Entre:
Firma (1600 Holdings LLC) ("Subcontratante" ou "Firma.dev")
E:
A entidade que aceita os Termos e Condições da Firma.dev ("Responsável pelo Tratamento" ou "Cliente")
Data de Eficácia: Após a aceitação, por parte do Cliente, dos Termos e Condições da Firma.dev
1. Definições
"Dados Pessoais" designa qualquer informação relativa a uma pessoa singular identificada ou identificável tratada pela Firma.dev em nome do Cliente através do Serviço.
"Titular dos Dados" designa uma pessoa singular identificada ou identificável cujos Dados Pessoais são tratados.
"Tratamento" designa qualquer operação efetuada sobre Dados Pessoais, por meios automatizados ou não, incluindo a recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.
"Subsubcontratante" designa qualquer terceiro contratado pela Firma.dev para tratar Dados Pessoais em nome do Cliente.
"Serviço" designa a API de assinatura eletrónica da Firma.dev e serviços relacionados, conforme descrito nos Termos e Condições.
"Cláusulas Contratuais-Tipo" ou "CCTs" designa as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679, conforme adotadas pela Comissão Europeia.
"RGPD" designa o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados).
2. Âmbito e Funções
2.1 Este Acordo de Tratamento de Dados (ATD) aplica-se sempre que a Firma.dev trate Dados Pessoais em nome do Cliente no âmbito do Serviço.
2.2 O Cliente atua como Responsável pelo Tratamento. O Cliente determina as finalidades e os meios de tratamento dos Dados Pessoais.
2.3 A Firma.dev atua como Subcontratante. A Firma.dev trata Dados Pessoais apenas mediante instruções documentadas do Cliente, conforme descrito neste ATD e nos Termos e Condições.
3. Detalhes do Tratamento de Dados
3.1 Categorias de Titulares dos Dados
Colaboradores, prestadores de serviços e utilizadores autorizados do Cliente
Signatários finais que interagem com documentos enviados através do Serviço
3.2 Tipos de Dados Pessoais
Nomes e endereços de email
Dados de assinatura (assinaturas desenhadas, digitadas ou carregadas)
Endereços IP e carimbos de data/hora
Conteúdo do documento (na medida em que contenha Dados Pessoais)
Informações de registo de auditoria (audit trail)
3.3 Atividades de Tratamento
Armazenamento e apresentação de documentos para assinatura
Captura e aplicação de assinaturas eletrónicas
Geração de registos de auditoria e certificados de conclusão
Envio de notificações de pedido de assinatura
Disponibilização de acesso à API e webhooks
3.4 Duração do Tratamento
A Firma.dev tratará os Dados Pessoais durante a vigência do contrato e conforme o necessário para o cumprimento de obrigações legais, conforme especificado na Política de Privacidade.
4. Obrigações da Firma.dev
A Firma.dev deve:
4.1 Tratar os Dados Pessoais apenas mediante instruções documentadas do Cliente, incluindo no que se refere às transferências de dados pessoais para países terceiros, salvo se a tal for obrigada pelo direito da União ou de um Estado-Membro. A Firma.dev informará o Cliente desse requisito legal antes do tratamento, a menos que a lei o proíba.
4.2 Assegurar que as pessoas autorizadas a tratar os Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade.
4.3 Implementar as medidas técnicas e organizativas adequadas, conforme descrito no Anexo 1 (Medidas Técnicas e Organizativas).
4.4 Respeitar as condições para a contratação de Subsubcontratantes, conforme descrito na Secção 6.
4.5 Prestar assistência ao Cliente, tendo em conta a natureza do tratamento, através de medidas técnicas e organizativas adequadas, para permitir ao Cliente cumprir a sua obrigação de responder aos pedidos dos Titulares dos Dados.
4.6 Prestar assistência ao Cliente no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação de que a Firma.dev dispõe.
4.7 Conforme opção do Cliente, apagar ou devolver todos os Dados Pessoais após a cessação da prestação do Serviço, exceto se a conservação dos dados for exigida pela legislação aplicável.
4.8 Disponibilizar ao Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e permitir e colaborar com as auditorias, conforme descrito na Secção 10.
5. Obrigações do Cliente
O Cliente deve:
5.1 Garantir que os Dados Pessoais são recolhidos e tratados em conformidade com as leis de proteção de dados aplicáveis, incluindo a obtenção de quaisquer consentimentos necessários ou a prestação dos avisos exigidos aos Titulares dos Dados.
5.2 Fornecer instruções documentadas à Firma.dev relativamente ao tratamento de Dados Pessoais.
5.3 Garantir que a utilização do Serviço por parte do Cliente cumpre todas as leis e regulamentos aplicáveis.
6. Subsubcontratantes
6.1 O Cliente autoriza a Firma.dev a contratar os Subsubcontratantes listados no Anexo 2 (Lista de Subsubcontratantes).
6.2 A Firma.dev informará o Cliente sobre quaisquer alterações planeadas relativas aos Subsubcontratantes através da atualização da Lista de Subsubcontratantes. O Cliente poderá opor-se a tais alterações no prazo de 30 dias a contar da notificação. Caso o Cliente se oponha e a Firma.dev não consiga razoavelmente acomodar a objeção, o Cliente poderá rescindir o Serviço afetado.
6.3 A Firma.dev celebrará contratos assinados por escrito com cada Subsubcontratante, impondo obrigações de proteção de dados não menos protetoras do que as previstas neste ATD.
6.4 A Firma.dev permanece totalmente responsável pelo desempenho dos seus Subsubcontratantes.
7. Transferências Internacionais
7.1 Residência de Dados na UE: Os dados dos documentos e signatários do Cliente são armazenados e tratados dentro da União Europeia. A infraestrutura principal da Firma.dev está localizada em AWS eu-west-3 (Paris, França), com serviços de CDN em AWS eu-north-1 (Estocolmo, Suécia). Dados Pessoais limitados, tais como nomes e endereços de email dos signatários, podem ser tratados por subsubcontratantes localizados fora da UE, conforme listado no Anexo 2, sujeitos a garantias adequadas nos termos da Secção 7.2. Os Clientes que exijam que todos os Dados Pessoais permaneçam na UE podem desativar os emails enviados pela Firma e utilizar a sua própria infraestrutura de envio de emails, conforme descrito na documentação de white-labeling.
7.2 Se a Firma.dev transferir Dados Pessoais para fora do Espaço Económico Europeu, a Firma.dev garantirá a existência de garantias adequadas, tais como as Cláusulas Contratuais-Tipo (CCTs) aprovadas pela Comissão Europeia.
7.3 Mediante solicitação, a Firma.dev celebrará CCTs com o Cliente para quaisquer transferências para países terceiros que não beneficiem de uma decisão de adequação.
8. Pedidos dos Titulares dos Dados
8.1 A Firma.dev notificará imediatamente o Cliente se receber um pedido de um Titular dos Dados para exercer os seus direitos ao abrigo do RGPD (acesso, retificação, apagamento, portabilidade, limitação ou oposição).
8.2 A Firma.dev não responderá diretamente aos pedidos dos Titulares dos Dados, a menos que seja autorizada pelo Cliente ou exigida por lei.
8.3 A Firma.dev prestará assistência razoável ao Cliente na resposta a tais pedidos, tendo em conta a natureza do tratamento.
9. Incidentes de Segurança
9.1 A Firma.dev notificará o Cliente sem demora injustificada (e, em qualquer caso, no prazo de 72 horas) após tomar conhecimento de uma violação de Dados Pessoais que afete os dados do Cliente.
9.2 A notificação deverá incluir, na medida do que for conhecido:
A natureza da violação, incluindo as categorias e o número aproximado de Titulares dos Dados afetados
As consequências prováveis da violação
As medidas adotadas ou propostas para mitigar a violação
9.3 A Firma.dev cooperará com o Cliente e tomará medidas razoáveis para auxiliar na investigação e mitigação de cada violação.
10. Auditorias
10.1 A Firma.dev disponibilizará ao Cliente as informações razoavelmente necessárias para demonstrar o cumprimento deste ATD. Esta obrigação será cumprida mediante o fornecimento de:
Documentação e políticas de segurança
Avaliações de segurança de terceiros, quando disponíveis
Questionários de segurança preenchidos
10.2 A Firma.dev não permite auditorias no local (on-site). Todos os pedidos de auditoria serão respondidos através de documentação, respostas por escrito e métodos de verificação remota, à discrição da Firma.dev.
10.3 Os pedidos de auditoria que vão além da documentação padrão (tais como questionários de segurança personalizados, revisões técnicas detalhadas ou chamadas com pessoal de segurança) estarão sujeitos a uma taxa de 500 € por pedido, paga antecipadamente.
10.4 Nada nesta Secção 10 obriga a Firma.dev a divulgar informações que possam comprometer a segurança dos seus sistemas, violar obrigações de confidencialidade com outros clientes ou violar a legislação aplicável.
11. Vigência e Rescisão
11.1 Este ATD entra em vigor após a aceitação dos Termos e Condições pelo Cliente e permanece em vigor durante toda a duração do tratamento de Dados Pessoais pela Firma.dev em nome do Cliente.
11.2 Após a rescisão do Serviço, a Firma.dev apagará ou devolverá os Dados Pessoais conforme especificado na Secção 4.7, sujeito aos requisitos legais de retenção de dados.
12. Lei Aplicável
Este ATD rege-se pelas leis especificadas nos Termos e Condições. Para assuntos relacionados com a conformidade com o RGPD, aplicam-se as disposições do RGPD e a legislação aplicável do Estado-Membro.
Anexo 1: Medidas Técnicas e Organizativas
A Firma.dev implementa as seguintes medidas para proteger os Dados Pessoais:
Controlo de Acesso
Chaves de API exclusivas por Cliente com permissões configuráveis
Os Workspaces (áreas de trabalho) do Cliente fornecem isolamento lógico entre os conjuntos de dados do Cliente
Encriptação
TLS 1.2 ou superior para todos os dados em trânsito
Encriptação AES-256 para dados em repouso
Ligações de base de dados encriptadas
Segurança da Infraestrutura
Alojado na AWS com residência de dados na UE (eu-west-3 Paris)
Segmentação de rede e proteção por firewall
Atualizações e correções de segurança regulares
Proteção contra DDoS através do AWS CloudFront
Monitorização e Registo (Logging)
Registos de auditoria abrangentes para todos os eventos de assinatura
Alertas automatizados para atividades anómalas
Retenção de registos (logs) para análise de segurança
Integridade dos Dados
Registos de auditoria invioláveis com selos criptográficos
Verificação de hash de documentos
Cópias de segurança (backups) automatizadas com recuperação num ponto específico do tempo (point-in-time recovery)
Resposta a Incidentes
Procedimentos documentados de resposta a incidentes
Compromisso de notificação de violação em 72 horas
Segurança do Pessoal
Acordos de confidencialidade para todo o pessoal
Continuidade de Negócio
Infraestrutura redundante dentro das regiões da UE
Testes regulares de cópias de segurança (backups)
Anexo 2: Lista de Subsubcontratantes
Subsubcontratante | Finalidade | Localização |
|---|---|---|
Amazon Web Services (AWS) | Infraestrutura cloud, computação, armazenamento, CDN | UE (Paris, França - eu-west-3; Estocolmo, Suécia - eu-north-1) |
Supabase | Serviços de base de dados (alojados na AWS) | UE (Paris, França - eu-west-3) |
Resend | Envio de emails transacionais (emails de pedido de assinatura, lembrete e notificação). Trata nomes e endereços de email de signatários, bem como o conteúdo do email quando o Cliente personaliza os modelos. Pode ser removido da cadeia de tratamento ao desativar os emails da Firma por pedido de assinatura e utilizar a sua própria infraestrutura de envio de emails. | Estados Unidos (transferências ao abrigo de CCTs) |
Jitbit | Gestão de suporte ao cliente (trata detalhes de contacto da equipa do Cliente e correspondência de suporte) | UE (Alemanha) |
Última atualização: junho de 2026
O Cliente será notificado sobre alterações a esta lista via email enviado ao administrador da conta ou através do painel de controlo da Firma.dev.
Anexo 3: Cláusulas Contratuais-Tipo
Para transferências de Dados Pessoais para países fora do Espaço Económico Europeu que não beneficiem de uma decisão de adequação, as partes acordam que as Cláusulas Contratuais-Tipo (Módulo Dois: Responsável pelo Tratamento para Subcontratante) adotadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia serão aplicáveis e consideram-se incorporadas por referência.
As CCTs consideram-se preenchidas da seguinte forma:
Cláusula 7 (Cláusula de adesão): Não aplicável
Cláusula 9 (Utilização de subsubcontratantes): Aplica-se a Opção 2 (Autorização escrita geral)
Cláusula 11 (Vias de recurso): Disposição facultativa não aplicável
Cláusula 17 (Legislação aplicável): Leis da Irlanda
Cláusula 18 (Escolha do foro): Tribunais da Irlanda
Contacto para Dúvidas sobre Proteção de Dados:
Firma.dev (1600 Holdings LLC) Email: Por email em support@firma.dev
Ao utilizar o Serviço da Firma.dev, o Cliente reconhece e aceita os termos deste Acordo de Tratamento de Dados.

