Acordo de processamento de dados

Este Acordo de processamento de dados ("APD") faz parte do acordo entre si ("Cliente") e Getia AS ("Subcontratante") para a utilização dos nossos serviços.

• Dados pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável
• Tratamento: Qualquer operação efetuada sobre dados pessoais
• Responsável pelo tratamento: A entidade que determina as finalidades e os meios do tratamento
• Subcontratante: A entidade que trata dados pessoais por conta do responsável pelo tratamento

O Subcontratante deverá:

• Tratar dados pessoais apenas segundo instruções documentadas do Cliente
• Garantir que as pessoas que tratam dados estão sujeitas a obrigações de confidencialidade
• Implementar medidas de segurança técnicas e organizativas adequadas
• Assistir o Cliente na resposta a pedidos dos titulares dos dados
• Apagar ou devolver todos os dados pessoais no término dos serviços

O Cliente autoriza o Subcontratante a contratar subcontratantes ulteriores conforme indicado na Lista de subcontratantes ulteriores.

Alguns dos nossos subcontratantes ulteriores estão localizados nos Estados Unidos. Para transferências de dados pessoais para países fora do Espaço Económico Europeu (EEE) que não têm um nível adequado de proteção de dados, baseamo-nos nos seguintes mecanismos legais:

• Cláusulas contratuais-tipo (CCTs): Celebrámos cláusulas contratuais-tipo da UE (Decisão de Execução (UE) 2021/914) com os nossos subcontratantes ulteriores para garantir uma proteção adequada dos dados pessoais transferidos para fora do EEE.
• Medidas suplementares: Para além das CCTs, implementamos medidas técnicas e organizativas suplementares, incluindo encriptação de dados em trânsito e em repouso, controlos de acesso e compromissos contratuais dos subcontratantes ulteriores.
• Quadro de proteção de dados: Quando aplicável, os nossos subcontratantes ulteriores sediados nos EUA participam no Quadro de Proteção de Dados UE-EUA.

Pode solicitar uma cópia das CCTs aplicáveis contactando-nos em dpo@attorly.ai.

• Encriptação de dados em trânsito (TLS 1.2+) e em repouso (AES-256)
• Controlos de acesso e autenticação
• Avaliações de segurança regulares
• Procedimentos de resposta a incidentes

Em caso de violação de dados pessoais, o Subcontratante notificará o Cliente no prazo de 72 horas.

Retemos dados pessoais apenas pelo tempo necessário para cumprir as finalidades:

• Dados da conta: Retidos durante a vigência da conta e eliminados no prazo de 30 dias após o encerramento
• Documentos: Eliminados imediatamente a pedido do utilizador ou no prazo de 30 dias após a eliminação da conta
• Resultados de análise: Retidos durante 90 dias após a eliminação do documento associado
• Registos de auditoria: Retidos durante 2 anos para fins de segurança e conformidade
• Registos de pagamento: Retidos durante 7 anos conforme exigido pela regulamentação fiscal

Encarregado de proteção de dados: dpo@attorly.ai