ACORDO RELATIVO AO TRATAMENTO DE DADOS PESSOAIS

1.1. Para efeitos de interpretação do presente Acordo, aplicar-se-ão as definições estabelecidas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“RGPD”).

2.1. O presente Acordo tem por objeto autorizar e regular o tratamento de dados pessoais pela EMPRESA, enquanto Subcontratante, relativamente aos dados pessoais pelos quais o CLIENTE é responsável pelo tratamento.
2.2. O referido tratamento de dados pessoais por conta do CLIENTE tem como objetivo o cumprimento pela EMPRESA das obrigações constantes do Contrato.

3.1. As operações de tratamento respeitarão aos dados pessoais dos seguintes titulares de dados:
a) UTENTES;
b) PESSOAS DE REFERÊNCIA;
c) Representantes legais do CLIENTE;
d) Colaboradores do CLIENTE;
e) Prestadores de serviço do CLIENTE.

EMPRESA efetuará operações de tratamento, designadamente, das seguintes categorias de dados pessoais:
a) Dados de identificação (UTENTES, PESSOAS DE REFERÊNCIA, representantes legais, colaboradores e prestadores de serviço do CLIENTE);
b) Dados de contacto (UTENTES, PESSOAS DE REFERÊNCIA, colaboradores e prestadores de serviço do CLIENTE);
c) Dados de morada (UTENTES).
4.2. A seguintes categorias especiais de dados pessoais serão objeto de tratamento pela EMPRESA:
a) Dados relativos à saúde (UTENTES).

5.1. As categorias de dados pessoais identificadas neste Acordo serão tratadas pela EMPRESA por conta do CLIENTE para as seguintes finalidades:
a) A realização de operações no âmbito de suporte e manutenção do SERVIÇO;
b) Alojamento da informação inserida no SERVIÇO.
5.2. No âmbito da execução do Contrato, a EMPRESA irá proceder às seguintes operações de tratamento de dados: Recolha; Registo; Organização; Estruturação; Conservação; Recuperação; Consulta; Utilização; Comparação; Interconexão; Apagamento; Destruição.
5.3. As operações sobre os dados pessoais são realizadas por meios automatizados.
5.4. As operações de tratamento identificadas na presente cláusula, não prejudicam outras que venham a ser indicadas em conformidade com a prestação do SERVIÇO e com os termos do presente Acordo.

6.1. A EMPRESA procede ao tratamento de dados pessoais apenas mediante instruções escritas do CLIENTE, salvo se for obrigada a fazê-lo pelo direito da União Europeia ou pelo direito do Estado-Membro a que esteja sujeito.
6.2. O Cliente pode dar instruções subsequentes ao longo de toda a duração do tratamento de dados pessoais.

7.1. O CLIENTE compromete-se a:
a) Permitir o acesso e/ou colocar os dados pessoais à disposição da EMPRESA para o cumprimento e execução do Contrato em conformidade com este Acordo;
b) Transmitir as suas instruções quanto às operações de tratamento a realizar através de comunicação escrita;
c) Garantir e manter as condições de licitude que fundamentam o tratamento dos dados pessoais;
d) Cumprir com a obrigação de informação e transparência junto aos titulares dos dados;
e) Manter os dados pessoais atualizados e garantir a exatidão dos mesmos;
f) Cumprir com as suas obrigações legais, nos termos da legislação.

8.1. A EMPRESA compromete-se a:
a) Tratar apenas os dados pessoais identificados neste Acordo, em conformidade com o previsto no mesmo, bem como, com a legislação aplicável;
b) Tratar os dados pessoais em conformidade quer com as suas obrigações legais enquanto Subcontratante, bem como, com as melhores práticas;
c) Manter a confidencialidade e o dever de segredo em relação aos dados pessoais aos quais tem acesso através deste Acordo, mesmo após o termo do mesmo;
d) Não utilizar os dados pessoais cujo tratamento lhe esteja confiado para outras finalidades que não aquelas, clara e explicitamente, identificadas no Contrato e/ou no presente Acordo, nomeadamente, finalidades próprias;
e) Informar o CLIENTE da existência de qualquer pedido de exercício de direitos e/ou reclamação que lhe tenha sido dirigido, relativamente aos dados tratados por sua conta, colaborando na resposta aos pedidos de exercício de direitos. Sem prejuízo do disposto na alínea seguinte, não pode a EMPRESA responder ela própria a qualquer pedido, salvo se autorizada previamente e por escrito pelo CLIENTE;
f) Colaborar com as autoridades de controlo sempre seja notificada para esse efeito, devendo, contudo, informar previamente o CLIENTE dessa obrigação.

9.1. A EMPRESA adota as medidas técnicas e organizativas adequadas para proteger os dados pessoais, as quais oferecerem um nível de segurança adequado em relação aos riscos que o tratamento apresenta, tendo em conta o estado da técnica e a natureza dos dados a serem protegidos.
9.2. As medidas técnicas e organizativas permitem a proteção dos dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito.
9.3. Sem prejuízo do previsto no ponto 9.1, a EMPRESA mantem um plano de segurança da informação que assegura, nomeadamente:
a) A confidencialidade, integridade, disponibilidade e resiliência constante dos sistemas e dos serviços de tratamento;
b) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
c) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento;
d) A pseudonimização e/ou a cifragem dos dados pessoais.
9.4. A EMPRESA toma as necessárias medidas tecnológicas destinadas à efetiva proteção dos sistemas informáticos e respetivo hardware que suportam o SERVIÇO, nomeadamente, no que respeita a vírus, worms, cavalos de troia e spywares e outro software malicioso.

10.1. Em caso de violação de dados pessoais relativa a dados tratados pela EMPRESA por conta do CLIENTE, a EMPRESA informará o CLIENTE, por escrito, no prazo de quarenta e oito (48) horas após ter tido conhecimento da mesma. Esta notificação conterá, pelo menos, os seguintes elementos:
a) Descrição da natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
b) O nome e os contactos, existindo, do encarregado da proteção de dados, ou, não existindo, de outro ponto de contacto onde possam ser obtidas mais informações;
c) Descrição das consequências prováveis da violação de dados pessoais e das medidas adotadas ou propostas para prevenir e/ou mitigar e/ou reparar os seus eventuais efeitos negativos.
10.2. As obrigações da presente Cláusula não prejudicam aquelas que decorram da legislação, nomeadamente, no âmbito da segurança da informação e do cibercrime.

11.1. É proibida à EMPRESA qualquer comunicação de dados a terceiros que venha a ocorrer, com exceção de:
a) Comunicações instruídas pelo CLIENTE;
b) Em conformidade com o cumprimento das suas obrigações legais;
c) Para Subcontratantes da EMPRESA, desde que nos termos da Cláusula 13; e,
d) Nos casos previstos na legislação.

12.1. A EMPRESA não realizará quaisquer operações relativamente aos dados pessoais que coincidam na sua transferência para fora do Espaço Económico Europeu (EEE), sem prévia autorização escrita do CLIENTE.
12.2. Entende-se aqui, nomeadamente, a conservação dos dados pessoais em sistemas localizados fora do EEE.

13.1. O CLIENTE concede, por este meio, uma autorização escrita geral à EMPRESA para contratar Subcontratantes Ulteriores que procedam a operações de tratamento de dados no âmbito do presente Acordo, devendo ser preenchido um formulário, conforme o Apêndice II, para cada Subcontratante Ulteriores, mantendo a EMPRESA a listagem atualizada relativa àqueles Subcontratantes.
13.2. A EMPRESA informará o CLIENTE por escrito, sobre alterações relativas à contratação de Subcontratantes Ulteriores, disponibilizando uma lista atualizada com indicação dos mesmos.
13.3. O CLIENTE poderá opor-se à utilização, por parte da EMPRESA, de um novo Subcontratante Ulterior, desde que devidamente e fundadamente justificado, notificando prontamente a EMPRESA por escrito no prazo de dez (10) dias úteis após a receção da notificação por parte da EMPRESA acompanhada das necessárias informações.
13.4. No caso do CLIENTE se opor a um novo Subcontratante Ulterior, a EMPRESA envidará esforços razoáveis e/ou necessários para ajustar a prestação de serviços, ou recomendar uma alteração comercialmente razoável, para evitar o tratamento de dados pessoais por parte do Subcontratante Ulterior em causa.
13.5. Sem prejuízo do mencionado nos números anteriores, caso não seja efetivamente possível a EMPRESA continuar a prestar o serviço nos moldes previamente acordados devido ao facto do CLIENTE se ter oposto à utilização de determinado Subcontratante Ulterior, e não ter sido possível a sua substituição, tal dará o direito à EMPRESA de resolver o presente Acordo e respetivo Contrato, sem que tal comporte qualquer tipo de responsabilidade ou pagamento de qualquer montante a título indemnizatório por parte desta ao CLIENTE seja a que título for.
13.6. Caso a EMPRESA contrate um Subcontratante Ulterior para a realização de operações específicas de tratamento de dados por conta do CLIENTE, serão impostas a esse Subcontratante Ulterior as mesmas obrigações em matéria de proteção de dados que as estabelecidas no presente Acordo, legislação e melhores práticas, bem como, a obrigação de apresentar garantias de execução de medidas técnicas e organizativas adequadas à segurança do tratamento.

14.1. O presente Acordo entrará em vigor na data da sua assinatura por ambas as Partes e terá uma duração idêntica à estabelecida no Contrato.
14.2. São causas de resolução imediata pelo CLIENTE:
a) A violação, pela EMPRESA, dos deveres de confidencialidade;
b) A violação, pela EMPRESA, das obrigações e garantias de segurança no tratamento;
c) A violação, pela EMPRESA, da obrigação de não utilização dos dados para outras finalidades, exceto nos casos expressamente previstos no presente Acordo.
d) O não cumprimento, pela EMPRESA, de quaisquer obrigações decorrentes do Acordo e/ou da legislação que possam afetar e/ou colocar em causa o tratamento de dados pessoais.
14.3. Nas hipóteses previstas no número anterior, a resolução do Acordo opera automaticamente na data de receção da comunicação do CLIENTE para esse efeito.

15.1. Caso seja necessário, com o termo ou resolução do presente Acordo, a EMPRESA compromete-se a desenvolver todas as medidas necessárias para assegurar uma transferência ordenada das operações de tratamento de dados para o CLIENTE ou para um Terceiro por este indicado.
15.2. As Partes obrigam-se a respeitar quaisquer obrigações que, nos termos do presente Acordo, se devam manter após o seu termo.

16.1. A EMPRESA é responsável pelos danos causados pelo tratamento de dados quando não tenha, nomeadamente, cumprido com:
a) As obrigações decorrentes da legislação que lhe sejam diretamente aplicáveis; ou
b) As instruções lícitas do responsável pelo tratamento.
16.2. A EMPRESA responsabiliza-se pelos danos derivados das operações de tratamento de dados que, não sendo conforme as instruções do CLIENTE, resultem de ação dolosa imputável à EMPRESA:
16.3. São danos derivados das operações de tratamento de dados:
a) Aqueles que resultem em sanções, administrativas e outras;
b) Indemnizações pagas pelo CLIENTE a titulares de dados.
16.4. A responsabilidade da EMPRESA fica desde já limitada ao valor global do Contrato, exceto quanto aos riscos cobertos por seguros subscritos pela EMPRESA, caso em que a responsabilidade da EMPRESA se encontra limitada aos montantes máximos cobertos nessas apólices.

17.1. A EMPRESA poderá conservar os dados pessoais por conta do CLIENTE apenas durante a duração do Contrato, salvo se existir alguma obrigação legal que a legitime a conservá-los por maior período.
17.2. Com o termo e/ou resolução do Contrato, ou findo o período definido para a conservação dos dados, a EMPRESA deverá devolver, ou destruir, conforme instruído pelo CLIENTE, os dados pessoais que tenha na sua posse.
17.3. A EMPRESA é responsável por garantir o cumprimento da obrigação desta Cláusula junto dos seus Subcontratantes, garantindo a realização de todas a diligências necessárias para esse efeito.

18.1. Caso ocorra algum facto que possa considerar-se como Força Maior ou Caso Fortuito, ficam as Partes dispensadas do cumprimento das obrigações emergentes deste Acordo.
18.2. Salvo se tal for materialmente impossível, a Parte afetada dará conhecimento à outra por escrito no prazo de cinco (5) dias, sobre a ocorrência do facto, especificando as causas do mesmo e a sua possível duração e consequências na execução do Acordo e respetivo Contrato.
18.3. Se as circunstâncias se mantiverem por trinta (30) dias após a referida comunicação, qualquer uma das Partes poderá resolver o Acordo e respetivo Contrato, com efeitos imediatos, mediante comunicação escrita à outra Parte.

19.1. Em caso de contradição entre as presentes cláusulas e as disposições de Contratos e/ou Acordos conexos celebrados entre as Partes que se encontrem em vigor no momento em que as presentes cláusulas sejam acordadas, prevalecem as presentes cláusulas em matéria de proteção de dados pessoais.

20.1. Faz parte integrante deste Acordo:
a) Apêndice I – Requisitos Mínimos de Segurança.
b) Apêndice II – Formulário de Registo E Lista de Subcontratantes Ulteriores.
20.2. O presente Acordo, juntamente com os apêndices acima referidos, constitui o acordo integral entre as Partes e nenhuma alteração, modificação ou aditamento ao mesmo produzirá efeitos a não ser que seja feita por escrito e assinada por ambas Partes.

Data da última atualização: Agosto de 2025