de 2º Grau, Colaboradores ou aos seus Sub-Subcontratantes e/ou Colaboradores destes ou quaisquer terceiros de que se socorram, o Subcontratante de 2º Grau assumirá os custos inerentes à correção das situações de incumprimento detetadas que lhe sejam imputáveis, sem prejuízo da obrigação de indemnizar a ESRI.
13. Notificação
13.1. O Subcontratante de 2º Grau deve imediatamente, e em qualquer caso no prazo de vinte e quatro (24) horas após a receção, informar a ESRI se receber:
i. um pedido de informação ou uma notificação de uma Autoridade de Controlo, ou de um Titular de Dados;
ii. um pedido de inspeção ou auditoria de um tribunal ou Autoridade de Controlo.
14. Encarregado da Proteção de Dados / Ponto de Contacto
14.1. O Subcontratante de 2º Grau deve de dispor de um encarregado da proteção de dados nos casos em que a Legislação aplicável em matéria de Proteção de Dados Pessoais o exija e, se for esse o caso, o Subcontratante de 2º Grau reconhece e aceita que:
i. nomeou um encarregado da proteção de dados por escrito e da forma devida;
ii. o seu encarregado da proteção de dados não é membro da direção e possui conhecimentos especializados relevantes; e
iii. facultará à ESRI o nome e contactos do encarregado da proteção de dados mediante solicitação.
14.2. O Subcontratante de 2º Grau deverá nomear e comunicar à ESRI um indivíduo para atuar como ponto de contacto com a ESRI no que respeita ao presente DPA (o qual pode ser o seu encarregado da proteção de dados ou outro indivíduo que possua habilitações e experiência adequadas). O Subcontratante de 2º Grau deve assegurar que o indivíduo em questão responde ativamente aos pedidos de esclarecimento apresentados pela ESRI ou, quando autorizado pela ESRI por escrito, aos pedidos de esclarecimento apresentados por uma Autoridade de Controlo relevante ou por um Titular de Dados.
15. Transferências Internacionais
15.1. O Subcontratante de 2º Grau está impedido de transferir quaisquer Dados Pessoais a que tenha acesso em consequência do presente DPA sem o conhecimento e autorização prévia da ESRI.
15.2. Qualquer transferência de Dados Pessoais para o Subcontratante de 2º Grau localizado num País Não Adequado ou num país terceiro reger-se-á pelas condições das Cláusulas Contratuais-Tipo.
15.3. Quando qualquer das Cláusulas Contratuais-Tipo aplicáveis a uma transferência requerer um ajustamento ou for invalidada em resultado de qualquer alteração ou decisão de uma Autoridade de Controlo ou entidade da UE ou ao abrigo de uma disposição de Legislação aplicável em matéria de Proteção de Dados Pessoais, o Subcontratante de 2º Grau deve assegurar-se de que os ajustamentos necessários às Cláusulas Contratuais-Tipo são realizados e devidamente implementados para garantir que a transferência continua a ser realizada em cumprimento da Legislação aplicável em matéria de Proteção de Dados Pessoais.
16. Responsabilidade
16.1. O Subcontratante de 2º Grau é responsável nos termos gerais de direito pelos Danos em matéria de Dados Pessoais em resultado de:
i. violação das obrigações emergentes do presente DPA e seus Anexos e/ou da Legislação aplicável em matéria de Proteção de Dados Pessoais; ou
ii. atos ou omissões que constituam violações das Instruções de Tratamento;
iii. que lhe sejam imputáveis, incluindo (sem caráter limitativo) os imputáveis aos seus Colaboradores, Sub-Subcontratantes ou Colaboradores destes.
17. Resolução
17.1. Qualquer uma das Partes pode resolver o Contrato, nos termos aí previstos, e o presente DPA após a ocorrência de qualquer uma das seguintes situações:
i. Se a outra Parte incumprir quaisquer termos e condições do presente DPA, conquanto, caso o incumprimento seja suscetível de sanação, a outra Parte seja informada por escrito do incumprimento e não o retifique no prazo de 30 (trinta) dias a contar da receção dessa informação;
ii. Se, na opinião do Subcontratante, a aplicação do presente DPA ou qualquer ato ou omissão do Subcontratante de 2º Grau ou de um Sub-Subcontratante de algum modo infringir, ou for suscetível de implicar a violação da Legislação aplicável em matéria de Proteção de Dados Pessoais.
iii. A resolução do Contrato nos termos do presente DPA não prejudica e não afeta os direitos, meios de reparação ou obrigações que se tenham acumulado nos termos do mesmo antes da cessação, nem afeta a entrada ou permanência em vigor de qualquer disposição que se destine, expressa ou implicitamente, a entrar ou permanecer em vigor na ou após a cessação, e nada do estipulado no presente DPA prejudica os direitos que assistam a qualquer uma das Partes de recuperar qualquer montante que esteja em dívida na data de cessação.
18. Jurisdição e Foro
18.1. A lei aplicável ao presente DPA é a lei portuguesa.
18.2. Para dirimir todo e qualquer conflito emergente, de qualquer contrato celebrado nos termos deste DPA é competente o Tribunal Judicial da Comarca de Lisboa, com renúncia expressa a qualquer outro.
19. Disposições Finais
1. Os Anexos referentes ao Contrato celebrado entre as Partes, constituem parte integrante deste DPA.
2.´O presente DPA será interpretado em conjugação com os termos dos seus Anexos. Em caso de conflito de interpretação entre os termos do presente DPA e os dos seus Anexos, será dada prevalência ao termos DPA.
*Atualizado a 20 de agosto de 2024