Proton

Acordo de Tratamento de Dados

Última modificação: 23 de setembro de 2024

Este Acordo de Tratamento de Dados ("Acordo") faz parte do Contrato de Serviços ao abrigo dos Termos e Condições da Proton AG (o "Acordo Principal") entre a Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suíça, número de identificação da empresa CHE-354.686.492 (referida como o "Processador") e a Empresa que utiliza os serviços da Proton (referida como a "Empresa").”

Este Acordo rege os requisitos específicos das Leis de Proteção de Dados, na medida em que a utilização dos Serviços da Proton pela Empresa implique o tratamento de Dados Pessoais sujeitos às Leis de Proteção de Dados.

Este Acordo é complementar à nossa Política de Privacidade, que serve como referência principal para as nossas práticas e medidas de proteção de dados.

A vigência deste Acordo seguirá a vigência do Acordo Principal. Os termos não definidos no presente Acordo terão o significado estabelecido no Acordo Principal.


CONSIDERANDO QUE

A) A Empresa atua como Responsável pelo Tratamento de Dados (o "Responsável pelo Tratamento").

B) A Empresa pretende subcontratar determinados Serviços (conforme definidos abaixo), que implicam o tratamento de Dados Pessoais, à Proton AG, atuando como Processador de Dados (o "Processador").

C) As Partes procuram implementar um acordo de tratamento de dados que cumpra os requisitos do quadro legal atual em relação ao tratamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) e outras leis de proteção de dados aplicáveis.

D) As Partes desejam estabelecer os seus direitos e obrigações.


FICA ACORDADO O SEGUINTE:

1. Definições e Interpretação

Salvo definição em contrário no presente documento, os termos e expressões com letra maiúscula utilizados neste Acordo de Tratamento de Dados terão o seguinte significado:

1.1) "Acordo" significa este Acordo de Tratamento de Dados e todos os Anexos;

1.2) "Dados Pessoais da Empresa" significa quaisquer Dados Pessoais relacionados com a Empresa ou com os clientes ou funcionários da Empresa, Tratados em conexão com o Acordo Principal;

1.3) "Processador Contratado" significa um Subprocessador;

1.4) "Leis de Proteção de Dados" significa as Leis de Proteção de Dados da UE e, na medida do aplicável, as leis de proteção de dados ou de privacidade de qualquer outro país;

1.5) "EEE" significa o Espaço Económico Europeu;

1.6) "Leis de Proteção de Dados da UE" significa a Diretiva 95/46/CE da UE, conforme transposta para a legislação nacional de cada Estado-Membro e conforme alterada, substituída ou revogada periodicamente, incluindo pelo RGPD e pelas leis que implementam ou complementam o RGPD;

1.7) "RGPD" significa o Regulamento Geral sobre a Proteção de Dados da UE 2016/679;

1.8) "Transferência de Dados" significa:

  • 1.8.1) uma transferência de Dados Pessoais da Empresa do Responsável pelo Tratamento para o Processador ou um Processador Contratado; ou
  • 1.8.2) uma transferência subsequente de Dados Pessoais da Empresa do Processador para um Subprocessador, ou entre dois estabelecimentos de um Subprocessador;

1.9) "Serviços" significa serviços seguros online fornecidos pelo Processador, tais como e-mail, calendário, drive e outros serviços desenvolvidos pelo Processador. Os detalhes e os preços dos Serviços podem ser encontrados no sítio web do Processador.

1.10) "Subprocessador" significa qualquer pessoa nomeada pelo Processador ou em seu nome para tratar Dados Pessoais em nome do Responsável pelo Tratamento em conexão com o Acordo.

Os termos, "Comissão", "Responsável pelo Tratamento", "Titular dos Dados", "Estado-Membro", "Dados Pessoais", "Violação de Dados Pessoais", "Tratamento" e "Autoridade de Controlo" terão o mesmo significado que no RGPD ou noutra Lei de Proteção de Dados aplicável, e os seus termos cognatos serão interpretados em conformidade.

2. Tratamento de Dados Pessoais da Empresa

O Processador deverá:

2.1) cumprir todas as Leis de Proteção de Dados aplicáveis no Tratamento de Dados Pessoais da Empresa;

2.2) e não tratar os Dados Pessoais da Empresa para além das instruções documentadas do Responsável pelo Tratamento na secção 2.

O Responsável pelo Tratamento instrui o Processador a tratar os Dados Pessoais da Empresa para:

2.3) fornecer os Serviços e o apoio técnico relacionado;

2.4) cumprir obrigações legais ou resolver litígios;

2.5) exercer qualquer tarefa interna destinada a otimizar a segurança, privacidade, confidencialidade e funcionalidades dos Serviços;

2.6) exercer relatórios internos, relatórios financeiros e outras tarefas internas semelhantes.

3. Pessoal do Processador

O Processador tomará medidas razoáveis para garantir a fiabilidade de qualquer funcionário, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, garantindo em cada caso que o acesso é estritamente limitado aos indivíduos que necessitam de saber/aceder aos Dados Pessoais da Empresa relevantes, conforme estritamente necessário para os fins do Acordo Principal, e/ou para cumprir as Leis de Proteção de Dados e outra legislação relevante no contexto das funções desse indivíduo para com o Processador Contratado, garantindo que todos esses indivíduos estão sujeitos a compromissos de confidencialidade ou a obrigações profissionais ou estatutárias de confidencialidade.

4. Segurança

De acordo com o Artigo 32.º (1) do RGPD, o Processador implementará as medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, tendo em conta o estado da arte, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento. Estas medidas devem ser concebidas para proteger os direitos e as liberdades das pessoas singulares, considerando os riscos de probabilidade e gravidade variáveis, incluindo o risco de uma Violação de Dados Pessoais.

O Processador avaliará também os riscos associados às atividades de tratamento e aplicará medidas consistentes com os requisitos estabelecidos no Artigo 32.º (1) do RGPD, garantindo a segurança dos Dados Pessoais da Empresa em todos os momentos.

5. Subprocessamento

Sujeito a este Acordo, a Empresa concede autorização geral ao Processador para contratar Subprocessadores e divulgar ou transferir-lhes Dados Pessoais da Empresa. A Empresa reconhece e aprova a lista de Subprocessadores descrita na Política de Privacidade do Processador, compreendendo que esta lista pode ser atualizada pelo Processador regularmente, caso em que a empresa será informada pelo Processador de acordo com o processo de notificação da Política de Privacidade. Além disso, a Empresa autoriza o Processador a divulgar e transferir Dados Pessoais a qualquer empresa do seu grupo empresarial.

O Processador garante que os Subprocessadores estão sujeitos a um acordo com o Processador não menos restritivo e protetor do que o presente Acordo no que diz respeito à proteção dos Dados Pessoais da Empresa, na medida aplicável à natureza dos serviços prestados pelo Subprocessador.

6. Direitos do Titular dos Dados

Tendo em conta a natureza do tratamento, o Processador assistirá razoavelmente a Empresa no cumprimento das obrigações da Empresa de responder a pedidos de exercício dos direitos do Titular dos Dados ao abrigo das Leis de Proteção de Dados.

O Processador deverá:

6.1) notificar prontamente a Empresa se receber um pedido de um Titular de Dados ao abrigo de qualquer Lei de Proteção de Dados relativamente aos Dados Pessoais da Empresa; e

6.2) garantir que não responde a esse pedido, exceto com base nas instruções documentadas do Responsável pelo Tratamento ou conforme exigido pelas Leis Aplicáveis a que o Processador está sujeito, caso em que o Processador, na medida do permitido pelas Leis Aplicáveis, informará o Responsável pelo Tratamento desse requisito legal antes de o Processador Contratado responder ao pedido.

7. Violação de Dados Pessoais

O Processador gerirá qualquer Violação de Dados Pessoais em conformidade com as Leis de Proteção de Dados aplicáveis e os seus procedimentos internos de Violação de Dados Pessoais. No caso de uma Violação de Dados Pessoais que afete os Dados Pessoais da empresa, o Processador notificará a Empresa sem demora, fornecendo informações suficientes para permitir que a Empresa cumpra as suas obrigações ao abrigo das Leis de Proteção de Dados, incluindo informar os Titulares dos Dados, conforme necessário. Nesses casos, o Processador fornecerá à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de comunicar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais ao abrigo das Leis de Proteção de Dados.

O Processador cooperará com a Empresa e tomará as medidas comerciais razoáveis que forem instruídas pela Empresa para ajudar na investigação, mitigação e remediação de cada uma dessas Violações de Dados Pessoais.

Cada parte suportará os custos da investigação, remediação, mitigação e outros custos relacionados na medida em que uma Violação de Dados seja causada por essa parte.

Cada parte suportará os custos de quaisquer multas, penalidades, danos ou outros montantes relacionados impostos por um organismo regulador autorizado, agência governamental ou tribunal de jurisdição competente, na medida em que decorram da violação das suas obrigações por essa parte ao abrigo deste Acordo.

8. Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia

O Processador prestará assistência razoável à Empresa em quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias com as Autoridades de Controlo ou outras autoridades competentes em matéria de privacidade de dados, que o Responsável pelo Tratamento considere razoavelmente serem exigidas pelo artigo 35.º ou 36.º do RGPD ou por disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso apenas em relação ao Tratamento de Dados Pessoais da Empresa por, e tendo em conta a natureza do Tratamento e a informação disponível para, os Processadores Contratados.

9. Eliminação ou devolução de Dados Pessoais da Empresa

Em caso de cessação de qualquer Serviço que envolva o Tratamento de Dados Pessoais da Empresa, o Processador eliminará todos os Dados Pessoais da Empresa na medida do permitido pelas leis aplicáveis e de acordo com os Termos e Condições e a Política de Privacidade do Processador. Caso a Empresa necessite de uma cópia dos seus dados, deverá solicitá-la antes da eliminação da sua conta; os pedidos efetuados após a eliminação da conta já não podem ser considerados.

10. Direitos de auditoria

Sujeito a esta secção 10, o Processador disponibilizará à Empresa, mediante pedido, toda a informação necessária para demonstrar o cumprimento deste Acordo, e permitirá e contribuirá para auditorias, incluindo inspeções, pela Empresa ou por um auditor mandatado pela Empresa em relação ao Tratamento dos Dados Pessoais da Empresa pelos Processadores Contratados. A Empresa não exercerá os seus direitos de auditoria mais do que uma vez por ano civil, exceto na sequência de uma Violação de Dados Pessoais ou de uma instrução de uma autoridade reguladora. A Empresa notificará o Processador por escrito com pelo menos sessenta (60) dias de antecedência da sua intenção de auditar o Processador nos termos deste Acordo. A auditoria será realizada durante o horário de expediente do Processador, não perturbará as operações do Processador e garantirá a proteção dos Dados Pessoais da Empresa, do Processador e de outros Titulares de Dados. O Processador e a Empresa acordarão mutuamente com antecedência a data, o âmbito, a duração e os controlos de segurança e confidencialidade aplicáveis à auditoria. A Empresa reconhece que a assinatura de um acordo de não divulgação pode ser exigida pelo Responsável pelo Tratamento antes da realização da auditoria.

Os direitos de informação e auditoria da Empresa só surgem ao abrigo da secção 10 na medida em que o Acordo não lhes confira de outra forma direitos de informação e auditoria que cumpram os requisitos relevantes da Lei de Proteção de Dados.

11. Transferência de Dados

Na medida do possível, o Processador apenas transferirá ou autorizará a transferência de Dados para países na Suíça, na UE e/ou em países sujeitos a uma decisão de adequação, conforme previsto no art. 45.º do RGPD e no art. 16.º da LPD suíça. Se os Dados Pessoais tratados ao abrigo deste Acordo forem transferidos da Suíça ou de qualquer país da UE ou de qualquer país sujeito a uma decisão de adequação para um país fora deste âmbito, as Partes garantirão que os Dados Pessoais são adequadamente protegidos. Para tal, as Partes, salvo acordo em contrário, basear-se-ão nas cláusulas contratuais-tipo aprovadas pela Suíça e/ou pela UE e/ou pelo Reino Unido e então em vigor para a transferência de Dados Pessoais ou noutros mecanismos de transferência previstos nas Leis de Proteção de Dados. O Processador estará autorizado a realizar tais transferências para Subprocessadores, desde que sejam implementadas salvaguardas adequadas no que diz respeito à natureza da transferência.

12. Termos Gerais

Conformidade com as Leis Aplicáveis. O Processador tratará os Dados Pessoais da Empresa de acordo com este Acordo e as Leis de Proteção de Dados aplicáveis à sua função ao abrigo deste Acordo. O Processador não é responsável nem responsabilizável pelo cumprimento das Leis de Proteção de Dados aplicáveis exclusivamente à Empresa em virtude da sua atividade ou setor.

Confidencialidade. Cada parte deve manter confidencial qualquer informação que receba sobre a outra parte e a sua atividade em conexão com este Acordo ("Informação Confidencial") e não deve utilizar ou divulgar essa Informação Confidencial sem o consentimento prévio por escrito da outra parte, exceto na medida em que:

(a) a divulgação seja exigida por lei;

(b) a informação relevante já seja do domínio público sem culpa das Partes.

Notificações. Todas as notificações e comunicações feitas ao abrigo deste Acordo devem ser feitas por escrito e serão enviadas por e-mail. O Responsável pelo Tratamento será notificado por e-mail enviado para o endereço relacionado com a sua utilização dos Serviços ao abrigo do Acordo Principal. O Processador será notificado por e-mail enviado para o endereço: legal@proton.me.

Lei Aplicável e Jurisdição. Este Acordo será regido pela lei suíça, sem atender às disposições sobre escolha ou conflitos de leis de qualquer jurisdição em contrário, e os litígios, ações, reclamações ou causas de ação decorrentes de ou em conexão com este Acordo, um formulário de encomenda, qualquer documento incorporado por referência, a tecnologia da Proton ou os Serviços estarão sujeitos à jurisdição exclusiva de Genebra, Suíça.


Em caso de discrepância entre a versão em inglês destes Termos e qualquer versão traduzida, a versão em inglês prevalecerá.