Contrato de Tratamento de Dados

1. Objeto e Duração

O objeto do tratamento é a disponibilização da plataforma digital de termos WaiverKit ao Responsável pelo tratamento. O tratamento mantém-se enquanto o Responsável pelo tratamento conservar uma conta ativa e durante qualquer período de retenção pós-cessação aplicável descrito na Secção 11.

2. Natureza e Finalidade do Tratamento

O Subcontratante trata dados pessoais exclusivamente para alojar, disponibilizar, proteger e suportar o serviço WaiverKit: recolher e armazenar termos assinados, gerar registos em PDF, enviar e-mails transacionais, autenticar utilizadores, processar pagamentos e produzir análises por conta do Responsável pelo tratamento.

3. Tipos de Dados Pessoais e Categorias de Titulares dos Dados

Os dados pessoais tratados podem incluir:

• Dados de identidade do signatário (nome, data de nascimento, morada, e-mail, telefone)
• Imagens de assinatura e assinaturas escritas
• Dados do encarregado de educação de signatários menores
• Dados da conta do utilizador empresarial (nome, e-mail, identificadores de autenticação, endereço IP)

As categorias de titulares dos dados incluem: participantes que assinam termos, encarregados de educação de participantes menores e colaboradores ou utilizadores autorizados do Responsável pelo tratamento.

4. Obrigações e Direitos do Responsável pelo Tratamento

O Responsável pelo tratamento é responsável pela licitude da recolha e do tratamento dos dados pessoais, pela obtenção de quaisquer consentimentos necessários dos titulares dos dados, pela exatidão das instruções dadas ao Subcontratante e por assegurar que os modelos de termos e os fluxos de trabalho que configura cumprem a lei aplicável. O Responsável pelo tratamento mantém todos os direitos sobre os dados pessoais e pode emitir instruções documentadas ao Subcontratante a qualquer momento.

5. Subcontratantes ulteriores

O Responsável pelo tratamento autoriza o Subcontratante a recorrer aos seguintes subcontratantes ulteriores para a prestação do serviço:

• Clerk (autenticação, gestão de sessões e diretório de utilizadores).
• Stripe (processamento de pagamentos e faturação de subscrições).
• Resend (entrega de e-mails transacionais).
• Cloudflare R2 (armazenamento de objetos para imagens de assinatura e ficheiros PDF).
• Vercel (alojamento da aplicação, edge network e encaminhamento de pedidos).
• Neon (Postgres) (alojamento de base de dados Postgres gerida para dados estruturados).

O Subcontratante notificará o Responsável pelo tratamento de qualquer adição ou substituição prevista de subcontratantes ulteriores, dando-lhe oportunidade razoável de se opor por motivos legítimos.

6. Medidas de Segurança

O Subcontratante aplica medidas técnicas e organizativas adequadas para proteger os dados pessoais, incluindo:

• Encriptação em trânsito (TLS 1.2+) e em repouso para a base de dados e o armazenamento de objetos
• Controlos de acesso baseados em funções e IAM com princípio do menor privilégio em toda a infraestrutura
• Isolamento de inquilinos (tenants) aplicado ao nível da aplicação e da camada de consulta
• Registo de auditoria de ações administrativas e de acessos a dados pessoais
• Cópias de segurança regulares, análise automática de dependências e procedimentos de resposta a incidentes

7. Direitos dos Titulares dos Dados

Tendo em conta a natureza do tratamento, o Subcontratante apoiará o Responsável pelo tratamento, através de medidas técnicas e organizativas adequadas, no cumprimento da obrigação de responder aos pedidos dos titulares dos dados no exercício dos seus direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição, nos termos dos Artigos 15.º a 22.º do RGPD.

8. Notificação de Violação de Dados

O Subcontratante notificará o Responsável pelo tratamento sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que afete os dados do Responsável pelo tratamento. A notificação descreverá a natureza da violação, as consequências prováveis, as medidas tomadas ou propostas e um ponto de contacto para informações adicionais.

9. Transferências Internacionais

Quando os dados pessoais são transferidos para fora do Espaço Económico Europeu, do Reino Unido ou da Suíça para um país sem decisão de adequação, tais transferências são regidas pelas Cláusulas Contratuais-Tipo (CCT) da Comissão Europeia e, quando aplicável, pelo UK International Data Transfer Addendum e pelo adendo suíço, juntamente com quaisquer medidas suplementares exigidas pela avaliação de impacto da transferência.

10. Direitos de Auditoria

O Subcontratante disponibilizará ao Responsável pelo tratamento todas as informações razoavelmente necessárias para demonstrar o cumprimento deste DPA e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Responsável pelo tratamento ou por um auditor por si mandatado, sob obrigações razoáveis de confidencialidade e não mais do que uma vez por ano civil, exceto no caso de incidente de segurança documentado ou de pedido regulatório.

11. Cessação, Devolução e Eliminação

Após a cessação do contrato, o Subcontratante, à escolha do Responsável pelo tratamento, eliminará ou devolverá todos os dados pessoais tratados por conta do Responsável pelo tratamento e eliminará as cópias existentes, salvo se a lei aplicável exigir a conservação continuada. As cópias de segurança que contenham dados pessoais serão eliminadas no decurso normal do ciclo de retenção das cópias de segurança.