1. Partes Contratantes
1.1. Responsável pelo Tratamento (Controller)
O cliente que subscreve o serviço ABCDHost e que determina as finalidades e os meios do tratamento dos dados.
1.2. Subcontratante (Processor)
ABCD Brasil
Avenida Edgar Pires de Castro, 2018 – Bairro Hípica – Porto Alegre, RS – 91787-861 – Brasil
E-mail de contacto para privacidade: privacy@abcdhost.net
2. Objecto do Acordo
2.1. O presente Acordo de Tratamento de Dados (‘DPA’) regula o tratamento de dados pessoais efectuado pela ABCD Brasil em nome do Responsável pelo Tratamento no âmbito da prestação do serviço ABCDHost, que consiste em:
- Disponibilização, manutenção e actualização da plataforma ABCD;
- Gestão técnica da infraestrutura;
- Suporte técnico relacionado exclusivamente com o funcionamento do sistema.
2.2. A ABCD Brasil não determina as finalidades do tratamento de dados efectuado pelo cliente no sistema hospedado.
3. Natureza e Finalidade do Tratamento
3.1. A ABCD Brasil trata dados pessoais apenas quando necessário para assegurar:
- Operação do ambiente hospedado;
- Monitorização técnica;
- Suporte a incidentes, apenas quando solicitado pelo cliente;
- Execução de serviços adicionais explicitamente solicitados (ex.: conversão de dados, criação de campos, ajustes técnicos).
3.2. A ABCD Brasil não acessa os dados do acervo, a menos que o cliente solicite intervenção técnica.
4. Tipos de Dados Tratados
4.1. Dependendo da base de dados criada pelo cliente no ABCD, poderão estar presentes:
- Dados de utilizadores autorizados a aceder ao sistema;
- Dados de inventário, indexação e descrição de acervos de bibliotecas, arquivos ou museus;
- Outros dados inseridos directamente pelo cliente.
4.2. A ABCD Brasil não recolhe, não valida nem altera conteúdos introduzidos pelo cliente, salvo pedido expresso.
5. Obrigações da ABCD Brasil enquanto Subcontratante
A ABCD Brasil compromete-se a:
5.1. Tratar dados pessoais única e exclusivamente segundo instruções documentadas do Cliente.
5.2. Garantir que as pessoas autorizadas ao tratamento estão sujeitas a obrigações de confidencialidade.
5.3. Implementar medidas técnicas e organizativas adequadas para proteger os dados (ver Secção 8).
5.4. Auxiliar o Cliente no cumprimento das obrigações previstas nos artigos 32 a 36 do RGPD, na medida do razoavelmente possível.
5.5. Notificar o Cliente, sem demora injustificada, caso ocorra um incidente de segurança.
5.6. Apagar ou devolver todos os dados pessoais ao Cliente, mediante solicitação e ao término do contrato.
6. Obrigações do Responsável pelo Tratamento
O Cliente é responsável por:
6.1. Garantir que possui base legal adequada para o tratamento dos dados.
6.2. Definir as políticas de retenção, revisão, eliminação e exactidão dos dados.
6.3. Configurar o sistema ABCD de acordo com a legislação aplicável.
6.4. Conduzir avaliações de impacto, quando aplicável.
6.5. Fornecer instruções claras à ABCD Brasil sempre que for necessária assistência técnica.
7. Subprocessadores
7.1. A ABCD Brasil utiliza o seguinte subprocessador para alojamento:
- Hostinger International Ltd. – Fornecedor de serviços de infraestrutura (IaaS)
7.2. O Cliente é informado e autoriza a utilização deste subprocessador.
7.3. A ABCD Brasil compromete-se a assegurar que o subprocessador cumpre requisitos equivalentes aos previstos neste DPA.
8. Medidas Técnicas e Organizativas de Segurança
A ABCD Brasil implementa, entre outras, as seguintes medidas:
- Alojamento em datacenters certificados;
- Sistemas de deteção e prevenção de intrusões;
- Actualizações regulares e gestão de vulnerabilidades;
- Backups regulares;
- Encriptação de dados em trânsito (HTTPS/TLS);
- Controlo de acesso baseado em credenciais;
- Segmentação de ambientes e isolamento entre clientes.
9. Notificação de Violações de Dados
9.1. A ABCD Brasil notificará o Cliente sem demora injustificada após ter conhecimento de qualquer violação de dados pessoais.
9.2. A notificação incluirá, sempre que possível:
- Descrição da natureza da violação;
- Categoria e volume de dados afectados;
- Medidas tomadas ou propostas;
- Recomendações para mitigar potenciais efeitos.
10. Localização dos Dados e Transferências Internacionais
10.1. Os dados poderão ser armazenados em servidores localizados fora da União Europeia.
10.2. Sempre que aplicável, serão utilizadas garantias adequadas em conformidade com o RGPD, incluindo:
- Cláusulas Contratuais-Tipo (SCCs);
- Medidas adicionais de segurança técnica.
11. Auditorias e Conformidade
11.1. A ABCD Brasil disponibilizará, mediante pedido, informações necessárias para demonstrar conformidade com o RGPD.
11.2. Auditorias efectuadas pelo Cliente devem ser razoáveis, previamente agendadas e compatíveis com a continuidade operacional da ABCD Brasil.
12. Duração
12.1. Este DPA vigora enquanto existir relação contratual entre o Cliente e a ABCD Brasil.
12.2. Após a cessação do contrato, os dados serão:
- devolvidos ao Cliente; ou
- eliminados de forma segura, caso o Cliente assim o determine.
13. Disposições Comerciais
13.1. Os valores pagos pelo Cliente não são reembolsáveis.
13.2. A cessação do serviço implica apenas a não renovação no ciclo seguinte.
14. Legislação Aplicável e Foro
14.1. Este acordo é regido pelas leis aplicáveis da União Europeia (RGPD) e, de forma subsidiária, pela legislação brasileira pertinente.
14.2. Para resolução de conflitos, poderá ser utilizado:
- O foro do Cliente na UE;
- Ou, se mutuamente acordado, o foro de Porto Alegre/RS – Brasil.