Acordo de Tratamento de Dados
Última modificação: 10 de fevereiro de 2026
O presente Acordo de Tratamento de Dados ("Acordo") faz parte integrante do Contrato de Serviços ao abrigo dos termos e condições da Proton AG (o "Acordo Principal") entre a Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suíça, número de identificação da empresa CHE-354.686.492 (doravante designada por "Subcontratante") e a Empresa que utiliza os serviços da Proton (doravante designada por "Empresa", entendendo-se como tal qualquer empresa ou organização que utilize os Serviços, independentemente da sua forma jurídica).
O presente Acordo rege os requisitos específicos das Leis de Proteção de Dados, na medida em que a utilização dos Serviços Proton pela Empresa implique o tratamento de Dados Pessoais sujeitos às Leis de Proteção de Dados.
O presente Acordo complementa a nossa Política de privacidade, que serve de referência principal para as nossas práticas e medidas de proteção de dados.
A vigência do presente Acordo seguirá a vigência do Acordo Principal. Os termos não definidos no presente documento terão o significado estabelecido no Acordo Principal.
CONSIDERANDO QUE
A) A Empresa atua como Responsável pelo Tratamento de Dados (o "Responsável pelo Tratamento").
B) A Empresa pretende subcontratar determinados Serviços (conforme definidos abaixo), que implicam o tratamento de Dados Pessoais, à Proton AG, que atua como Subcontratante de Dados (o "Subcontratante").
C) As Partes pretendem implementar um acordo de tratamento de dados que cumpra os requisitos do quadro jurídico atual em matéria de tratamento de dados e do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), bem como outras leis de proteção de dados aplicáveis.
D) As Partes pretendem definir os seus direitos e obrigações.
É ACORDADO O SEGUINTE:
1. Definições e Interpretação
Salvo definição em contrário no presente documento, os termos e expressões iniciados por maiúscula utilizados no presente DPA terão o seguinte significado:
1.1) "Acordo" significa o presente Acordo de Tratamento de Dados e todos os Anexos;
1.2) "Dados Pessoais da Empresa" significa quaisquer Dados Pessoais relacionados com a Empresa ou com os clientes ou trabalhadores da Empresa tratados no âmbito do Acordo Principal;
1.3) "Subcontratante Contratado" significa um Subcontratante Posterior;
1.4) "Leis de Proteção de Dados" significa as Leis de Proteção de Dados da UE e, na medida do aplicável, as leis de proteção de dados ou de privacidade de qualquer outro país;
1.5) "EEE" significa o Espaço Económico Europeu;
1.6) "Leis de Proteção de Dados da UE" significa a Diretiva 95/46/CE da UE, tal como transposta para a legislação nacional de cada Estado-Membro e tal como alterada, substituída ou superada periodicamente, incluindo pelo GDPR e pelas leis que implementam ou complementam o GDPR;
1.7) "GDPR" significa o Regulamento Geral sobre a Proteção de Dados da UE 2016/679;
1.8) "Transferência de Dados" significa:
- 1.8.1) uma transferência de Dados Pessoais da Empresa do Responsável pelo Tratamento para o Subcontratante ou um Subcontratante Contratado; ou
- 1.8.2) uma transferência subsequente de Dados Pessoais da Empresa do Subcontratante para um Subcontratante Ulterior, ou entre dois estabelecimentos de um Subcontratante Ulterior;
1.9) "Serviços" significa serviços seguros online prestados pelo Subcontratante, tais como e-mail, calendário, unidade e outros serviços desenvolvidos pelo Subcontratante. Os detalhes e os preços dos Serviços podem ser consultados no sítio web do Subcontratante.
1.10) "Subcontratante Posterior" significa qualquer pessoa designada pelo ou em nome do Subcontratante para tratar Dados Pessoais em nome do Responsável pelo Tratamento no âmbito do Acordo.
Os termos "Comissão", "Responsável pelo Tratamento", "Titular dos Dados", "Estado-Membro", "Dados Pessoais", "Violação de Dados Pessoais", "Tratamento" e "Autoridade de Controlo" terão o mesmo significado que no GDPR ou noutra Lei de Proteção de Dados aplicável, e os termos cognatos serão interpretados em conformidade.
2. Tratamento de Dados Pessoais da Empresa
O Subcontratante deve:
2.1) cumprir todas as Leis de Proteção de Dados aplicáveis no Tratamento de Dados Pessoais da Empresa;
2.2) e não tratar os Dados Pessoais da Empresa de outro modo que não seja com base nas instruções documentadas do Responsável pelo Tratamento na secção 2.
O Responsável pelo Tratamento instrui o Subcontratante a tratar os Dados Pessoais da Empresa para:
2.3) prestar os Serviços e o apoio ao cliente técnico relacionado;
2.4) cumprir obrigações legais ou resolver litígios;
2.5) executar qualquer tarefa interna destinada a otimizar a segurança, a privacidade, a confidencialidade e as funcionalidades dos Serviços;
2.6) realizar relatórios internos, relatórios financeiros e outras tarefas internas semelhantes.
3. Pessoal do Subcontratante
O Subcontratante deverá tomar medidas razoáveis para garantir a fiabilidade de qualquer trabalhador, agente ou contratado de qualquer Subcontratante Contratado que possa ter acesso a Dados Pessoais da Empresa, assegurando, em cada caso, que o acesso é estritamente limitado às pessoas que necessitem de conhecer / aceder aos Dados Pessoais relevantes da Empresa, conforme estritamente necessário para os fins do Acordo Principal, e/ou para cumprir as Leis de Proteção de Dados e outra legislação relevante no contexto das funções dessa pessoa para o Subcontratante Contratado, assegurando que todas essas pessoas estejam sujeitas a compromissos de confidencialidade ou a obrigações profissionais ou legais de confidencialidade.
4. Segurança
Em conformidade com o artigo 32.º, n.º 1, do GDPR, o Subcontratante deverá implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco, tendo em conta o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento. Estas medidas deverão ser concebidas para proteger os direitos e as liberdades das pessoas singulares, tendo em consideração os riscos de probabilidade e gravidade variáveis, incluindo o risco de uma Violação de Dados Pessoais.
O Subcontratante deverá também avaliar os riscos associados às atividades de tratamento e aplicar medidas compatíveis com os requisitos estabelecidos no artigo 32.º, n.º 1, do GDPR, garantindo a segurança dos Dados Pessoais da Empresa em permanência.
5. Subprocessamento
Nos termos do presente Acordo, a Empresa concede autorização geral ao Subcontratante para recorrer a Subcontratantes Posteriores e divulgar-lhes ou transferir-lhes Dados Pessoais da Empresa. A Empresa reconhece e aprova a lista de Subcontratantes Posteriores descrita na Política de privacidade do Subcontratante, compreendendo que esta lista pode ser atualizada regularmente pelo Subcontratante, caso em que a empresa será informada pelo Subcontratante de acordo com o processo de notificação da Política de privacidade. Além disso, a Empresa autoriza o Subcontratante a divulgar e transferir Dados Pessoais para qualquer empresa do seu grupo empresarial.
O Subcontratante garante que os Subcontratantes Posteriores estão sujeitos a um acordo com o Subcontratante que não é menos restritivo nem menos protetor do que o presente Acordo no que respeita à proteção dos Dados Pessoais da Empresa, na medida aplicável à natureza dos serviços prestados pelo Subcontratante Posterior.
6. Direitos dos Titulares dos Dados
Tendo em conta a natureza do tratamento, o Subcontratante deverá prestar assistência razoável à Empresa para o cumprimento das obrigações da Empresa de responder a pedidos de exercício dos direitos dos Titulares dos Dados ao abrigo das Leis de Proteção de Dados.
O Subcontratante deve:
6.1) notificar prontamente a Empresa se receber um pedido de um Titular dos Dados ao abrigo de qualquer Lei de Proteção de Dados relativamente a Dados Pessoais da Empresa; e
6.2) assegurar que não responde a esse pedido, exceto com base nas instruções documentadas do Responsável pelo Tratamento ou conforme exigido pelas Leis Aplicáveis às quais o Subcontratante está sujeito, caso em que o Subcontratante deverá, na medida permitida pelas Leis Aplicáveis, informar o Responsável pelo Tratamento desse requisito legal antes de o Subcontratante Contratado responder ao pedido.
7. Violação de Dados Pessoais
O Subcontratante deverá gerir qualquer Violação de Dados Pessoais em conformidade com as Leis de Proteção de Dados aplicáveis e os seus procedimentos internos relativos a Violação de Dados Pessoais. Em caso de Violação de Dados Pessoais que afete os Dados Pessoais da empresa, o Subcontratante deverá notificar a Empresa sem demora, fornecendo informações suficientes para permitir que a Empresa cumpra as suas obrigações ao abrigo das Leis de Proteção de Dados, incluindo informar os Titulares dos Dados, conforme necessário. Nesses casos, o Subcontratante deverá fornecer à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de comunicar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais ao abrigo das Leis de Proteção de Dados.
O Subcontratante deverá cooperar com a Empresa e tomar medidas comerciais razoáveis, conforme orientado pela Empresa, para ajudar na investigação, mitigação e correção de cada uma dessas Violações de Dados Pessoais.
Cada parte suportará os custos da investigação, correção, mitigação e outros custos relacionados, na medida em que uma Violação de Dados seja causada por essa parte.
Cada parte suportará os custos de quaisquer coimas, sanções, indemnizações ou outros montantes relacionados impostos por um organismo regulador autorizado, uma agência governamental ou um tribunal de jurisdição competente, na medida em que resultem da violação das obrigações dessa parte ao abrigo do presente Acordo.
8. Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia
O Subcontratante deverá prestar assistência razoável à Empresa relativamente a quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias junto de Autoridades de Controlo ou de outras autoridades competentes em matéria de privacidade dos dados, que o Responsável pelo Tratamento considere razoavelmente exigidas pelo artigo 35.º ou 36.º do GDPR ou por disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso exclusivamente em relação ao Tratamento dos Dados Pessoais da Empresa pelo Subcontratante Contratado e tendo em conta a natureza do Tratamento e as informações disponíveis para os Subcontratantes Contratados.
9. Eliminação ou devolução de Dados Pessoais da Empresa
Em caso de cessação de qualquer Serviço que envolva o Tratamento de Dados Pessoais da Empresa, o Subcontratante deverá eliminar todos os Dados Pessoais da Empresa, na medida permitida pelas leis aplicáveis e em conformidade com os termos e condições e a Política de privacidade do Subcontratante. Caso a Empresa necessite de uma cópia dos seus dados, deverá solicitá-la antes da eliminação da sua conta; os pedidos efetuados após a conta ter sido eliminada já não poderão ser considerados.
10. Direitos de auditoria
Nos termos da presente secção 10, o Subcontratante deverá disponibilizar à Empresa, mediante pedido, todas as informações necessárias para demonstrar o cumprimento do presente Acordo e deverá permitir e contribuir para auditorias, incluindo inspeções, realizadas pela Empresa ou por um auditor mandatado pela Empresa em relação ao Tratamento dos Dados Pessoais da Empresa pelos Subcontratantes Contratados. A Empresa não exercerá os seus direitos de auditoria mais do que uma vez por ano civil, exceto na sequência de uma Violação de Dados Pessoais ou de uma instrução de uma autoridade reguladora. A Empresa deverá dar ao Subcontratante um aviso prévio por escrito de, pelo menos, sessenta (60) dias sobre a sua intenção de auditar o Subcontratante nos termos do presente Acordo. A auditoria deverá ser realizada durante o horário de expediente do Subcontratante, não deverá perturbar as operações do Subcontratante e deverá assegurar a proteção dos Dados Pessoais da Empresa, do Subcontratante e de outros Titulares dos Dados. O Subcontratante e a Empresa deverão acordar mutuamente e com antecedência a data, o âmbito, a duração e os controlos de segurança e confidencialidade aplicáveis à auditoria. A Empresa reconhece que a assinatura de um acordo de confidencialidade pode ser exigida pelo Responsável pelo Tratamento antes da realização da auditoria.
Os direitos de informação e de auditoria da Empresa apenas surgem ao abrigo da secção 10 na medida em que o Acordo não lhe confira de outro modo direitos de informação e de auditoria que cumpram os requisitos relevantes da Lei de Proteção de Dados.
11. Transferência de dados
Na medida do possível, o Subcontratante apenas transferirá ou autorizará a transferência de Dados para países dentro da Suíça, da UE e/ou para países sujeitos a uma decisão de adequação, conforme previsto no art. 45 do GDPR e no art. 16 da FADP suíça. Se os Dados Pessoais tratados ao abrigo do presente Acordo forem transferidos da Suíça ou de qualquer país da UE ou de qualquer país sujeito a uma decisão de adequação para um país fora desse âmbito, as Partes assegurarão que os Dados Pessoais sejam adequadamente protegidos. Para o efeito, as Partes deverão, salvo acordo em contrário, basear-se em cláusulas contratuais-tipo aprovadas e então vigentes pela Suíça e/ou pela UE e/ou pelo Reino Unido para a transferência de Dados Pessoais, ou noutros mecanismos de transferência previstos pelas Leis de Proteção de Dados. O Subcontratante estará autorizado a efetuar essas transferências para Subcontratantes Posteriores, desde que sejam implementadas garantias adequadas no que diz respeito à natureza da transferência.
12. Termos gerais
Cumprimento das Leis Aplicáveis. O Subcontratante tratará os Dados Pessoais da Empresa em conformidade com o presente Acordo e com as Leis de Proteção de Dados aplicáveis ao seu cargo ao abrigo do presente Acordo. O Subcontratante não é responsável nem pode ser responsabilizado pelo cumprimento de Leis de Proteção de Dados aplicáveis exclusivamente à Empresa em virtude da sua atividade ou setor.
Confidencialidade. Cada parte deve manter confidencial qualquer informação que receba sobre a outra parte e a sua atividade no âmbito do presente Acordo ("Informação Confidencial") e não deve utilizar nem divulgar essa Informação Confidencial sem o consentimento prévio por escrito da outra parte, exceto na medida em que:
(a) a divulgação seja exigida por lei;
(b) as informações relevantes já sejam do domínio público sem culpa das Partes.
Notificações. Todas as notificações e comunicações efetuadas ao abrigo do presente Acordo devem ser feitas por escrito e serão enviadas por e-mail. O Responsável pelo Tratamento será notificado por e-mail enviado para o endereço associado à sua utilização dos Serviços ao abrigo do Acordo Principal. O Subcontratante será notificado por e-mail enviado para o endereço: legal@proton.me.
Lei Aplicável e Jurisdição. O presente Acordo será regido pela lei suíça, sem consideração pelas disposições sobre escolha ou conflitos de leis de qualquer jurisdição em contrário, e os litígios, ações, reclamações ou causas de pedir decorrentes do presente Acordo, de um formulário de encomenda, de qualquer documento incorporado por referência, da tecnologia Proton ou dos Serviços estarão sujeitos à jurisdição exclusiva de Genebra, Suíça.
Em caso de discrepância entre a versão em inglês destes Termos e qualquer versão traduzida, a versão em inglês prevalecerá.