Acordo de Processamento de Dados

Última atualização: Novembro de 2024

Este acordo está anexo e constitui parte integrante do Contrato em vigor entre a Jotelulu, S.L., com sede social em Leganitos 47, 4.º andar, 28013 Madrid (Espanha), devidamente registada no registo comercial correspondente à sua sede social e com Número de Identificação Fiscal ESB65814709, devidamente representada por David Amorín Iglesias (doravante, o FORNECEDOR ou “SUBCONTRATANTE”), e,
Por outro lado, qualquer entidade que crie uma conta de cliente com o objetivo de utilizar os Serviços fornecidos pela JOTELULU, conforme definido no Contrato (doravante, o CLIENTE ou “RESPONSÁVEL PELO TRATAMENTO”).
Considerando que, para a execução dos seus Serviços, o SUBCONTRATANTE necessita tratar dados pessoais fornecidos pelo CLIENTE (doravante, os “Dados Pessoais”).
Considerando que, para regular esse acesso, ambas as Partes concordam em celebrar este Acordo de Tratamento de Dados (DPA), que será regido pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, (doravante, o “RGPD”), suas regulamentações de implementação e, em particular, pelo seguinte.

 

CLÁUSULAS

  1. Propósito

De acordo com o Artigo 28 do REGULAMENTO (UE) 2016/679 de 27 de abril de 2016 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como a Lei Orgânica 3/2018 de 5 de dezembro de 2018 sobre a Proteção de Dados Pessoais e Garantia dos Direitos Digitais, o objetivo deste acordo é definir as condições sob as quais a JOTELULU está autorizada, na qualidade de SUBCONTRATANTE, a tratar dados pessoais em nome do CLIENTE no âmbito da prestação dos Serviços definidos no Contrato.

Em caso de qualquer conflito entre este acordo e os demais documentos que constituem o Contrato, prevalecerá o disposto neste documento.
O tratamento de dados pessoais realizado pelo SUBCONTRATANTE na qualidade de responsável pelo tratamento de dados está fora do âmbito deste Acordo, sendo realizado segundo as condições descritas na “Política de Privacidade” da JOTELULU.

Sempre que este Acordo contenha termos definidos pelo Regulamento (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (doravante o “RGPD”), esses termos terão o significado que lhes é atribuído pelo RGPD. Outros termos iniciados por letra maiúscula têm o significado definido no Contrato

 

  1. Processamento de dados pessoais

Por meio deste Acordo de Tratamento de Dados, o SUBCONTRATANTE está autorizado a tratar, em nome do CLIENTE, os dados pessoais na medida necessária para fornecer os serviços contratados pelo CLIENTE.

O tratamento consistirá, exclusivamente, no tratamento de dados pessoais descrito no Contrato, nomeadamente nos Termos e Condições Específicos de Serviços aplicáveis, bem como em qualquer outro tratamento de dados pessoais acordado por escrito entre as Partes.

 

  1. Duração do Acordo

Este Acordo permanecerá em vigor durante a prestação dos Serviços. Não obstante o exposto, ambas as Partes concordam que as disposições deste Acordo, expressa ou implicitamente destinadas a continuar em vigor após a cessação ou expiração deste Acordo ou dos Serviços, permanecerão em vigor e continuarão a vincular ambas as Partes.

O dever de confidencialidade entre as Partes continuará em vigor após a expiração deste Acordo.

 

  1. Obrigações do SUBCONTRAENTE

O SUBCONTRATANTE, bem como todo o seu pessoal, compromete-se a:

  • Utilizar os dados pessoais abrangidos por este Acordo apenas para o propósito da prestação dos Termos Específicos de Serviços, excluindo qualquer outro uso de dados pessoais, seja para fins próprios ou para fins de terceiros, em particular para fins comerciais, de marketing, criação de perfis e mineração de dados.
  • Tratar dados pessoais apenas sob as instruções documentadas do CLIENTE, conforme previsto no Contrato ou fornecido por escrito pelo CLIENTE. Se o SUBCONTRATANTE considerar que alguma das instruções infringe o RGPD ou outras disposições de proteção de dados da União ou de um Estado-Membro, deverá informar o CLIENTE o mais rapidamente possível.
  • Manter, por escrito, um registo de todas as categorias de atividades de tratamento realizadas em nome do CLIENTE, contendo todas as disposições obrigatórias listadas no artigo 30.2 do RGPD.
  • Não comunicar dados a terceiros, exceto com a autorização do CLIENTE, conforme previsto no Contrato, ou se tal comunicação for exigida por lei aplicável. Além disso, deverá gerir, de acordo com o artigo “Gestão de pedidos de acesso de terceiros” abaixo, qualquer pedido recebido de terceiros para comunicação de dados pessoais abrangidos por este Acordo. Caso o SUBCONTRATANTE tenha de transferir dados pessoais para um país terceiro ou organização internacional, nos termos da legislação aplicável da União ou de um Estado-Membro, deverá informar o CLIENTE previamente, salvo se a lei proibir tal comunicação por razões importantes de interesse público.
  • Garantir que as pessoas autorizadas a tratar dados pessoais comprometam-se expressamente e por escrito a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais devem ser devidamente informadas.
  • Manter à disposição do CLIENTE a documentação que comprove o cumprimento da obrigação estabelecida na secção anterior.
  • Garantir a formação necessária em proteção de dados pessoais às pessoas autorizadas a tratar dados pessoais.
  • Assistir o CLIENTE, por meio de medidas técnicas e organizacionais adequadas, no cumprimento da obrigação de responder aos pedidos de exercício dos direitos dos titulares de dados estabelecidos no RGPD, conforme as condições descritas no artigo “Gestão de pedidos dos titulares de dados” abaixo.
  • Assistir o CLIENTE a garantir a conformidade com as obrigações estabelecidas nos artigos 33 e 34 do RGPD, considerando a natureza do tratamento e as informações ao seu dispor, e notificar o CLIENTE, nos termos do artigo “Violação de dados pessoais”, de todas as violações de dados pessoais abrangidas por este Acordo e de que tenha conhecimento.
  • Apoiar o CLIENTE na realização de avaliações de impacto sobre proteção de dados, quando aplicável, de acordo com o artigo 35 do RGPD.
  • Apoiar o CLIENTE na realização de consultas prévias à autoridade de supervisão, conforme previsto no artigo 36 do RGPD, quando apropriado.
  • Disponibilizar ao CLIENTE todas as informações necessárias para demonstrar a conformidade com as suas obrigações nos termos do artigo 28 do RGPD, bem como para a realização de auditorias ou inspeções pelo CLIENTE ou por outro auditor autorizado por este. Tais auditorias deverão ser realizadas de acordo com as condições descritas no artigo “Auditoria e controlo” abaixo.
  • Assistir o CLIENTE na garantia do cumprimento das obrigações estabelecidas no artigo 32 do RGPD, implementar e manter as medidas técnicas e organizacionais descritas no documento “Infraestrutura e Segurança”, a fim de garantir um nível adequado de segurança dos dados pessoais abrangidos por este Acordo, em conformidade com o referido artigo 32, e informar o CLIENTE sobre quaisquer alterações a essas medidas que possam afetar a proteção dos dados.
  • No final do Contrato, por qualquer motivo, devolver ao CLIENTE, mediante solicitação e nas condições descritas no artigo “Portabilidade de dados” abaixo, os dados pessoais abrangidos por este Acordo e eliminar quaisquer cópias desses dados ainda em sua posse no prazo de 60 dias úteis, salvo cópias que possam ser retidas com base em um interesse legítimo ou obrigação legal.

 

  1. Obrigações do RESPONSÁVEL PELO TRATAMENTO

O CLIENTE é considerado o responsável pelo tratamento dos dados pessoais abrangidos por este acordo e compromete-se a:

  • a) Disponibilizar ao SUBCONTRATANTE todos os dados pessoais e/ou informações necessárias para o funcionamento adequado das atividades de tratamento, a fim de permitir a prestação do Serviço.
  • b) Entregar ao SUBCONTRATANTE os dados mencionados na cláusula II deste documento.
  • c) Realizar uma avaliação do impacto na proteção de dados pessoais das operações de tratamento a serem realizadas pelo SUBCONTRATANTE.
  • d) Realizar as consultas prévias apropriadas, quando aplicável.
  • e) Garantir, antes e durante o tratamento, o cumprimento do RGPD por parte do SUBCONTRATANTE.
  • f) Supervisionar o tratamento dos dados, incluindo a realização de inspeções e auditorias.
  • g) Informar os titulares dos dados sobre as condições em que os seus dados pessoais são tratados e sobre as condições para o exercício dos seus direitos, de acordo com a legislação em vigor.
  • h) Caso o CLIENTE não seja o responsável pelo tratamento dos dados pessoais abrangidos por este acordo e/ou existam responsáveis conjuntos pelo referido tratamento, acordar com o(s) terceiro(s) responsável(eis) pelas condições do referido tratamento de dados pessoais, conforme exigido pela legislação aplicável.

 

  1. Subprocesamento

O SUBCONTRATANTE tem autorização geral do CLIENTE para confiar a terceiros (doravante “subcontratantes”) o tratamento de Dados Pessoais abrangidos por este acordo.

Os subcontratantes existentes estão listados no https://jotelulu.com/pt-pt/subcontratantes/

O SUBCONTRATANTE deverá impor, por contrato (ou por outro ato jurídico conforme a legislação da União Europeia ou de um estado membro), aos subcontratantes as mesmas obrigações em relação à proteção de dados pessoais que as estabelecidas neste Acordo, garantindo, em particular, a implementação de medidas técnicas e organizacionais adequadas, de forma que o tratamento cumpra os requisitos do RGPD.

Se o SUBCONTRATANTE recorrer a um novo subcontratante durante a vigência do acordo, deverá notificar o CLIENTE por escrito com aviso prévio razoável (sempre que possível, pelo menos quinze (15) dias corridos), especificando:
a) A identidade do subcontratante;
b) O tratamento de dados pessoais que o SUBCONTRATANTE pretende confiar ao subcontratante;
c) O(s) local(is) onde tal tratamento será realizado pelo subcontratante.

O CLIENTE deverá notificar o SUBCONTRATANTE por escrito, no prazo de quinze (15) dias após o envio da notificação anterior, sobre qualquer objeção à intervenção do novo subcontratante, especificando os motivos da objeção. Nesse caso, as Partes deverão reunir-se o mais rápido possível para tentar acordar uma solução aceitável para ambas. Em caso de não se encontrar uma solução aceitável, os Serviços em questão poderão ser rescindidos por qualquer uma das Partes dentro de um prazo razoável, permitindo ao CLIENTE assegurar a reversibilidade dos Serviços.

Os subcontratantes podem estar localizados fora da UE/EEE. Caso um subcontratante esteja localizado numa jurisdição fora da UE/EEE que não conste da lista aprovada pela Comissão Europeia de países terceiros que garantem um nível adequado de proteção nos termos do artigo 45 do RGPD, serão previstas salvaguardas adequadas, como as cláusulas contratuais padrão adotadas pela Comissão, de acordo com o artigo 46 do RGPD, antes de qualquer transferência de dados, a fim de garantir que o nível de proteção das pessoas físicas garantido pelo RGPD não seja comprometido. A lista de subcontratantes disponível no site da JOTELULU especifica a localização de cada subcontratante, bem como as salvaguardas adequadas fornecidas, se necessário.

Mediante solicitação do CLIENTE, o SUBCONTRATANTE deverá fornecer qualquer informação adicional útil sobre essas salvaguardas, nomeadamente uma cópia de qualquer cláusula contratual padrão aplicável.

O SUBCONTRATANTE permanecerá totalmente responsável perante o CLIENTE pelo cumprimento das obrigações de qualquer subcontratante.

 

  1. Medidas de segurança e violações de dados pessoais

O SUBCONTRATANTE deverá aplicar e manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais que trata em nome do CLIENTE contra acessos ou tratamentos não autorizados ou ilícitos, bem como contra perda, destruição, danos, roubo, alteração ou divulgação acidentais, em conformidade com este Acordo de Tratamento de Dados. Essas medidas deverão ser adequadas para garantir um nível de segurança proporcional ao risco e deverão ser adotadas considerando o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como as probabilidades e gravidades variáveis dos riscos para os direitos e liberdades das pessoas físicas. Nesse sentido, o SUBCONTRATANTE poderá atualizar as medidas técnicas e organizacionais, desde que tais modificações não reduzam o nível geral de segurança.

As violações de dados pessoais abrangidas por este acordo e das quais o SUBCONTRATANTE tenha conhecimento deverão ser notificadas ao CLIENTE, sem demora injustificada, e, em qualquer caso, no prazo máximo de 48 horas.

A notificação deverá ser feita enviando um e-mail para o endereço registrado pelo CLIENTE na sua conta de cliente.

A notificação deverá conter, no mínimo, as seguintes informações:

  • Descrição da natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registros de dados pessoais afetados.
  • Nome e informações de contato do encarregado de proteção de dados ou de outro ponto de contato de onde se possam obter mais informações.

iii. Descrição das possíveis consequências da violação de dados pessoais.

  • Descrição das medidas tomadas ou propostas pelo SUBCONTRATANTE para remediar a violação de dados pessoais, incluindo, quando aplicável, as medidas adotadas para mitigar os possíveis efeitos negativos.

Se e na medida em que não seja possível fornecer essas informações simultaneamente, elas deverão ser fornecidas de forma escalonada, sem demora injustificada.

É responsabilidade do CLIENTE e/ou, conforme o caso, de qualquer terceiro responsável pelo tratamento, notificar as violações de dados pessoais abrangidas por este acordo às Autoridades Competentes e aos titulares dos dados o mais rapidamente possível, sempre que a violação provavelmente resultar em um alto risco para os direitos e liberdades das pessoas físicas.

 

  1. Responsabilidades e garantias

Se o SUBCONTRATANTE violar este Acordo ou qualquer Lei ou regulamento de Proteção de Dados ao determinar as finalidades e os meios do tratamento, será considerado RESPONSÁVEL PELO TRATAMENTO para esse processamento, assumindo assim todas as responsabilidades, reclamações e penalidades diretas que possam surgir para o CLIENTE devido a tal violação por parte do SUBCONTRATANTE.

O SUBCONTRATANTE será responsável por danos causados pelo tratamento apenas nos casos em que:

(i) não tenha cumprido as obrigações do RGPD especificamente aplicáveis aos subcontratantes; ou
(ii) tenha agido contrariamente às instruções legais e documentadas do CLIENTE.

Nesses casos, aplicar-se-á a cláusula de responsabilidade prevista no Contrato do qual este Acordo faz parte.

No caso de o SUBCONTRATANTE e o CLIENTE realizarem, conforme disposto neste Acordo, um processo de tratamento que possa resultar em danos ao Titular dos Dados, o CLIENTE será, em primeira instância, responsável por arcar integralmente com a compensação (ou qualquer outra indenização) devida ao Titular dos Dados e, posteriormente, poderá reclamar do SUBCONTRATANTE a parte proporcional da compensação correspondente à responsabilidade do SUBCONTRATANTE por tais perdas, desde que se aplique qualquer limitação de responsabilidade prevista no Contrato ao qual este Acordo está vinculado.

Além disso, ambas as partes concordam que o descumprimento dessas obrigações será motivo para a rescisão deste Acordo.

Conforme descrito nos Termos e Condições Gerais de Serviço, a responsabilidade total e cumulativa do SUBCONTRATANTE não excederá as taxas de serviços pagas pelo CLIENTE durante o período de 12 meses imediatamente anterior ao evento que deu origem à reclamação.

 

  1. Auditoria e controlo

O CLIENTE reserva-se o direito de realizar, a seu exclusivo critério, qualquer verificação que considere útil para comprovar a conformidade do SUBCONTRATANTE com suas obrigações relativas ao tratamento de Dados Pessoais abrangidos por este acordo. O SUBCONTRATANTE compromete-se a responder a qualquer solicitação de auditoria do CLIENTE e a cooperar em operações de auditoria realizadas pelo CLIENTE ou por um terceiro escolhido pelo CLIENTE.

As auditorias presenciais são realizadas em intervalos razoáveis (não mais de uma vez por ano), durante os dias e horários de trabalho do SUBCONTRATANTE, e não devem, de forma alguma, perturbar as atividades do SUBCONTRATANTE. As auditorias são realizadas às custas do CLIENTE e podem ser faturadas pelo SUBCONTRATANTE ao CLIENTE com base no tempo gasto a uma taxa de mercado razoável.

O CLIENTE deve notificar o SUBCONTRATANTE por escrito, com um aviso prévio razoável (mínimo de 30 dias), de sua intenção de realizar uma auditoria, especificando o propósito e o escopo da auditoria, bem como as informações às quais deseja ter acesso, desde que o propósito e o escopo da auditoria se refiram exclusivamente às operações de tratamento de dados abrangidas por este Acordo. Em particular, a auditoria não pode incluir dados financeiros, contábeis ou comerciais do SUBCONTRATANTE.

O SUBCONTRATANTE compromete-se a cooperar e, quando necessário, garantir que seus subcontratantes também cooperem com o CLIENTE nessas operações, fornecendo todas as informações relevantes e acesso aos recursos específicos usados para tratar os Dados Pessoais do CLIENTE. O auditor não está autorizado a acessar recursos usados por outros clientes do SUBCONTRATANTE ou recursos compartilhados entre o CLIENTE e outros clientes. Em particular, o CLIENTE não está autorizado a realizar, ou permitir que seja realizada, testes de intrusão nos recursos compartilhados mencionados (em particular, o Website e a Plataforma), nem testes de intrusão física nos locais físicos e/ou Datacenters utilizados pelo SUBCONTRATANTE.

A pedido do CLIENTE, o SUBCONTRATANTE deve fornecer um resumo gerencial de um relatório técnico de auditoria sobre os recursos compartilhados acima mencionados. Esta auditoria deve ser realizada por um auditor independente e ter sido concluída há menos de três anos. Se o CLIENTE desejar realizar testes de intrusão nos recursos disponibilizados especificamente para ele como parte dos Serviços, um acordo específico deve ser previamente assinado entre o SUBCONTRATANTE e o CLIENTE, e, se aplicável, os auditores terceirizados.

Se a auditoria revelar uma violação das garantias e compromissos do SUBCONTRATANTE ou, se aplicável, de seus subcontratantes, o SUBCONTRATANTE deverá tomar medidas imediatas para corrigir as falhas às suas próprias custas.

Se o CLIENTE desejar nomear um auditor terceirizado, este deve:
(i) ser um auditor reconhecido por sua expertise,
(ii) não ser concorrente do SUBCONTRATANTE e
(iii) comprometer-se por escrito com o SUBCONTRATANTE a respeitar a confidencialidade de todos os documentos e informações que lhe forem comunicados ou aos quais ele tenha acesso durante a auditoria.

O SUBCONTRATANTE reserva-se o direito de recusar auditores terceirizados por motivo justificado (em particular, conflito de interesses).

Se a auditoria for realizada a pedido do RESPONSÁVEL PELO TRATAMENTO, o CLIENTE arcará com todos os custos e honorários profissionais decorrentes da auditoria, fixados com base no tempo gasto a uma taxa de mercado razoável.

Ao final da auditoria, uma cópia do relatório completo da auditoria deve ser comunicada ao SUBCONTRATANTE assim que estiver finalizada.

 

  1. Gestão de Solicitações dos Titulares de Dados

O SUBCONTRATANTE compromete-se a auxiliar o CLIENTE, por meio de medidas técnicas e organizacionais adequadas, no cumprimento da sua obrigação de responder às solicitações de exercício dos direitos dos titulares de dados estabelecidos no RGPD, nomeadamente os seguintes direitos:

  • Acesso, retificação, eliminação e oposição.
  • Limitação do tratamento.
  • Portabilidade dos dados.
  • Não ser sujeito a decisões automatizadas individuais (incluindo a criação de perfis).

Em particular, quando os titulares de dados enviarem solicitações para exercer seus direitos diretamente ao SUBCONTRATANTE, este deverá comunicar tais solicitações ao CLIENTE por e-mail para o endereço de contato fornecido pelo CLIENTE em sua conta de cliente. A solicitação deve ser comunicada ao CLIENTE o mais rápido possível e, em qualquer caso, no prazo máximo de 7 dias após o recebimento.

Além disso, o SUBCONTRATANTE compromete-se a:

  • a) ) Auxiliar o CLIENTE no tratamento das solicitações dos titulares de dados, fornecendo, sob demanda, todas as informações necessárias que estejam em sua posse;
  • b) Garantir a disponibilidade dos Serviços, de acordo com seus compromissos contratuais, para que o CLIENTE possa implementar soluções e organização adequadas ao processamento das solicitações dos titulares de dados em conformidade com a legislação aplicável.

O SUBCONTRATANTE não deve, em hipótese alguma, responder, em nome e por conta do CLIENTE, às solicitações recebidas, salvo acordo em contrário entre as Partes.

 

  1. Portabilidade de dados

De acordo com o artigo “Período e Fim dos Serviços” dos Termos e Condições Gerais de Serviço, o CLIENTE é responsável pelas operações necessárias para garantir a portabilidade dos dados pessoais abrangidos por este acordo.

A JOTELULU compromete-se a:

(i) Garantir a disponibilidade dos Serviços e auxiliar o CLIENTE para que, antes da data efetiva de término ou expiração dos Serviços, o CLIENTE possa organizar e realizar as referidas operações de portabilidade, incluindo backup, migração e restauração dos dados pessoais para uma nova infraestrutura.

(ii) A pedido do CLIENTE, e desde que tal pedido seja viável e comunicado ao SUBCONTRATANTE com pelo menos 30 dias de antecedência em relação à data efetiva de término ou expiração do Contrato, devolver ao CLIENTE, ao final dos Serviços e qualquer que seja a causa, uma cópia de todos os dados solicitados, disponíveis como parte do Serviço na data acordada, em um formato legível e utilizável.

As cópias dos dados mencionadas no ponto (ii) acima podem estar sujeitas a uma taxa de mercado razoável, a qual será previamente informada ao CLIENTE para aprovação. Os métodos de cálculo dos custos, bem como o prazo para a devolução da cópia e os formatos de devolução, serão comunicados ao CLIENTE mediante solicitação ao Suporte ao Cliente.

Os procedimentos para mover máquinas virtuais/contêineres estão descritos no Portal JOTELULU.

O SUBCONTRATANTE comunica sua política de reversibilidade ao CLIENTE mediante solicitação.

 

  1. Gestão de solicitações de acesso de terceiros

Se o SUBCONTRATANTE receber uma solicitação de um terceiro, incluindo uma autoridade (administrativa, judicial, governamental ou outra), para obter a comunicação de dados pessoais abrangidos por este Acordo, compromete-se a:

  • a) Informar o CLIENTE o mais rápido possível, salvo se for proibido pelas regulamentações aplicáveis da União Europeia;
  • b) Solicitar ao terceiro que comunique o seu pedido diretamente ao CLIENTE;
  • c) No caso de recusa do terceiro, opor-se sistematicamente ao pedido, salvo se for estabelecido que o pedido vem de uma autoridade competente que age na execução de uma decisão reconhecida e executável em conformidade com a legislação da União Europeia e da legislação do Estado-Membro da União Europeia onde o tratamento está sendo realizado, nos termos do Artigo 48 do RGPD. Nesse caso, a comunicação dos dados deve ser exclusivamente limitada ao que é exigido pela decisão.

O SUBCONTRATANTE compromete-se a manter um registo das solicitações de terceiros para comunicação de Dados Pessoais abrangidos por este Acordo, contendo, em particular:
– uma cópia do pedido e das respostas dadas,
– a lista de dados transmitidos,
– o(s) destinatário(s) e
– as datas de comunicação.

 

  1. Pontos de contato

Para todas as questões relacionadas à proteção de dados pessoais, e, em particular, para todas as notificações a serem feitas nos termos deste acordo, as Partes concordam em utilizar os seguintes pontos de contato:

Para entrar em contato com o CLIENTE:

O ponto de contato indicado pelo CLIENTE nas informações vinculadas à sua Conta de Cliente.

Para entrar em contato com o SUBCONTRATANTE:

dpd@jotelulu.com