Data Processing Agreement (DPA)
Entre:
- Controlador de Dados (Cliente): [Nome da Empresa Cliente], com sede em [Endereço], representado por [Responsável].
- Processador de Dados: PhishGuard by Mareginter, com sede em [Morada da Mareginter], Email: suporte.mareginter@gmail.com.
Objetivo
Este DPA define os termos sob os quais o Processador trata os dados pessoais fornecidos pelo Controlador, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) – Regulamento (UE) 2016/679.
1. Definições
- Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável.
- Processamento: qualquer operação realizada sobre Dados Pessoais, como recolha, armazenamento, modificação ou eliminação.
- Controlador: entidade que determina a finalidade e os meios do processamento.
- Processador: entidade que processa Dados Pessoais em nome do Controlador.
- Subprocessadores: terceiros contratados para processar Dados Pessoais em nome do Processador.
2. Obrigações do Processador
- Processar Dados Pessoais apenas conforme instruções documentadas do Controlador.
- Garantir que as pessoas autorizadas a processar Dados Pessoais estão vinculadas por obrigação de confidencialidade.
- Implementar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra acesso não autorizado, destruição, perda ou alteração.
- Ajudar o Controlador a cumprir obrigações de direitos dos titulares (acesso, retificação, eliminação, portabilidade, etc.).
- Notificar o Controlador sem demora injustificada sobre qualquer violação de dados pessoais.
- Não transferir Dados Pessoais para fora da União Europeia sem mecanismos legais adequados (ex.: SCCs, GDPR adequacy decisions).
3. Subprocessadores
O Processador pode recorrer a Subprocessadores, sendo responsável por garantir que eles cumprem obrigações equivalentes de proteção de dados. Lista de subprocessadores:
- Google LLC (Firebase) – UE (Bélgica)
- Netlify, Inc. – EUA (processamento efémero com SCCs e EU-US Data Privacy Framework)
O Controlador será notificado antes da adição de novos subprocessadores e terá direito a objeção razoável.
4. Direitos dos Titulares
O Processador auxiliará o Controlador na resposta a pedidos de titulares, tais como:
- Solicitação de acesso, retificação ou eliminação de Dados Pessoais.
- Solicitação de portabilidade dos Dados Pessoais.
- Oposição ou restrição do processamento.
5. Segurança e Auditoria
- Implementação de encriptação em trânsito (TLS 1.3) e repouso (AES-256, Firebase).
- Controle de acesso baseado em roles e autenticação segura (MFA, rate limiting).
- Logs de auditoria e monitorização contínua.
- Backups automáticos com retenção de 30 dias.
- O Controlador pode solicitar auditorias mediante aviso prévio razoável.
6. Retenção e Eliminação de Dados
- Os Dados Pessoais serão mantidos apenas pelo período necessário para fornecer o serviço ou conforme exigido por lei.
- Após pedido de eliminação ou término do contrato, todos os dados serão apagados de forma irreversível, incluindo backups após o período de retenção definido (30 dias).
7. Transferências Internacionais
Qualquer transferência fora da UE será realizada apenas com garantias adequadas (SCCs, adequação, DPAs específicos), conforme RGPD Art. 44-49.
8. Alterações ao DPA
Este DPA pode ser atualizado para refletir alterações legais ou operacionais. O Controlador será notificado e terá direito de revisão.
9. Vigência e Rescisão
- Este DPA entra em vigor na data do início do contrato principal de serviço SaaS.
- Em caso de término do contrato, o Processador eliminará todos os Dados Pessoais ou os devolverá conforme instruções do Controlador.
10. Legislação Aplicável e Foro
Este DPA é regido pelo RGPD e leis nacionais aplicáveis. Qualquer disputa será resolvida no foro competente de [País / Cidade].
PhishGuard by Mareginter – Data Processing Agreement
Última atualização: Março 2026