Este documento estabelece as obrigações relativamente ao tratamento e à segurança dos Dados Pessoais relacionados com os “Serviços Online Datanau”. Este documento é incorporado por referência na alínea c) da secção 4 dos “Termos do contrato de adesão aos serviços online do contrato de adesão aos serviços online”.

A finalidade é clarificar sobre as responsabilidades da Datanau por garantir os direitos e liberdades dos titulares, a segurança do tratamento e orientar sobre os direitos que assistem aos titulares de dados pessoais, aplicáveis ao tratamento dos Dados dos Clientes, dos Dados dos Serviços Profissionais ou dos Dados Pessoais, de acordo com a definição do Regulamento Geral da Proteção de Dados – RGPD.

A Datanau assume os compromissos presentes neste documento, que serve às finalidades de um Acordo de Tratamento de Dados – DPA perante todos os clientes aderentes aos planos de utilização.

1.1. TERMOS E ATUALIZAÇÕES DO DPA APLICÁVEL

a) limites às atualizações

Quando o Cliente renova ou compra uma nova subscrição para um Produto ou faz uma ordem de intervenção para um Serviço Profissional, aplicar-se-ão os Termos do DPA atual na altura e não será alterada durante a subscrição do Cliente desse Produto ou período para esse Serviço Profissional.

Quando o Cliente obtém uma licença perpétua para o Software, serão aplicáveis os Termos do DPA então em vigor (com base na mesma disposição para determinar o “contrato de adesão aos serviços” então em vigor, aplicáveis para esse Software no licenciamento do Cliente), que não serão alterados durante a licença para esse Software.

b) novas funcionalidades, suplementos ou software relacionado

Sem prejuízo dos limites dispostos anteriormente às atualizações, quando a Datanau apresenta funcionalidades, ofertas, suplementos ou software relacionado que são novos (isto é, que não foram incluídos anteriormente com os Produtos ou Serviços), a Datanau poderá fornecer termos ou fazer atualizações aos DPA que se aplicam à utilização que o Cliente faz dessas novas funcionalidades, ofertas, suplementos ou software relacionado.

Se esses termos incluírem quaisquer alterações materiais adversas aos Termos da DPA, a Datanau facultará ao Cliente uma opção para utilizar as novas funcionalidades, ofertas, suplementos ou software relacionado, sem perda da funcionalidade existente de um Produto ou Serviço Profissional geralmente disponibilizado. Se o Cliente não instalar ou utilizar as novas funcionalidades, ofertas, suplementos ou software relacionado, não serão aplicáveis os novos termos correspondentes.

c) regulamentos e requisitos de regimes jurídicos terceiros à união europeia

Sem prejuízo dos limites dispostos anteriormente às atualizações, a Datanau poderá modificar ou cessar um Produto ou Serviço Profissional em qualquer país ou jurisdição no qual exista um requisito ou obrigação governamental atuais ou futuros que:

(1) sujeitem a Datanau a qualquer regulamento ou requisito não aplicável em geral à operação comercial naquele país;

(2) apresentem um impedimento para a Datanau continuar a operar o Produto ou a oferecer o Serviço Profissional sem modificação, e/ou;

(3) façam com que a Datanau considere que os Termos da DPA, ou o Produto ou Serviço Profissional estejam em conflito com esse requisito ou obrigação.

d) notificações eletrónicas

A Datanau pode fornecer ao Cliente informações e notificações acerca dos Produtos e Serviços eletronicamente, incluindo por correio eletrónico, através do portal de um Serviço Online ou através de um Web site que a Datanau escolha. A notificação entra em vigor a partir da data em que a Datanau a disponibilizar.

e) versões

Os Termos do DPA contemplam os Produtos e Serviços que estão atualmente disponíveis.

2. DEFINIÇÕES

Os termos em maiúsculas utilizados, mas não definidos, nesta DPA terão os significados indicados no “contrato de adesão aos serviços online”. Os seguintes termos definidos são utilizados na presente DPA:

a) “Dados do Cliente” designa todos os dados, incluindo todos os ficheiros de texto, de som, de vídeo ou de imagem e de software, que são fornecidos à Datanau pelo Cliente, ou em nome deste, através da utilização do Serviço Online. Os Dados do Cliente não incluem Dados dos Serviços Profissionais.

b) “Requisitos de Proteção de Dados” refere-se ao regime jurídico da proteção de dados, incluindo o RGPD, e as demais referências que compõem o quadro legislativo sobre a segurança e a Proteção de Dados Locais da UE/EEE, especialmente naquilo que configurar tratamento de dados pessoais, tais como a utilização, recolha, conservação, divulgação, transferência, eliminação e outros.

c) “Termos da DPA” designa os termos no acordo de tratamento de dados pessoais e quaisquer termos específicos do Produto nos “termos do contrato de adesão aos serviços online” que complementam ou modificam especificamente os termos de privacidade e segurança no acordo de tratamento para um Produto específico (ou funcionalidade de um Produto). Em caso de conflito ou inconsistência entre a DPA e estes termos específicos do Produto, os termos específicos do Produto prevalecerão sobre o mesmo (ou sobre as funcionalidades deste Produto).

d) “RGPD” designa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares em relação ao tratamento de dados pessoais e à livre circulação destes dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).

e) “Leis de Proteção de Dados Locais da UE/EEE” designa qualquer legislação e regulamentação subordinada que implementa o RGPD e que tenha influência relativamente ao tratamento de dados pessoais.

f) “Termos do RGPD” designa os termos no Anexo 1, ao abrigo dos quais a Datanau assume os compromissos vinculativos relativamente ao tratamento dos Dados Pessoais, tal como disposto no Artigo 28.º do RGPD.

g) “Dados Pessoais” refere-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular, nos termos da definição do n.º 1 do artigo 4.º do RGPD.

h) “Produto” tem o significado indicado nos “termos do contrato de adesão aos serviços online” (alínea k) do n.º 1.1 da secção 1). Para facilitar as referências, “Produto” inclui os Serviços Online e o Software.

i) “Produtos e Serviços” designa os Produtos e Serviços Profissionais. A aplicação do presente DPA a Produtos e Serviços Profissionais específicos está sujeita a limitações na secção Âmbito na presente DPA.

j) “Serviços Profissionais” designa os seguintes serviços:

serviços de consultoria da Datanau, compostos por serviços de planeamento, aconselhamento, orientação, migração de dados, implementação e desenvolvimento de software/soluções;

serviços de suporte técnico prestados pela Datanau que ajudam os clientes a identificar e resolver os problemas que afetam os Produtos, incluindo o suporte técnico e quaisquer outros serviços de suporte técnico comerciais. Os Serviços Profissionais não incluem os Produtos ou, para efeitos apenas deste DPA, Serviços Profissionais Suplementares.

k) “Dados dos Serviços Profissionais” refere-se a todos os dados, incluindo todos os ficheiros de imagem, texto, som, vídeo ou software fornecidos à Datanau pelo Cliente ou em nome deste (ou que o Cliente autorize a Datanau a obter a partir de um Produto), ou de alguma forma obtidos ou tratados pela Datanau ou em nome desta, através de um compromisso com a Datanau para obter Serviços Profissionais.

l) “Cláusulas Contratuais-Tipo de 2021” designa as cláusulas de proteção de dados-tipo da União Europeia, atualizadas em 2021, para transferências internacionais (módulo contratante para contratante) entre a Datanau e seus fornecedores para a transferência de dados pessoais dos contratantes no EEE para os contratantes estabelecidos noutros países que não asseguram um nível adequado de proteção de dados, tal como descrito no Artigo 46.º do RGPD, e aprovadas pela decisão da Comissão Europeia 2021/914/CE, com data de 4 de junho de 2021.

m) “Subcontratante” designa outros contratantes utilizados pela Datanau para tratar os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais, conforme descrito no Artigo 28.º do RGPD.

n) “Serviços Profissionais Suplementares” designa os pedidos de suporte escalados do suporte para uma equipa de engenharia do Produto para resolução, bem como para outras tarefas de consultoria e suporte da Datanau prestados no âmbito dos Produtos ou de um contrato de licenciamento em volume que não esteja incluído na definição dos Serviços Profissionais.

Os termos em minúsculas utilizados, mas não definidos no presente DPA, tais como “violação de dados pessoais”, “tratamento de dados”, “responsável pelo tratamento de dados”, “contratante”, “criação de perfis”, “dados pessoais” e “titular dos dados” terão os significados estabelecidos no Artigo 4.º do RGPD.

3. TERMOS GERAIS

3.1 CONFORMIDADE COM O QUADRO LEGISLATIVO APLICÁVEL

A Datanau respeitará o quadro jurídico e legislativo aplicável à respetiva disponibilização dos Produtos e Serviços, especialmente no que se refere ao Direito da Proteção de Dados.

No entanto, importa destacar que a Datanau não é responsável pelo cumprimento de quaisquer leis ou normas aplicáveis ao Cliente ou ao seu setor de atividade e que não sejam geralmente aplicáveis a fornecedores de serviços de tecnologia de informação. A Datanau não determina se os dados do Cliente incluem informações sujeitas a qualquer lei ou norma específica. Todos os Incidentes de Segurança estão sujeitos aos termos da Notificação de Incidentes de Segurança abaixo.

O Cliente deve cumprir todas as leis e normas aplicáveis à respetiva utilização dos Produtos e Serviços, incluindo as leis relacionados com os dados biométricos, a confidencialidade das comunicações e os Requisitos de Proteção de Dados.

O Cliente é responsável por determinar se os Produtos e Serviços são adequados para o armazenamento e o tratamento das informações, sujeitos a qualquer lei ou norma específica, bem como pela utilização dos Produtos e Serviços de uma forma consistente com as obrigações legais e regulamentares do Cliente.

O Cliente é responsável por responder a qualquer pedido de terceiros relativamente à sua utilização dos Produtos e Serviços.

4. TERMOS DA PROTEÇÃO DE DADOS

Esta secção do DPA inclui as seguintes subsecções:

Âmbito
Natureza, finalidade do Tratamento e a propriedade dos Dados
Divulgação dos Dados Tratados
Tratamento de Dados Pessoais ao abrigo do RGPD
Segurança dos Dados
Notificação de Incidentes de Segurança
Localização e Transferências de Dados
Conservação e Eliminação de Dados
Compromisso de Confidencialidade do Contratante

Notificação e Controlos à utilização por parte dos Subcontratantes
Dados Biométricos
Serviços Profissionais Suplementares
Como Contactar a Datanau
Apêndice A – Medidas de Segurança
Apêndice B – Titulares dos Dados e Categorias de Dados Pessoais
Apêndice C – Adenda Relativa às Salvaguardas Adicionais.

4.1 ÂMBITO

Os Termos do DPA aplicam-se a todos os Produtos e Serviços, exceto aos Produtos identificados como excluídos.

Para fins de clareza, os Termos do DPA são aplicáveis apenas ao tratamento dos dados nos ambientes virtuais controlados pela Datanau e pelos seus subcontratantes. Inclui os dados enviados para a Datanau pelos Produtos e Serviços, mas não inclui os dados que permanecem nas instalações do Cliente ou em quaisquer ambientes operacionais de terceiros selecionados pelo Cliente. Para os Serviços Profissionais Suplementares, a Datanau somente assume os compromissos na secção Serviços Profissionais Suplementares abaixo.

As pré-visualizações poderão empregar medidas de privacidade e segurança mais fracas ou diferentes das que normalmente estão presentes nos Produtos e Serviços. Salvo se especificado em contrário, o Cliente não deve utilizar as Pré-visualizações para tratar os Dados Pessoais ou outros dados que estejam sujeitos a requisitos de conformidade legal ou regulamentar.

Para os Produtos, os seguintes termos na presente DPA não são aplicáveis às Pré-visualizações: Tratamento de Dados Pessoais; RGPD, Segurança de Dados. Para os Serviços Profissionais, as ofertas designadas como Pré-visualizações ou de Disponibilização Limitada só satisfazem os termos dos Serviços Profissionais Suplementares.

4.2 NATUREZA, FINALIDADE DO TRATAMENTO E PROPRIEDADE DOS DADOS

A Datanau utilizará e tratará de outras formas os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais apenas conforme descrito e sujeita às limitações estabelecidas abaixo:

a) para fornecer ao Cliente os Produtos e Serviços em conformidade com as instruções documentadas do mesmo;

b) para as operações comerciais respeitantes ao fornecimento dos Produtos e Serviços ao Cliente. Tal como entre as partes, o Cliente mantém todos os direitos, títulos e interesses relativos aos Dados do Cliente e os Dados dos Serviços Profissionais. A Datanau não adquire quaisquer direitos sobre os Dados do Cliente ou aos Dados dos Serviços Profissionais, além dos direitos que o Cliente concede à Datanau na presente secção.

Este parágrafo não afeta os direitos da Datanau sobre o software ou serviços licenciados pela mesma ao Cliente.

4.2.1 Tratamento de Dados para Fornecer os Produtos e Serviços ao cliente

Para efeitos do presente DPA, “prestar” ou “fornecer” um Produto consiste em:

a) Disponibilizar as capacidades funcionais tal como estão licenciadas, configuradas e utilizadas pelo Cliente e os seus utilizadores, incluindo proporcionar experiências de utilizador personalizadas;

b) Resolução de problemas (impedir, detetar e reparar problemas);

c) Manter os Produtos atualizados e a funcionar corretamente, melhorar a fiabilidade, eficácia, qualidade, segurança e produtividade dos utilizadores.

4.2.2 Para efeitos da presente DPA, “prestar” Serviços Profissionais consiste em:

a) Prestar os Serviços Profissionais, incluindo a disponibilização de serviços de suporte técnico, planeamento profissional, aconselhamento, orientação, migração de dados, implementação e desenvolvimento de software/soluções.

b) Resolução de problemas (impedir, detetar, investigar, mitigar e reparar os problemas, incluindo os Incidentes de Segurança e os problemas identificados nos Serviços Profissionais ou Produtos relevantes durante a prestação dos Serviços Profissionais);

c) Melhorar a entrega, eficácia, qualidade e segurança dos Serviços Profissionais e dos Produtos subjacentes com base nos problemas identificados durante a prestação dos Serviços Profissionais, incluindo a correção de defeitos de software e, de outro modo, manter os Produtos e Serviços atualizados e a funcionar corretamente.

4.2.3 Em cada caso, o fornecimento dos Produtos e Serviços é feito tendo em conta as obrigações de segurança ao abrigo dos Requisitos da Proteção de Dados.

4.2.4 Ao fornecer os Produtos e Serviços, a Datanau não utilizará, nem de outro modo tratará os Dados do Cliente, os Dados dos Serviços Profissionais ou os Dados Pessoais para:

a) criação de perfis de utilizadores;

b) publicidade ou fins comerciais similares;

c) estudos de mercado que visam a criação de novas funcionalidades, serviços ou produtos, ou qualquer outro fim, a menos que esta utilização ou tratamento de dados esteja em conformidade com as instruções documentadas do Cliente.

4.2.5 Tratamento de Incidentes de Operações Comerciais para Fornecer os Produtos e Serviços ao Cliente

Para efeitos da presente DPA, as “operações comerciais” designa as operações de tratamento autorizadas pelo cliente nesta secção. O Cliente autoriza a Datanau:

a criar dados estatísticos não pessoais agregados a partir dos dados que contêm identificadores apresentados sob pseudónimo (tais como registos de utilização que contêm identificadores exclusivos sob pseudónimo); e

a calcular estatísticas relacionadas com os Dados do Cliente ou os Dados dos Serviços Profissionais

em cada caso, sem aceder ou analisar o conteúdo dos Dados do Cliente ou dos Dados dos Serviços Profissionais, e limitado à consecução dos fins estipulados abaixo, cada um em função do fornecimento dos Produtos e Serviços ao Cliente. Estes fins são:

a) faturação e gestão de contas;

b) compensação, por exemplo, calcular as comissões dos empregados e os incentivos aos parceiros;

c) produção interna de relatórios e estruturação de negócios, por exemplo, previsões, receitas, planeamento da capacidade e estratégia de produto;

d) relatórios financeiros.

Durante o tratamento de dados para estas operações comerciais, a Datanau aplicará os princípios de minimização de dados e não utilizará, nem de outro modo tratará os Dados do Cliente, os Dados dos Serviços Profissionais ou os Dados Pessoais para:

a) criação de perfis de utilizadores;

b) publicidade ou outros fins comerciais similares, ou;

c) qualquer outro fim não estabelecido na presente secção

Acresce que, tal como com sucede com todo o tratamento no âmbito da presente DPA, o tratamento para operações comerciais continua sujeito aos compromissos e às obrigações de confidencialidade da Datanau.

4.3 DIVULGAÇÃO DOS DADOS TRATADOS

A Datanau não divulgará nem dará acesso aos Dados Tratados, exceto:

1) se o Cliente o indicar;

2) conforme descrito na presente DPA;

3) se a por força de obrigação legal assim for exigido.

Para fins da presente secção, “Dados Tratados” refere-se a:

a) Dados do Cliente;

b) Dados dos Serviços Profissionais;

c) Dados Pessoais;

d) quaisquer outros dados tratados pela Datanau relacionados com os Produtos e Serviços que sejam informações confidenciais do Cliente ao abrigo dos “termos do contrato de adesão aos serviços online”.

A Datanau não divulgará nem dará acesso aos Dados Tratados às autoridades policiais e judiciais, a menos que tal seja exigido por obrigação legal.

Se a Datanau for contactada por autoridades policiais ou judiciais que pretendam obter Dados Tratados, a Datanau tentará redirecioná-las para solicitarem esses dados diretamente ao Cliente. Se for obrigada a divulgar ou dar acesso aos Dados dos Serviços Profissionais às autoridades policiais ou judiciais, a Datanau notificará imediatamente o Cliente e fornecerá uma cópia da solicitação, a menos que esteja legalmente proibida de o fazer.

A Datanau só divulgará ou dará acesso a quaisquer Dados Tratados se a lei assim o exigir, respeitando os direitos e as liberdades dos titulares de dados, de modo que não excedam o necessário e proporcional à finalidade e, conforme aplicável, para salvaguardar um dos objetivos enumerados no n.º 1 do Artigo 23.º do RGPD. Após a receção de qualquer pedido de acesso a Dados por parte de terceiros, a Datanau notificará imediatamente o Cliente, a menos que tal seja legalmente proibido. A menos que seja exigido por força de obrigação legal e jurídica, a Datanau rejeitará o pedido. Se o pedido for válido, a Datanau tentará redirecionar à respetiva entidade para solicitar os dados diretamente junto do Cliente.

A Datanau não fornecerá a quaisquer terceiros:

a) acesso direto, indireto, ilimitado ou sem restrições aos Dados Tratados;

b) as chaves de encriptação da plataforma utilizadas para proteger os Dados Tratados ou a capacidade para reverter a essa encriptação;

c) o acesso aos Dados Tratados caso a Datanau tenha conhecimento de que serão utilizados para outros fins que não os descritos no pedido de terceiros.

No âmbito do disposto supra, a Datanau poderá fornecer as informações de contacto básicas do Cliente a terceiros, para o efeito do referido direcionamento.

4.4 TRATAMENTO DE DADOS PESSOAIS AO ABRIGO DO RGPD

a) Dados do Cliente;

b) Dados dos Serviços Profissionais, ou;

c) Dados gerados, obtidos ou recolhidos pela Datanau, incluindo os dados como resultado da utilização por parte do Cliente de funcionalidades baseadas em serviços ou obtidos pela Datanau a partir de software instalado localmente.

Os Dados Pessoais fornecidos à Datanau pelo Cliente, ou em nome deste, através do Serviço Online também são Dados do Cliente. Os Dados Pessoais fornecidos à Datanau pelo Cliente, ou em nome deste, através da utilização dos Serviços Profissionais também são Dados dos Serviços Profissionais. Podem ser incluídos identificadores apresentados sob pseudónimo nos dados tratados pela Datanau no âmbito do fornecimento dos Produtos, que também são Dados Pessoais. Quaisquer Dados Pessoais apresentados sob pseudónimo ou descaracterizados, mas não tornados anónimos, também são Dados Pessoais.

Na medida em que a Datanau é um contratante ou subcontratante que trata Dados Pessoais sujeitos ao RGPD, os Termos do mesmo no Anexo 1 regulam esse tratamento, de modo que as partes concordam, ainda, com os seguintes termos na presente subsecção (“Tratamento de Dados Pessoais sujeitos ao RGPD”)

4.4.1 FUNÇÕES E RESPONSABILIDADES DE CONTRATANTE E RESPONSÁVEL PELO TRATAMENTO DE DADOS

O Cliente e a Datanau concordam que o primeiro é o responsável pelo tratamento dos Dados Pessoais e a Datanau é o subcontratante para efeitos de responsabilidade no regime jurídico da proteção de dados pessoais. Quando a Datanau agir como contratante ou subcontratante de Dados Pessoais, tratá-los-á apenas mediante instruções documentadas do Cliente.

O Cliente aceita que os respetivos “termos do contrato de adesão aos serviços online” (incluindo os Termos do DPA e quaisquer atualizações aplicáveis), a par da utilização e configuração por parte do Cliente das funcionalidades nos Produtos, constitui as instruções documentadas completas do Cliente para a Datanau, no que diz respeito ao tratamento de Dados Pessoais, ou a documentação dos Serviços Profissionais e a utilização por parte do Cliente dos Serviços Profissionais.

Quaisquer instruções adicionais ou alternativas devem ser acordadas em conformidade com o processo para alterar o Contrato do Cliente. Em qualquer instância em que o RGPD seja aplicável e o Cliente seja um contratante, o Cliente garante perante a Datanau que as instruções do Cliente, incluindo o compromisso da Datanau enquanto contratante ou subcontratante, foram autorizadas pelo responsável pelo tratamento dos dados.

Na medida em que a Datanau utiliza ou de outro modo trata os Dados Pessoais sujeitos ao RGPD para as operações comerciais, respeitante ao fornecimento dos Produtos e Serviços ao Cliente, esta cumprirá as obrigações de responsável pelo tratamento dos dados , ao abrigo do RGPD para esta finalidade.

A Datanau aceita as responsabilidades adicionais de “responsável pelo tratamento” dos dados ao abrigo do RGPD para:

a) agir de forma consistente com os requisitos regulamentares, na medida em tal seja exigido no RGPD;

b) oferecer maior transparência aos Clientes e confirmar a responsabilidade da Datanau neste tratamento.

A Datanau emprega salvaguardas para proteger os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais nestes tratamentos dos dados, incluindo os dados identificados nesta DPA e os contemplados no n.º 4 do Artigo 6.º do RGPD. Relativamente ao tratamento dos Dados Pessoais ao abrigo do presente parágrafo, a Datanau assume os compromissos estabelecidos na secção Salvaguardas Adicionais para os fins especificados:

a) qualquer divulgação de Dados Pessoais por parte da Datanau, conforme descrito na secção Salvaguardas Adicionais, que tenham sido transferidos no âmbito das operações comerciais legítimas da mesma, é considerada uma “Divulgação Relevante”;

b) os compromissos na secção Salvaguardas Adicionais são aplicáveis a estes Dados Pessoais.

4.4.2 DETALHES DO TRATAMENTO DE DADOS

As partes reconhecem e concordam que:

a) Objeto. O objeto do tratamento de dados está limitado aos Dados Pessoais no âmbito da secção deste DPA, intitulado “Natureza do Tratamento e propriedade dos Dados”;

b) Duração do Tratamento de Dados. A duração do tratamento deve estar em conformidade com as instruções do Cliente e os termos da DPA.

c) Natureza e Finalidade do Tratamento de Dados. A natureza e a finalidade do tratamento de dados serão disponibilizar os Produtos e Serviços que decorram dos “termos do contrato de adesão aos serviços online” e para as operações comerciais, respeitantes ao fornecimento dos Produtos e Serviços ao Cliente, conforme descrito em maior pormenor na secção da presente DPA intitulada “Natureza do Tratamento e propriedade dos Dados” acima.

d) Categorias de Dados. Os tipos de Dados Pessoais tratados pela Datanau ao fornecer os Produtos e Serviços incluem:

I) Dados Pessoais que o Cliente opta por incluir nos Dados do Cliente e nos Dados dos Serviços Profissionais;

II) os expressamente identificados no Artigo 4.º do RGPD que possam ser gerados, obtidos ou recolhidos pela Datanau, incluindo os dados enviados para a mesma como resultado da utilização por parte do Cliente de funcionalidades baseadas em serviços, ou obtidos pela Datanau a partir de software instalado localmente.

Os tipos de Dados Pessoais que o Cliente optar por incluir nos Dados do Cliente e nos Dados dos Serviços Profissionais podem situar-se em quaisquer categorias de Dados Pessoais identificadas nos registos mantidos pelo Cliente que atua como responsável pelo tratamento dos dados nos termos do Artigo 30.º do RGPD, incluindo as categorias de Dados Pessoais estabelecidas no Apêndice B.

e) Titulares dos Dados. Os titulares de dados estão divididos em categorias, representantes do Cliente e utilizadores finais, tais como: empregados, contratantes, colaboradores e clientes, e podem incluir quaisquer outras categorias de titulares de dados, de acordo com a identificação nos registos mantidos pelo Cliente que atua como responsável pelo tratamento dos dados nos termos do Artigo 30.º do RGPD, incluindo as categorias de titulares de dados estabelecidas no Apêndice B.

4.4.3 DIREITOS DO TITULAR DOS DADOS E ASSISTÊNCIA NOS PEDIDOS DE EXERCÍCIO

A Datanau assegurará a capacidade para dar resposta aos pedidos dos titulares dos dados para exercer os respetivos direitos ao abrigo do RGPD.

Se a Datanau receber um pedido do titular dos dados do Cliente para exercer um ou mais dos respetivos direitos ao abrigo do RGPD, no âmbito dos Produtos e Serviços para os quais a Datanau é um contratante ou subcontratante de dados, esta irá direcionar o titular dos dados para enviar o pedido diretamente para o Cliente. O Cliente será responsável pela resposta a qualquer destes pedidos, incluindo, quando for necessário, através da funcionalidade dos Produtos e Serviços. A Datanau deve agir em conformidade com os pedidos razoáveis feitos pelo Cliente para o auxiliar na resposta a este tipo de pedido do titular de dados.

4.4.4 REGISTOS DAS ATIVIDADES DE TRATAMENTO DE DADOS

Na medida em que o RGPD exija que a Datanau recolha e mantenha registos de determinadas informações relacionadas com o Cliente, este irá, quando solicitado, fornecer estas informações à Datanau e mantê-las exatas e atualizadas. A Datanau pode disponibilizar qualquer parte destas informações à autoridade supervisora, se for exigido pelo RGPD.

4.5 SEGURANÇA DOS DADOS

a) Práticas e Políticas de Segurança

A Datanau irá implementar e manter as medidas técnicas e organizativas apropriadas para proteger os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais contra a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito aos dados pessoais transmitidos, armazenados ou de outra forma tratados. Estas medidas serão estabelecidas numa Política de capacidades de cibersegurança da Datanau. A Datanau disponibilizará essa política ao Cliente, a par de outras informações justificadamente solicitadas pelo Cliente relativamente às práticas e políticas de segurança da Datanau, podendo ser disponibilizada uma descrição dos controlos de segurança para estes requisitos para cada produto.

Cada Serviço Online e Serviço Profissional implementa e mantém as medidas de segurança estabelecidas no Apêndice A para a proteção dos Dados do Cliente e os Dados dos Serviços Profissionais. A Datanau poderá atualizar as medidas de cibersegurança consoante a exigência de normas governamentais ou do setor em qualquer altura.

b) Encriptação de Dados

Os Dados do Cliente e os Dados dos Serviços Profissionais (cada um incluindo quaisquer Dados Pessoais neles presentes) em trânsito através de redes públicas entre o Cliente e a Datanau, são encriptados por predefinição.

A Datanau também encripta os Dados do Cliente armazenados inativos nos Serviços Online e nos Dados dos Serviços Profissionais armazenados inativos. No caso dos Serviços Online em que o Cliente, ou terceiros a agir em nome do Cliente, podem gerir algumas configurações das aplicações, a encriptação dos dados armazenados nas mesmas pode ser aplicada segundo o critério do Cliente, através das funcionalidades fornecidas pela Datanau ou obtidas pelo Cliente junto de terceiros.

c) Acesso aos Dados

A Datanau emprega mecanismos de acesso com privilégios mínimos para controlar o acesso aos Dados do Cliente e aos Dados dos Serviços Profissionais (incluindo quaisquer Dados Pessoais neles presentes). São empregues controlos de acesso baseados e limitados às funções para assegurar que o acesso aos Dados do Cliente e aos Dados dos Serviços Profissionais necessários para as atividades do serviço se destinam a uma finalidade adequada e aprovada com supervisão dos gestores. Para os Serviços Online os Serviços Profissionais, a Datanau mantém os mecanismos de Controlo de Acesso descritos na tabela intitulada “Medidas de Segurança” no Apêndice A, e não há acesso ativo por parte do pessoal da Datanau ao Dados do Cliente e qualquer acesso necessário tem uma duração limitada.

d) Responsabilidades do Cliente

É da exclusiva responsabilidade do Cliente indicar de forma independente se as medidas técnicas e organizativas para os Produtos e Serviços cumprem os requisitos para si, incluindo quaisquer obrigações em matéria de segurança ao abrigo dos Requisitos de Proteção de Dados aplicáveis.

O Cliente reconhece e concorda que (tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos respetivos Dados Pessoais, bem como os riscos

para os titulares) as práticas e políticas de segurança implementadas e mantidas pela Datanau proporcionam um nível de segurança adequado ao risco relativo aos respetivos Dados Pessoais. É da inteira responsabilidade do Cliente a implementação e manutenção das proteções da privacidade e medidas de segurança em componentes que o Cliente fornece ou controla.

e) Conformidade da Auditoria

A Datanau poderá realizar auditorias à segurança dos computadores, ao ambiente informático e aos centros de dados físicos que utiliza no tratamento dos Dados do Cliente, dos Dados dos Serviços Profissionais e dos Dados Pessoais, da forma que se segue:

a) No caso de estarem previstas auditorias no âmbito de uma norma ou quadro, pelo menos uma vez por ano.

b) Cada auditoria será realizada de acordo com as normas e regras do organismo regulador ou de acreditação de cada norma ou quadro de controlo aplicável.

c) Cada auditoria será realizada por auditores de segurança terceiros, qualificados e independentes, selecionados e pagos pela Datanau.

Cada auditoria poderá resultar num relatório (“Relatório de Auditoria da Datanau”), que a Datanau disponibilizará mediante a necessidade e o pedido a quem de direito.

O Relatório de Auditoria da Datanau corresponderá às Informações Confidenciais da Datanau e divulgará claramente o âmbito da auditoria e quaisquer conclusões de materiais do auditor. A Datanau acautelará os problemas apresentados no Relatório de Auditoria, de acordo com os requisitos do auditor. Se o Cliente o solicitar, a Datanau poderá analisar o pedido e, se legítimo, facultar partes do relatório da auditoria, sujeitando-se aos limites de não divulgação e distribuição estabelecidos entre a Datanau e do auditor.

Na medida em que os requisitos de auditoria do Cliente ao abrigo dos Requisitos de Proteção de Dados não conseguirem ser razoavelmente satisfeitos através de relatórios de auditoria, documentação ou informações de conformidade que a Datanau disponibilize aos seus clientes em geral, a Datanau poderá colaborar com os pedidos de instruções de auditoria adicionais do Cliente.

Antes do início de uma auditoria, o Cliente e a Datanau deverão concordar mutuamente o âmbito, a calendarização, a duração, o controlo e os requisitos em matéria de prova, bem como os honorários de auditoria, desde que este requisito de concordância não permita à Datanau atrasar de forma injustificada o desempenho da mesma. Na medida em que seja necessário para efetuar a auditoria, a Datanau disponibilizará os sistemas, as instalações e a documentação de apoio ao tratamento de dados relevantes para o tratamento dos Dados do Cliente, dos Dados dos Serviços Profissionais e dos Dados Pessoais por parte da Datanau, as suas Afiliadas e os seus Subcontratantes.

Esta auditoria será efetuada por um auditor independente, durante o horário normal de expediente, com um aviso prévio razoável para a Datanau, e sujeita aos procedimentos de confidencialidade considerados razoáveis. O Cliente e o auditor não terão acesso a quaisquer dados de outros clientes da Datanau, ou aos sistemas ou instalações da Datanau, nem relacionados com o fornecimento dos Produtos e Serviços aplicáveis.

O Cliente é responsável por todos os custos e honorários relacionados com a auditoria, incluindo todos os custos e honorários razoáveis por todo e qualquer período que a Datanau dedique à auditoria, acrescidos das taxas pelos serviços prestados pela Datanau. Se o relatório de auditoria gerado na sequência da auditoria do Cliente incluir alguma conclusão de incumprimento importante, o Cliente partilhará este relatório com a Datanau, que sanará rapidamente qualquer incumprimento importante.

Nada nesta secção do DPA varia ou modifica os Termos do RGPD, nem afeta quaisquer direitos do titular dos dados ou da autoridade de controlo ao abrigo dos Requisitos da Proteção de Dados.

4.6 NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA

Se a Datanau tomar conhecimento de uma violação de segurança que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito aos Dados do Cliente, aos Dados dos Serviços Profissionais ou aos Dados Pessoais durante o respetivo tratamento pela Datanau (individualmente, um “Incidente de Segurança”), a Datanau irá de imediato e sem demora injustificada proceder:

1) notificar o Cliente do Incidente de Segurança;

2) investigar o Incidente de Segurança e fornecer ao Cliente informações detalhadas sobre o Incidente de Segurança;

3) tomar as medidas razoáveis para mitigar os efeitos e para minimizar quaisquer danos resultantes do Incidente de Segurança.

As notificações de Incidentes de Segurança serão entregues ao Cliente por qualquer meio que a Datanau eleger, incluindo por correio eletrónico. É da exclusiva responsabilidade do Cliente garantir que as suas informações de contacto estão atualizadas e exatas junto da Datanau, para cada Produto e Serviço Profissional aplicável.

O Cliente é o único responsável pelo cumprimento das respetivas obrigações ao abrigo das leis de notificação de incidentes aplicáveis ao Cliente e pelo cumprimento de quaisquer obrigações de notificação de terceiros relacionados com qualquer Incidente de Segurança.

A Datanau envidará todos os esforços adequados para auxiliar o Cliente no cumprimento das suas obrigações neste âmbito, ao abrigo do Artigo 33.º do RGPD ou de outras leis ou regulamentos aplicáveis, no sentido de notificar a autoridade supervisora relevante e os titulares dos dados sobre um Incidente de Segurança.

A notificação da Datanau ou a sua resposta a um Incidente de Segurança ao abrigo desta secção não representa um reconhecimento de qualquer falha ou responsabilidade relativamente ao Incidente de Segurança.

O Cliente deve notificar a Datanau imediatamente sobre qualquer possível utilização indevida das suas contas ou credenciais de autenticação, ou de qualquer incidente de segurança relacionado com os Produtos e Serviços.

4.7 LOCALIZAÇÃO E TRANSFERÊNCIA DE DADOS

a) Transferências de Dados

Os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais que a Datanau trata em nome do Cliente não poderão ser transferidos para uma localização geográfica, ou nela armazenados e tratados, exceto em conformidade com os Termos do DPA e as salvaguardas fornecidas abaixo nesta secção.

Tendo em conta estas salvaguardas, o Cliente designa a Datanau para transferir os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais para os Estados Unidos – EUA ou para qualquer outro país em que a Datanau, ou os seus Subcontratantes, operam, e para armazenar e tratar os Dados do Cliente e os Dados Pessoais para fornecer os Produtos, exceto conforme descrito noutro local nos Termos da DPA.

Todas as transferências dos Dados do Cliente, dos Dados dos Serviços Profissionais e dos Dados Pessoais para fora da União Europeia, Espaço Económico Europeu, Reino Unido e Suíça para prestar os Produtos e Serviços devem ser reguladas pelas Cláusulas Contratuais-Tipo de 2021 implementadas pela Datanau. Todas as transferências de Dados Pessoais para um país terceiro ou uma organização internacional estarão sujeitas às salvaguardas adequadas, conforme descrito no Artigo 46.º do RGPD, e estas transferências e salvaguardas serão documentadas em conformidade com o n.º 2 do Artigo 30.º do RGPD.

b) Localização dos Dados do Cliente Inativos

Para os Serviços Online, a Datanau armazenará os Dados do Cliente inativos em determinadas áreas geográficas principais (cada uma, uma Região Geográfica), conforme estabelecido nos termos do contrato de adesão aos serviços online (Alínea B) da secção 4).

4.8 CONSERVAÇÃO E ELIMINAÇÃO DOS DADOS

Durante o período de subscrição ou do compromisso dos Serviços Profissionais aplicáveis, o Cliente terá a capacidade de acesso, extração e eliminação dos Dados do Cliente armazenados em cada Serviço Online e os Dados dos Serviços Profissionais.

Exceto no que diz respeito às versões de avaliação gratuitas, a Datanau conservará os Dados do Cliente que permanecem armazenados nos Serviços Online numa conta de funcionalidade limitada durante 90 dias após a expiração ou a cessação da subscrição do Cliente para que este possa extrair os dados. Uma vez terminado o período de retenção, a Datanau desativará a conta do Cliente e procederá à eliminação dos Dados do Cliente e dos Dados Pessoais armazenados nos Serviços Online num prazo adicional de 90 dias, salvo se a conservação destes dados for autorizada ao abrigo deste DPA.

Para os Dados Pessoais relacionados com o Software e para os Dados dos Serviços Profissionais, a Datanau eliminará todas as cópias depois de alcançados os fins comerciais para os quais foram recolhidos ou transferidos, podendo proceder com a eliminação preliminar a pedido do Cliente, salvo se a conservação destes dados for autorizada ao abrigo deste DPA.

O Serviço Online poderá não suportar a retenção ou extração de software fornecido pelo Cliente. A Datanau não é responsável pela eliminação dos Dados do Cliente, dos Dados dos Serviços Profissionais ou dos Dados Pessoais conforme descrito nesta secção.

4.9 COMPROMISSO DE CONFIDENCIALIDADE DO CONTRATANTE

A Datanau assegura que o seu pessoal envolvido no tratamento dos Dados do Cliente, dos Dados dos Serviços Profissionais e dos Dados Pessoais:

I) irá tratar estes dados apenas mediante instruções do Cliente ou conforme descrito nesta DPA, e

II) será obrigada a manter a confidencialidade e a segurança destes dados, mesmo depois de cessado o compromisso.

A Datanau deverá assegurar formação e sensibilização periódicas e obrigatórias sobre segurança e privacidade dos dados aos seus empregados com acesso aos Dados do Cliente, aos Dados dos Serviços Profissionais e aos Dados Pessoais em conformidade com os Requisitos de Proteção de Dados e as normas da indústria aplicáveis.

4.10 NOTIFICAÇÃO E CONTROLOS À UTILIZAÇÃO POR PARTE DOS SUBCONTRATANTES

A Datanau pode contratar Subcontratantes para prestar determinados serviços limitados ou auxiliares em seu nome. O Cliente dá o seu consentimento a este compromisso e às Afiliadas da Datanau como Subcontratantes. As autorizações acima constituirão o consentimento prévio por escrito por parte do Cliente para a subcontratação por parte da Datanau do tratamento dos Dados do Cliente, dos Dados dos Serviços Profissionais e dos Dados Pessoais, caso este consentimento seja exigido ao abrigo das cláusulas contratuais-tipo ou dos Termos do RGPD.

A Datanau é responsável pela conformidade dos seus Subcontratantes com as obrigações presentes nesta DPA. A Datanau disponibilizará informações sobre os seus Subcontratantes a pedido do cliente. Quando contratar qualquer Subcontratante, a Datanau irá assegurar, mediante um contrato por escrito, que o Subcontratante pode aceder aos Dados do Cliente, aos Dados dos Serviços Profissionais ou aos Dados Pessoais e utilizá-los apenas para fornecer os serviços instruídos pela Datanau, e que estão proibidos de utilizar os Dados do Cliente, os Dados dos Serviços Profissionais ou os Dados Pessoais para qualquer outra finalidade. A Datanau assegurará que os Subcontratantes estão vinculados por contratos escritos que exigem que proporcionem, pelo menos, o nível de proteção de dados exigido pela Datanau no DPA, incluindo as limitações à divulgação dos Dados Tratados. A Datanau concorda em supervisionar os Subcontratantes para assegurar que estas obrigações contratuais são cumpridas.

A Datanau pode, periodicamente, contratar novos Subcontratantes, pelo que poderá notificará o Cliente, caso este questione, possibilitando um mecanismo para obter uma notificação dessa atualização. Se a Datanau contratar um novo Subcontratante para um novo Produto ou Serviço Profissional que faça o tratamento dos Dados do Cliente, dos Dados dos Serviços Profissionais ou dos Dados Pessoais, a Datanau notificará o Cliente antes da disponibilização desse Produto ou Serviço Profissional, através de seu website.

Se o Cliente não aprovar um novo Subcontratante para um Serviço Online ou Serviços Profissionais, poderá cessar qualquer subscrição do Serviço Online afetado ou as Declarações de Serviços aplicáveis para o Serviço Profissional aplicável, respetivamente, sem uma penalização ou taxa por cessação, mediante notificação por escrito da cessação antes do fim do período da notificação relevante. Se o Cliente não aprovar um novo Subcontratante para o Software, e não conseguir evitar razoavelmente a utilização do Subcontratante ao restringir a Datanau de tratar os dados conforme estabelecido na documentação ou nesta DPA, o Cliente poderá cessar qualquer licença para o produto de software afetado sem qualquer penalização mediante notificação por escrito da cessação antes do fim do período da notificação relevante.

O Cliente também pode incluir uma explicação dos motivos da não aprovação, juntamente com a notificação de cessação, para permitir que a Datanau reavalie qualquer um destes novos Subcontratantes baseada nas preocupações aplicáveis. Se o Produto afetado fizer parte de um conjunto de aplicações (ou uma aquisição única semelhante de serviços), qualquer cessação aplicar-se-á a todo o conjunto de aplicações. Após a cessação, a Datanau removerá as obrigações de pagamento para quaisquer subscrições ou outro trabalho não pago aplicável pelos Produtos ou Serviços cessados das faturas subsequentes do Cliente ou do respetivo revendedor.

4.11 DADOS BIOMÉTRICOS

Se o Cliente utilizar Produtos e Serviços para tratar os Dados Biométricos, o Cliente é responsável por:

I) notificar os titulares dos dados, incluindo relativamente aos períodos de retenção e à destruição;

II) obter o consentimento dos titulares dos dados;

III) eliminar os Dados Biométricos, conforme adequado e exigido pelos Requisitos de Proteção da Dados aplicáveis.

A Datanau tratará esses Dados Biométricos segundo as instruções documentadas do Cliente (conforme descrito na secção “Funções e Responsabilidades de Contratante e Responsável pelo Tratamento dos Dados” acima) e protegerá esses Dados Biométricos em conformidade com os termos de proteção e segurança dos dados, ao abrigo da presente DPA. Para efeitos da presente secção, os “Dados Biométricos” terão o significado definido no Artigo 4.º do RGPD e, se aplicável, termos equivalentes noutros Requisitos no regime jurídico da UE e nacional da Proteção de Dados.

4.12 SERVIÇOS PROFISSIONAIS SUPLEMENTARES

Quando utilizado nas secções listadas abaixo, o termo definido “Serviços Profissionais” inclui os Serviços Profissionais Suplementares e o termo definido “Dados dos Serviços Profissionais” inclui os dados obtidos para os Serviços Profissionais Suplementares.

Para os Serviços Profissionais Suplementares, as seguintes seções do DPA são aplicáveis da mesma forma que os Serviços Profissionais: “Introdução”, “Conformidade com as Leis”, “Natureza do Tratamento de Dados; Propriedade”, “Divulgação dos Dados Tratados”, “Tratamento de Dados Pessoais ao abrigo do RGPD”, o primeiro parágrafo de “Práticas e Políticas de Segurança”, “Responsabilidades do Cliente”, “Notificação de Incidentes de Segurança”, “Transferência de Dados” (incluindo os termos relativos às Cláusulas Contratuais-Tipo de 2021), o terceiro parágrafo de “Retenção e Eliminação de Dados”, “Compromisso de Confidencialidade do Contratante”, “Notificação e Controlos à utilização por parte dos Subcontratantes”, “Dados Biométricos”, “Como Contactar a Datanau”, “Apêndice B – Titulares dos Dados e Categorias de Dados Pessoais” e “Apêndice C – Adenda Relativa às Salvaguardas Adicionais”.

4.13 COMO CONTACTAR A DATANAU

Se o Cliente considerar que a Datanau não respeitou os respetivos compromissos de privacidade e de segurança, poderá contactar o suporte ao cliente ou utilizar o formulário da Web sobre Privacidade da Datanau.

A morada física da Datanau é:

DATANAU – CONSULTORIA INFORMÁTICA

Dom Afonso Henriques 1613 R/C, 4820-090 Fafe, Portugal.

O Encarregado da Proteção de Dados – EPD da Datanau pode ser contactado através do seguinte endereço eletrónico:

dpo@datanau.com

APÊNDICE A – MEDIDAS DE SEGURANÇA

A Datanau implementou e manterá os Dados do Cliente nos Serviços Online e nos Dados dos Serviços Profissionais assegurados pelas seguintes medidas de segurança que, em conjunto com os compromissos de proteção de dados neste DPA (incluindo os Termos do RGPD), são da exclusiva responsabilidade da Datanau.

Domínio	Práticas
Organização da Segurança de Informações	Propriedade da Segurança. A Datanau designou um ou mais representantes da segurança cuja responsabilidade é a coordenação e monitorização das regras e procedimentos de segurança. Funções e Responsabilidades de Segurança. O pessoal da Datanau com acesso aos Dados do Cliente ou aos Dados dos Serviços Profissionais está sujeito a obrigações de confidencialidade. Programa de Gestão de Riscos. A Datanau executou uma avaliação de riscos antes de tratar os Dados do Cliente ou de lançar o serviço Serviços Online, e antes de tratar os Dados dos Serviços Profissionais ou de lançar os Serviços Profissionais. A Datanau mantém os seus documentos de segurança em conformidade com os seus requisitos de retenção mesmo depois de deixarem de estar em vigor.
Gestão de Ativos	Inventário de Ativos. A Datanau mantém um inventário de todos os suportes em que os Dados do Cliente ou os Dados dos Serviços Profissionais estão armazenados. O acesso aos inventários desses suportes de dados é restrito ao pessoal da Datanau que foi formalmente autorizado ao acesso, consoante as suas funções, ao abrigo do sigilo profissional. Tratamento de Ativos A Datanau classifica os Dados do Cliente e os Dados dos Serviços Profissionais para ajudar a identificá-los e permitir que o acesso aos mesmos seja restringido adequadamente. A Datanau impõe restrições à impressão dos Dados do Cliente e os Dados dos Serviços Profissionais, e conta com procedimentos para a eliminação dos materiais impressos que contêm estes dados. O pessoal da Datanau terá de obter a autorização antes de armazenar os Dados do Cliente ou os Dados dos Serviços Profissionais em dispositivos portáteis, aceder remotamente a estes dados ou tratar estes dados fora das instalações da Datanau.
Segurança de Recursos Humanos	Formação em Segurança. A Datanau informa o seu pessoal sobre procedimentos de segurança relevantes e sobre as respetivas funções. A Datanau também informa o seu pessoal sobre possíveis consequências decorrentes do não cumprimento das regras e procedimentos de segurança. A Datanau só utilizará dados anónimos nas formações.
Segurança Física e Ambiental	Acesso Físico às Instalações. A Datanau limita o acesso às instalações onde os sistemas informáticos que tratam os Dados do Cliente ou os Dados dos Serviços Profissionais se encontram aos indivíduos autorizados e identificados. Acesso Físico aos Componentes. A Datanau mantém registos dos suportes de dados recebidos e enviados que contenham Dados do Cliente ou Dados dos Serviços Profissionais, incluindo o tipo de suportes de dados, o remetente e destinatários autorizados, a data e hora, o número de suportes de dados e os tipos destes dados que contêm. Proteção contra Interrupções. A Datanau utiliza vários sistemas padrão do setor para se proteger contra a perda de dados devido a falhas na fonte de alimentação ou interferências na linha. Eliminação de Componentes. A Datanau utiliza os processos padrão do setor para eliminar os Dados do Cliente e os Dados dos Serviços Profissionais quando estes deixam de ser necessários.
Gestão de Comunicações e Operações	Política Operacional. A Datanau mantém documentos de segurança que descrevem as respetivas medidas de segurança, e os procedimentos e responsabilidades relevantes do seu pessoal com acesso aos Dados do Cliente ou aos Dados dos Serviços Profissionais. Procedimentos de Recuperação de Dados Regularmente, mas nunca menos frequente do que uma vez por semana (a menos que não tenham ocorrido atualizações durante esse período), a Datanau irá manter múltiplas cópias dos Dados do Cliente e dos Dados dos Serviços Profissionais a partir das quais estes dados podem ser recuperados. A Datanau armazena cópias dos Dados do Cliente e dos Dados dos Serviços Profissionais e procedimentos de recuperação de dados num local diferente do local onde se encontra o equipamento informático principal que trata os Dados do Cliente e os Dados dos Serviços Profissionais. A Datanau dispõe de procedimentos específicos que regulam o acesso às cópias dos Dados do Cliente e dos Dados dos Serviços Profissionais. A Datanau revê os procedimentos de recuperação de dados periodicamente, exceto no caso dos procedimentos de recuperação de dados para os Serviços Profissionais. A Datanau regista os esforços de restauro dos dados, incluindo a pessoa responsável, a descrição dos dados restaurados e, onde aplicável, a pessoa responsável e os dados (se existirem) que tiveram de ser introduzidos manualmente no processo de recuperação de dados. Software Malicioso. A Datanau possui controlos antimalware para ajudar a evitar que software malicioso obtenha acesso não autorizado aos Dados do Cliente e aos Dados dos Serviços Profissionais, incluindo software malicioso proveniente de redes públicas. Dados Fora dos Limites A Datanau encripta ou permite que o Cliente encripte os Dados do Cliente e os Dados dos Serviços Profissionais transmitidos através de redes públicas. A Datanau restringe o acesso aos Dados do Cliente e aos Dados dos Serviços Profissionais nos suportes de dados que saem das suas instalações. Registo de Eventos. A Datanau regista ou permite que o Cliente registe, aceda e utilize os sistemas de informações que contêm os Dados do Cliente e os Dados dos Serviços Profissionais através do registo do ID de acesso, da hora, da autorização concedida ou negada e da atividade relevante.
Controlo de Acesso	Política de Acesso. A Datanau mantém um registo dos privilégios de segurança dos indivíduos com acesso aos Dados do Cliente ou aos Dados dos Serviços Profissionais. Autorização de Acesso A Datanau mantém e atualiza um registo do pessoal autorizado a aceder aos sistemas da Datanau que contêm os Dados do Cliente ou aos Dados dos Serviços Profissionais. A Datanau desativa as credenciais da autenticação que não são utilizadas durante um período que não exceda seis meses. A Datanau identifica este pessoal como podendo conceder, alterar ou cancelar o acesso autorizado a dados e recursos. A Datanau garante que, quando existir mais de um indivíduo com acesso aos sistemas com Dados do Cliente ou aos Dados dos Serviços Profissionais, os indivíduos têm identificadores/inícios de sessão diferentes. Privilégios Mínimos O pessoal do suporte técnico só tem permissão de acesso aos Dados do Cliente e aos Dados dos Serviços Profissionais conforme necessário. A Datanau restringe o acesso aos Dados do Cliente e aos Dados dos Serviços Profissionais apenas aos indivíduos que necessitam desse acesso para desempenhar a respetiva função. Integridade e Confidencialidade A Datanau dá instruções aos seu pessoal para desativar as sessões administrativas quando saem das instalações controladas pela Datanau ou quando se ausentam de alguma forma dos respetivos computadores. A Datanau armazena palavras-passe de uma forma que as torna ilegíveis quando estão em vigor. Autenticação A Datanau utiliza as práticas padrão do setor para identificar e autenticar os utilizadores que tentem aceder aos sistemas de informações. Nos mecanismos de autenticação em que é necessário introduzir palavras-passe, a Datanau requer que as palavras-passe sejam renovadas regularmente. Nos mecanismos de autenticação em que é necessário introduzir palavras-passe, a Datanau requer que a palavra-passe tenha pelo menos oito carateres de comprimento. A Datanau garante que os identificadores desativados ou expirados não são concedidos a outros indivíduos. A Datanau monitoriza ou permite que o Cliente monitorize as tentativas repetidas de obter acesso ao sistema de informações utilizando uma palavra-passe inválida. A Datanau mantém os procedimentos padrão do setor para desativar as palavras-passe que tenham sido corrompidas ou divulgadas inadvertidamente. A Datanau utiliza práticas padrão do setor de proteção por palavra-passe, incluindo as práticas concebidas para manter a confidencialidade e integridade das palavras-passe quando são atribuídas e distribuídas e durante o armazenamento. Conceção de Rede. A Datanau conta com controlos para impedir que as pessoas assumam direitos de acesso que não lhes foram atribuídos para terem acesso aos Dados do Cliente ou aos Dados dos Serviços Profissionais para os quais não têm autorização de acesso.
Gestão de Incidentes de Segurança de Informações	Processo de Resposta a Incidentes A Datanau mantém um registo das violações de segurança com uma descrição da violação, o período de tempo, as consequências da violação, o nome da pessoa que reportou e a quem a violação foi reportada e o procedimento para recuperar dados. Para cada falha de segurança que seja um Incidente de Segurança, será emitida uma notificação por parte da Datanau (consoante descrito na secção “Notificação de Incidentes de Segurança“ acima) sem atrasos indevidos e sempre no prazo de 72 horas. A Datanau controla, ou permite que o Cliente controle, as divulgações dos Dados do Cliente e dos Dados dos Serviços Profissionais, incluindo os dados que foram divulgados, a quem e quando. Monitorização de Serviços. O pessoal da segurança da Datanau verifica os registos periodicamente para propor esforços de resolução, se for necessário.
Gestão da Continuidade da Atividade	A Datanau conta com planos de emergência e contingência para as instalações onde estão localizados os sistemas informáticos da Datanau que tratam os Dados do Cliente ou os Dados dos Serviços Profissionais. O armazenamento redundante da Datanau e os respetivos procedimentos de recuperação de dados foram concebidos para tentar reconstruir os Dados do Cliente e os Dados dos Serviços Profissionais para o estado original ou para o último estado replicado antes de terem sido perdidos ou destruídos.

APÊNDICE B – TITULARES DOS DADOS E CATEGORIAS DE DADOS PESSOAIS

Titulares dos dados: Os titulares dos dados incluem os representantes e os utilizadores finais do Cliente, incluindo os empregados, contratantes, colaboradores e clientes do Cliente. Os titulares também podem incluir pessoas que tentem comunicar ou transferir informações pessoais para utilizadores dos serviços fornecidos pela Datanau.

A Datanau reconhece que, consoante a utilização dos Produtos e Serviços por parte do Cliente, este pode optar por incluir dados pessoais de qualquer um dos seguintes tipos de titulares de dados nos dados pessoais:

a) Empregados, contratantes e trabalhadores temporários (atuais, antigos, potenciais) do Cliente;

b) Dependentes dos supramencionados;

c) Colaboradores/pessoas de contacto do Cliente (pessoas singulares) ou empregados, contratantes ou trabalhadores temporários dos colaboradores /pessoas de contacto (atuais, antigos, potenciais) da entidade com personalidade jurídica;

d) Utilizadores (por exemplo, clientes, pacientes, visitantes, etc.) e outros titulares de dados que sejam utilizadores dos serviços do Cliente;

e) Parceiros, intervenientes ou pessoas que colaboram, comunicam ou interajam ativamente de outra forma com os empregados do Cliente e/ou utilizam ferramentas de comunicação, tais como as aplicações e os Web sites fornecidos pelo Cliente;

f) Os intervenientes ou pessoas que interagem passivamente com o Cliente (por exemplo, por serem objeto de uma investigação, pesquisa ou mencionados em documentos ou na correspondência de ou para o Cliente);

g) Menores de idade;

h) Profissionais com privilégios profissionais (por exemplo, médicos, advogados, notários, trabalhadores religiosos, etc.).

Categorias de dados: Os dados pessoais que estão incluídos no e-mail, em documentos e outros dados em formato eletrónico no contexto dos Produtos e Serviços. A Datanau reconhece que, consoante a utilização dos Produtos e Serviços por parte do Cliente, este pode optar por incluir dados pessoais de qualquer uma das seguintes categorias nos dados pessoais:

a) Dados pessoais básicos (por exemplo, local de nascimento, nome da rua e número de porta (morada), código postal, localidade de residência, país de residência, número de telemóvel, nome próprio, apelido, iniciais, endereço de e-mail, sexo, data de nascimento), incluindo os dados pessoais básicos sobre os membros da família e as crianças;

b) Dados de autenticação (por exemplo, o nome de utilizador, palavra-passe ou código PIN, pergunta de segurança, pista de auditoria);

c) Informações de contacto (por exemplo, moradas, e-mail, números de telefone, identificadores de redes sociais; detalhes de contacto de emergência);

d) Assinaturas e números de identificação exclusivos (por exemplo, número de Segurança Social, número de conta bancária, número de passaporte e de cartão de identificação, número de carta de condução e dados de registo de veículos, endereços IP, número de empregado, número de estudante, número de paciente, assinatura, identificador exclusivo no rastreamento de cookies ou tecnologia semelhante);

e) Identificadores sob pseudónimo;

f) Informações financeiras e de seguros (por exemplo, número de seguro, nome e número da conta bancária, nome e número de cartão de crédito, número de fatura, rendimentos, tipo de garantia, comportamento de pagamento, idoneidade creditícia);

g) Informações comerciais (por exemplo, o histórico de compras, ofertas especiais, informações de subscrição, histórico de pagamentos);

h) Informações Biométricas;

i) Dados de localização (por exemplo, ID da Célula, dados de rede de geolocalização, localização pelo início da chamada/fim da chamada. Dados de localização obtidos a partir da utilização de pontos de acesso Wi-Fi);

j) Fotografias, vídeo e áudio;

k) Atividade na Internet (por exemplo, histórico de navegação, histórico de pesquisa e atividades de leitura, visualização de televisão, audição de rádio);

l) Identificação de dispositivos (por exemplo, o número IMEI, o número do cartão SIM, endereço MAC);

m) Criação de perfis (por exemplo, baseados em comportamento criminal ou antissocial observado ou em perfis sob pseudónimo baseados nos URLs visitados, “click streams”, registos de navegação, endereços IP, domínios, aplicações instaladas ou perfis baseados nas preferências de marketing);

n) Dados de RH e recrutamento (por exemplo, a declaração da situação laboral, informações de recrutamento – como o curriculum vitae, carreira profissional, detalhes da formação – dados da função e do cargo, incluindo as avaliações e o salário, detalhes da autorização de trabalho, disponibilidade, condições de trabalho, detalhes fiscais, detalhes de pagamento, detalhes de seguros, bem como localização e organizações);

o) Dados sobre a educação (por exemplo, o histórico de formação, formação atual, notas e resultados, grau alcançado, dificuldade de aprendizagem);

p) Informações sobre cidadania e residência (por exemplo, cidadania, estado de naturalização, estado civil, nacionalidade, estatuto de imigração, dados do passaporte, detalhes de residência ou autorização de trabalho);

q) Informações tratadas para a execução e uma tarefa levada a cabo tendo em vista o interesse público ou no exercício de uma autoridade oficial;

r) Categorias de dados especiais (por exemplo, origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos com o objetivo de identificar de forma exclusiva uma pessoa singular, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual de uma pessoa singular, ou dados relacionados com infrações ou condenações criminais);

s) Quaisquer outros dados pessoais identificados no Artigo 4.º do RGPD.

APÊNDICE C - ADENDA RELATIVA ÀS SALVAGUARDAS ADICIONAIS

Através da presente Adenda Relativa às Salvaguardas Adicionais à DPA (a presente “Adenda”), a Datanau oferece salvaguardas adicionais ao Cliente para o tratamento dos dados pessoais, no âmbito do RGPD, em nome do Cliente e ressarcimentos adicionais aos titulares de dados que estão relacionados com esses dados pessoais.

A presente Adenda complementa e integra a DPA, mas não é uma sua variação ou modificação.

1) Problemas Relacionados com as Encomendas. No caso de a Datanau receber uma ordem de terceiros para a divulgação obrigatória de quaisquer dados pessoais tratados ao abrigo desta DPA, a Datanau deve:

a) envidar todos os esforços considerados razoáveis para redirecionar os terceiros para solicitarem os dados diretamente ao Cliente;

b) notificar imediatamente o Cliente, a menos que tal seja proibido aos terceiros requerentes pela legislação aplicável; e, se estiver proibida de notificar o Cliente, envidar todos os esforços legais para obter o direito a renunciar à proibição para comunicar ao Cliente a máxima informação possível;

c) envidar todos os esforços legais para desafiar ao abrigo da legislação aplicável à parte requerente para evitar quaisquer conflitos com a legislação aplicável da União Europeia e nacional;

Se, após os passos descritos de a) a c) acima, a Datanau continuar a estar obrigada a divulgar os dados pessoais, irá divulgar apenas no limite da obrigação legal afeta à finalidade para satisfazer a ordem jurídica de divulgação obrigatória.

Para efeitos da presente secção, os esforços legais não incluem as ações que possam resultar em sanções civis ou criminais, como a desobediência ao tribunal ao abrigo da legislação da jurisdição relevante.

2) Indemnização dos Titulares dos Dados. Sem prejuízo do acima exposto, a Datanau não terá qualquer obrigação de indemnizar o titular de dados ao abrigo da presente Secção 2, na medida em que o titular de dados já tenha recebido uma indemnização pelos mesmos danos, seja da Datanau ou outro.

3) Condições de Indemnização. A indemnização ao abrigo da Secção 2 é condicional ao facto de o titular de dados estabelecer, de modo satisfatório para a Datanau, que:

a) Datanau empenhou-se numa Divulgação Relevante;

b) Divulgação Relevante era a base de uma tramitação oficial pela autoridade policial ou judicial, ou organismo governamental que não seja da UE/EEE contra o titular de dados;

c) Divulgação relevante causou danos materiais ou não materiais diretamente ao titular de dados.

O titular de dados assume o ônus da prova relativamente às condições de a) a c).

Sem prejuízo do acima exposto, a Datanau não terá qualquer obrigação de indemnizar o titular de dados ao abrigo da Secção 2, se a Datanau estabelecer que a Divulgação Relevante não violou a suas obrigações ao abrigo do Capítulo V do RGPD, ficando isento de responsabilidade nos termos do n.º 2 e 3 do artigo 82.º do mesmo regulamento, se provar que não é de modo algum responsável pelo evento que deu origem aos danos, demonstrando ter empenhado os razoáveis esforços proporcionais para a conformidade.

4) Âmbito dos Danos. A indemnização ao abrigo da Secção 2 está limitada aos danos materiais e não materiais, conforme previsto no RGPD, e exclui os danos consequenciais e todos os outros danos que não resultem da violação do RGPD por parte da Datanau.

5) Exercício dos Direitos. Os direitos concedidos aos titulares de dados ao abrigo da presente Adenda poderão ser impostos pelo titular de dados à Datanau, independentemente de qualquer restrição nas Cláusulas 3 ou 6 das Cláusulas Contratuais-Tipo. O titular de dados pode intentar uma ação ao abrigo da presente Adenda apenas numa base individual, e não no âmbito de uma ação judicial coletiva, de grupo ou representativa. Os direitos concedidos aos titulares de dados ao abrigo da presente Adenda são pessoais dos titulares de dados e não poderão ser cedidos.

6) Notificação de Alteração. A Datanau aceita e garante que não tem qualquer razão para crer que a legislação que lhe é aplicável, ou aos seus subcontratantes, incluindo em qualquer país para o qual os dados pessoais sejam transferidos, por si só ou através de um subcontratante, a impede de cumprir as instruções recebidas do Cliente e as suas obrigações ao abrigo da presente Adenda ou das Cláusulas Contratuais-Tipo de 2021, e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial às garantias e obrigações previstas pela presente Adenda ou pelas Cláusulas Contratuais-Tipo, notificará o Cliente sobre a alteração assim que tiver conhecimento da mesma, caso em que o Cliente tem o direito a suspender a transferência dos dados e/ou a cessar o contrato.

ANEXO 1 – TERMOS DO REGULAMENTO DE PROTEÇÃO DE DADOS GERAL DA UNIÃO EUROPEIA

A Datanau assume os compromissos nestes Termos do RGPD perante todos os clientes a partir de 25 de maio de 2018. Estes compromissos são vinculativos para a Datanau relativamente ao Cliente, independentemente de:

1) da versão dos “Termos do contrato de adesão aos serviços online” e do DPA que é, de outro modo, aplicável a qualquer subscrição ou licença de Produto especificado;

2) qualquer outro contrato que refere este anexo.

Para efeitos dos presentes Termos do RGPD, o Cliente e a Datanau concordam que o primeiro é o responsável pelo tratamento dos Dados Pessoais e a Datanau é o subcontratante em relação ao tratamento destes dados.

Os presentes Termos do RGPD são aplicáveis ao tratamento de Dados Pessoais pela Datanau em nome do Cliente. Os presentes Termos do RGPD não limitam nem reduzem quaisquer compromissos de proteção de dados que a Datanau faça perante o Cliente nos “Termos do contrato de adesão aos serviços online” ou em qualquer outro contrato celebrado entre a Datanau e o Cliente.

Os presentes Termos do RGPD não são aplicáveis quando a Datanau é um responsável pelo tratamento dos Dados Pessoais.

Obrigações Relevantes do RGPD ao abrigo dos Artigos 28.º, 32.º e 33.º

1) Para além daqueles previamente designados, a Datanau dará conhecimento aos Clientes no caso de se utilizar de novos subcontratantes, relativamente à pretendidas inclusão ou substituição de outros contratantes, dando ao Cliente a oportunidade de contestar estas alterações. (Artigo n.º 2 do artigo 28 do RGPD)

2) O tratamento de dados por parte da Datanau será regulado pelos presentes Termos do RGPD ao abrigo da legislação da União Europeia e nacional de Portugal (daqui em diante, “União”), que são vinculativos para a Datanau relativamente ao Cliente. O objeto e a duração do tratamento de dados, a natureza e finalidade do tratamento, o tipo de Dados Pessoais, as categorias dos titulares dos dados, bem como as obrigações e direitos do Cliente são estabelecidos no contrato de licenciamento do Cliente, incluindo os presentes Termos do RGPD. Em concreto, a Datanau irá:

a) tratar os dados pessoais apenas mediante instruções documentadas do Cliente, incluindo no que respeita às transferências de Dados Pessoais para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que a Datanau está sujeita, informando nesse caso o Cliente desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b) assegurar que as pessoas autorizadas a tratar os Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas à adequadas obrigações legais de confidencialidade;

c) adotar todas as medidas exigidas nos termos do artigo 32.º do RGPD;

d) respeitar as condições a que se referem os parágrafos 1 e 3 para contratar outro subcontratante;

e) tomar em conta a natureza do tratamento e, na medida do possível, prestar assistência ao Cliente pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos tendo em vista o exercício dos seus direitos previstos no Capítulo III do RGPD;

f) prestar assistência ao Cliente no sentido de assegurar o cumprimento das obrigações previstas nos Artigos 32.º a 36.º, tendo em conta a natureza do tratamento e a informação ao dispor da Datanau;

g) consoante a escolha do Cliente, eliminar ou devolver-lhe todos os Dados Pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros;

h) disponibilizar ao Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente Artigo 28.º, bem como facilitar e contribuir para as auditorias, inclusive as inspeções, conduzidas pelo Cliente ou por outro auditor por este mandatado.

A Datanau informará imediatamente o Cliente se, no seu entender, alguma instrução violar o RGPD ou outras disposições da União ou dos Estados-Membros em matéria de proteção de dados. ( n.º 3 do Artigo 28.º do RGPD)

3) Se a Datanau contratar outro Subcontratante para a realização de operações específicas de tratamento de dados por conta do Cliente, serão impostas a esse, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas nos Termos do RGPD, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do RGPD.

4) Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades dos titulares de dados, o Cliente e a Datanau aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:

a) a pseudonimização e a cifragem dos dados pessoais;

b) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

c) capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada no caso de um incidente físico ou técnico;

d) um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. (n.º 1 do Artigo 32.º do RGPD).

5) Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. ( n.º 2 do Artigo 32.º do RGPD)

6) O Cliente e a Datanau devem tomar medidas para assegurar que qualquer titular que, agindo sob a autoridade do Cliente ou da Datanau, tenha acesso a Dados Pessoais, só procede ao seu tratamento mediante instruções do Cliente, exceto se tal lhe for exigido pelo direito da União ou nacional. (n.º 4 do Artigo 32.º do RGPD)

7) A Datanau deve notificar o Cliente sem demora injustificada após ter tido conhecimento de uma violação dos Dados Pessoais. (n.º 2 do Artigo 33.º do RGPD). Esta notificação incluirá as informações que um contratante tem de fornecer a um responsável pelo tratamento dos dados ao abrigo do n.º 3 do Artigo 33.º do RGPD, na medida em que essas informações estejam razoavelmente à disposição da Datanau.