Proton

Acordo de Tratamento de Dados

Última modificação: 10 de fevereiro de 2026

Este Acordo de Tratamento de Dados ("Acordo") faz parte do Contrato de Serviços ao abrigo dos Termos e Condições da Proton AG (o “Acordo Principal”) entre a Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suíça, número de identificação da Empresa CHE-354.686.492 (referida como o "Subcontratante") e a Empresa que utiliza os serviços da Proton (referida como a "Empresa”, que deve ser entendida como qualquer negócio ou organização que utilize os Serviços, independentemente da sua forma jurídica).

Este Acordo rege os requisitos específicos das Leis de Proteção de Dados na medida em que a utilização dos Serviços Proton pela Empresa implique o tratamento de Dados Pessoais sujeitos às Leis de Proteção de Dados.

Este Acordo é complementar à nossa Política de privacidade, que serve como referência principal para as nossas práticas e medidas de proteção de dados.

A vigência deste Acordo acompanhará a vigência do Acordo Principal. Os termos não definidos no presente documento terão o significado estabelecido no Acordo Principal.


CONSIDERANDO

A) A Empresa atua como Responsável pelo Tratamento de Dados (o "Responsável pelo Tratamento").

B) A Empresa pretende subcontratar certos Serviços (conforme definido abaixo), que implicam o tratamento de Dados Pessoais, à Proton AG, atuando como Subcontratante (o "Subcontratante").

C) As Partes procuram implementar um acordo de tratamento de dados que cumpra os requisitos do quadro jurídico atual em relação ao tratamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) e outras leis de proteção de dados aplicáveis.

D) As Partes desejam estabelecer os seus direitos e obrigações.


ACORDAM O SEGUINTE:

1. Definições e Interpretação

Salvo definição em contrário no presente documento, os termos e expressões em maiúsculas utilizados neste DPA terão o seguinte significado:

1.1) "Acordo" significa o presente Acordo de Tratamento de Dados e todos os Anexos;

1.2) "Dados Pessoais da Empresa" significa quaisquer Dados Pessoais relacionados com a Empresa ou com os clientes ou colaboradores da Empresa Tratados em ligação com o Acordo Principal;

1.3) "Subcontratante Contratado" significa um Subprocessador;

1.4) "Leis de Proteção de Dados" significa as Leis de Proteção de Dados da UE e, na medida do aplicável, as leis de proteção de dados ou de privacidade de qualquer outro país;

1.5) "EEE" significa o Espaço Económico Europeu;

1.6) "Leis de Proteção de Dados da UE" significa a Diretiva da UE 95/46/CE, conforme transposta para a legislação nacional de cada Estado-Membro e conforme alterada, substituída ou revogada periodicamente, incluindo pelo GDPR e por leis que implementam ou complementam o GDPR;

1.7) "GDPR" significa o Regulamento Geral sobre a Proteção de Dados da UE 2016/679;

1.8) "Transferência de Dados" significa:

  • 1.8.1) uma transferência de Dados Pessoais da Empresa do Responsável pelo Tratamento para o Subcontratante ou um Subcontratante Contratado; ou
  • 1.8.2) uma transferência subsequente de Dados Pessoais da Empresa do Subcontratante para um Subcontratante Ulterior, ou entre dois estabelecimentos de um Subcontratante Ulterior;

1.9) "Serviços" significa serviços seguros online fornecidos pelo Subcontratante, tais como e-mail, calendário, unidade e outros serviços conforme desenvolvidos pelo Subcontratante. Os detalhes e preços dos Serviços podem ser consultados no sítio web do Subcontratante.

1.10) "Subprocessador" significa qualquer pessoa designada pelo ou em nome do Subcontratante para tratar Dados Pessoais em nome do Responsável pelo Tratamento em ligação com o Acordo.

Os termos, "Comissão", "Responsável pelo Tratamento", "Titular dos Dados", "Estado-Membro", "Dados Pessoais", "Violação de Dados Pessoais", "Tratamento" e "Autoridade de Controlo" terão o mesmo significado que no GDPR ou noutra Lei de Proteção de Dados aplicável, e os seus termos cognatos devem ser interpretados em conformidade.

2. Tratamento de Dados Pessoais da Empresa

O Subcontratante deve:

2.1) cumprir todas as Leis de Proteção de Dados aplicáveis no Tratamento de Dados Pessoais da Empresa;

2.2) e não tratar Dados Pessoais da Empresa a não ser mediante instruções documentadas do Responsável pelo Tratamento na secção 2.

O Responsável pelo Tratamento instrui o Subcontratante a tratar os Dados Pessoais da Empresa para:

2.3) fornecer os Serviços e o apoio ao cliente técnico relacionado;

2.4) cumprir obrigações legais ou resolver litígios;

2.5) exercer qualquer tarefa interna destinada a otimizar a segurança, privacidade, confidencialidade e funcionalidades dos Serviços;

2.6) exercer relatórios internos, relatórios financeiros e outras tarefas internas semelhantes.

3. Pessoal do Subcontratante

O Subcontratante deve tomar medidas razoáveis para garantir a fiabilidade de qualquer funcionário, agente ou contratado de qualquer Subcontratante Contratado que possa ter acesso aos Dados Pessoais da Empresa, garantindo em cada caso que o acesso é estritamente limitado aos indivíduos que precisem de saber / aceder aos Dados Pessoais da Empresa relevantes, conforme estritamente necessário para os fins do Acordo Principal, e/ou para cumprir as Leis de Proteção de Dados e outra legislação relevante no contexto das funções desse indivíduo para com o Subcontratante Contratado, garantindo que todos esses indivíduos estão sujeitos a compromissos de confidencialidade ou a obrigações profissionais ou legais de confidencialidade.

4. Segurança

Em conformidade com o artigo 32.º, n.º 1, do GDPR, o Subcontratante deve implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento. Estas medidas devem ser concebidas para proteger os direitos e liberdades das pessoas singulares, considerando os riscos de probabilidade e gravidade variáveis, incluindo o risco de uma Violação de Dados Pessoais.

O Subcontratante deve também avaliar os riscos associados às atividades de tratamento e aplicar medidas que sejam consistentes com os requisitos estabelecidos no artigo 32.º, n.º 1, do GDPR, garantindo sempre a segurança dos Dados Pessoais da Empresa.

5. Subprocessamento

Sujeito a este Acordo, a Empresa concede autorização geral ao Subcontratante para contratar Subcontratantes Ulteriores e divulgar ou transferir-lhes Dados Pessoais da Empresa. A Empresa reconhece e aprova a lista de Subcontratantes Ulteriores delineada na Política de privacidade do Subcontratante, compreendendo que esta lista pode ser atualizada pelo Subcontratante regularmente, caso em que a empresa será informada pelo Subcontratante de acordo com o processo de notificação da Política de privacidade. Além disso, a Empresa autoriza o Subcontratante a divulgar e transferir Dados Pessoais para qualquer empresa dentro do seu grupo empresarial.

O Subcontratante garante que os Subcontratantes Ulteriores estão sujeitos a um acordo com o Subcontratante não menos restritivo e protetor do que o presente Acordo no que respeita à proteção dos Dados Pessoais da Empresa, na medida aplicável à natureza dos serviços prestados pelo Subcontratante Ulterior.

6. Direitos dos Titulares dos Dados

Tendo em conta a natureza do tratamento, o Subcontratante deve prestar assistência razoável à Empresa para o cumprimento das obrigações da Empresa em responder a pedidos de exercício dos direitos dos Titulares dos Dados ao abrigo das Leis de Proteção de Dados.

O Subcontratante deve:

6.1) notificar prontamente a Empresa se receber um pedido de um Titular dos Dados ao abrigo de qualquer Lei de Proteção de Dados em relação aos Dados Pessoais da Empresa; e

6.2) assegurar que não responde a esse pedido exceto mediante instruções documentadas do Responsável pelo Tratamento ou conforme exigido pelas Leis Aplicáveis às quais o Subcontratante está sujeito, caso em que o Subcontratante deve, na medida do permitido pelas Leis Aplicáveis, informar o Responsável pelo Tratamento desse requisito legal antes que o Subcontratante Contratado responda ao pedido.

7. Violação de Dados Pessoais

O Subcontratante deve gerir qualquer Violação de Dados Pessoais em conformidade com as Leis de Proteção de Dados aplicáveis e os seus procedimentos internos de Violação de Dados Pessoais. No evento de uma Violação de Dados Pessoais que afete os Dados Pessoais da empresa, o Subcontratante deve notificar a Empresa sem demora, fornecendo informações suficientes para permitir que a Empresa cumpra as suas obrigações ao abrigo das Leis de Proteção de Dados, incluindo informar os Titulares dos Dados conforme necessário. Nesses casos, o Subcontratante deve fornecer à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de comunicar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais ao abrigo das Leis de Proteção de Dados.

O Subcontratante deve cooperar com a Empresa e tomar medidas comerciais razoáveis conforme indicado pela Empresa para ajudar na investigação, mitigação e remediação de cada tal Violação de Dados Pessoais.

Cada parte suportará os custos da investigação, remediação, mitigação e outros custos relacionados na medida em que uma Violação de Dados for causada por essa parte.

Cada parte suportará os custos de quaisquer coimas, sanções, danos ou outros montantes relacionados impostos por um organismo regulador autorizado, agência governamental ou tribunal de jurisdição competente na medida em que resultem do incumprimento das suas obrigações ao abrigo deste Acordo por essa parte.

8. Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia

O Subcontratante deve fornecer assistência razoável à Empresa com quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias com Autoridades de Supervisão ou outras autoridades competentes de privacidade de dados, que o Responsável pelo Tratamento considere razoavelmente necessárias nos termos do artigo 35.º ou 36.º do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso apenas em relação ao Tratamento de Dados Pessoais da Empresa pelos, e tendo em conta a natureza do Tratamento e as informações disponíveis para os, Subcontratantes Contratados.

9. Eliminação ou devolução de Dados Pessoais da Empresa

Em caso de cessação de qualquer Serviço que envolva o Tratamento de Dados Pessoais da Empresa, o Subcontratante deve eliminar todos os Dados Pessoais da Empresa na medida do permitido pelas leis aplicáveis e de acordo com os Termos e Condições e a Política de privacidade do Subcontratante. Caso a Empresa necessite de uma cópia dos seus dados, deve solicitá-la antes da eliminação da sua conta; os pedidos efetuados após a conta ter sido eliminada já não poderão ser considerados.

10. Direitos de auditoria

Sujeito a esta secção 10, o Subcontratante deve disponibilizar à Empresa, mediante pedido, todas as informações necessárias para demonstrar a conformidade com este Acordo, e deve permitir e contribuir para auditorias, incluindo inspeções, pela Empresa ou por um auditor mandatado pela Empresa em relação ao Tratamento dos Dados Pessoais da Empresa pelos Subcontratantes Contratados. A Empresa não deve exercer os seus direitos de auditoria mais do que uma vez por ano de calendário, exceto após uma Violação de Dados Pessoais ou uma instrução de uma autoridade reguladora. A Empresa deve dar ao Subcontratante um aviso prévio por escrito de pelo menos sessenta (60) dias da sua intenção de auditar o Subcontratante nos termos deste Acordo. A auditoria deve ser realizada durante o horário de expediente do Subcontratante, não deve perturbar as operações do Subcontratante e deve garantir a proteção dos Dados Pessoais da Empresa, do Subcontratante e de outros Titulares dos Dados. O Subcontratante e a Empresa devem acordar mutuamente e antecipadamente a data, o âmbito, a duração e os controlos de segurança e confidencialidade aplicáveis à auditoria. A Empresa reconhece que a assinatura de um acordo de confidencialidade pode ser exigida pelo Responsável pelo Tratamento antes da realização da auditoria.

As informações e os direitos de auditoria da Empresa apenas surgem ao abrigo da secção 10 na medida em que o Acordo não lhe confira de outra forma informações e direitos de auditoria que cumpram os requisitos relevantes da Lei de Proteção de Dados.

11. Transferência de dados

Na medida do possível, o Subcontratante apenas deve transferir ou autorizar a transferência de Dados para países dentro da Suíça, da UE e/ou países sujeitos a uma decisão de adequação, conforme previsto no art. 45.º do GDPR e art. 16 da FADP suíça. Se os Dados Pessoais tratados ao abrigo deste Acordo forem transferidos da Suíça ou de qualquer país da UE ou de qualquer país sujeito a uma decisão de adequação para um país fora deste âmbito, as Partes devem assegurar que os Dados Pessoais estão adequadamente protegidos. Para tal, as Partes devem, salvo acordo em contrário, basear-se em cláusulas contratuais-tipo aprovadas pela Suíça e/ou UE e/ou Reino Unido e então vigentes para a transferência de Dados Pessoais ou outros mecanismos de transferência previstos pelas Leis de Proteção de Dados. O Subcontratante deve ser autorizado a realizar tais transferências para Subcontratantes Ulteriores, desde que sejam implementadas salvaguardas adequadas no que respeita à natureza da transferência.

12. Termos gerais

Conformidade com as Leis Aplicáveis. O Subcontratante tratará os Dados Pessoais da Empresa de acordo com este Acordo e as Leis de Proteção de Dados aplicáveis ao seu cargo ao abrigo deste Acordo. O Subcontratante não é responsável nem responde pelo cumprimento das Leis de Proteção de Dados aplicáveis exclusivamente à Empresa em virtude da sua atividade ou setor.

Confidencialidade. Cada parte deve manter confidencial qualquer informação que receba sobre a outra parte e a sua atividade em ligação com este Acordo (“Informação Confidencial”) e não deve utilizar ou divulgar essa Informação Confidencial sem o consentimento prévio por escrito da outra parte, exceto na medida em que:

(a) a divulgação seja exigida por lei;

(b) a informação relevante já esteja no domínio público sem culpa das Partes.

Avisos. Todos os avisos e comunicações dados ao abrigo deste Acordo devem ser feitos por escrito e serão enviados por e-mail. O Responsável pelo Tratamento deve ser notificado por e-mail enviado para o endereço relacionado com a sua utilização dos Serviços ao abrigo do Acordo Principal. O Subcontratante deve ser notificado por e-mail enviado para o endereço: legal@proton.me.

Lei Aplicável e Jurisdição. Este Acordo será regido pela lei suíça, sem consideração pelas disposições de escolha ou conflitos de lei de qualquer jurisdição em contrário, e litígios, ações, reclamações ou causas de ação decorrentes de ou em ligação com este Acordo, um formulário de encomenda, qualquer documento incorporado por referência, tecnologia Proton, ou os Serviços estarão sujeitos à jurisdição exclusiva de Genebra, Suíça.


Em caso de discrepância entre a versão em inglês destes Termos e qualquer versão traduzida, a versão em inglês prevalecerá.