Entre:
Firma (1600 Holdings LLC) ("Subcontratante" ou "Firma.dev")
E:
A entidade que concorda com os Termos e Condições da Firma.dev ("Responsável pelo Tratamento" ou "Cliente")
Data de Entrada em Vigor: Aquando da aceitação pelo Cliente dos Termos e Condições da Firma.dev
1. Definições
"Dados Pessoais" significa qualquer informação relativa a uma pessoa singular identificada ou identificável tratada pela Firma.dev em nome do Cliente através do Serviço.
"Titular dos Dados" significa uma pessoa singular identificada ou identificável cujos Dados Pessoais são tratados.
"Tratamento" significa qualquer operação realizada sobre Dados Pessoais, quer automatizada quer manual, incluindo recolha, armazenamento, recuperação, utilização, divulgação e eliminação.
"Subcontratante" significa qualquer terceiro contratado pela Firma.dev para tratar Dados Pessoais em nome do Cliente.
"Serviço" significa a API de assinatura eletrónica da Firma.dev e os serviços relacionados, conforme descrito nos Termos e Condições.
"CCTs" significa as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679, tal como adotadas pela Comissão Europeia.
"RGPD" significa o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados).
2. Âmbito e Funções
2.1 Este DPA aplica-se quando a Firma.dev trata Dados Pessoais em nome do Cliente em ligação com o Serviço.
2.2 O Cliente atua como Responsável pelo Tratamento. O Cliente determina as finalidades e os meios do tratamento de Dados Pessoais.
2.3 A Firma.dev atua como Subcontratante. A Firma.dev trata Dados Pessoais apenas com base em instruções documentadas do Cliente, conforme descrito neste DPA e nos Termos e Condições.
3. Detalhes do Tratamento de Dados
3.1 Categorias de Titulares dos Dados
empregados, contratados e utilizadores autorizados do Cliente
assinantes utilizadores finais que interagem com documentos enviados através do Serviço
3.2 Tipos de Dados Pessoais
Nomes e endereços de e-mail
Dados de assinatura (assinaturas desenhadas, dactilografadas ou carregadas)
Endereços IP e carimbos de data/hora
Conteúdo dos documentos (na medida em que contenha Dados Pessoais)
Informações de registo de auditoria
3.3 Atividades de Tratamento
Armazenar e apresentar documentos para assinatura
Capturar e aplicar assinaturas eletrónicas
Gerar registos de auditoria e certificados de conclusão
Enviar notificações de pedido de assinatura
Fornecer acesso à API e webhooks
3.4 Duração do Tratamento
A Firma.dev tratará Dados Pessoais durante a vigência do acordo e conforme necessário para conformidade legal, conforme especificado na Política de Privacidade.
4. Obrigações da Firma.dev
A Firma.dev deverá:
4.1 Tratar Dados Pessoais apenas com base em instruções documentadas do Cliente, incluindo transferências para países terceiros, salvo se exigido pelo direito da UE ou de um Estado-Membro. A Firma.dev informará o Cliente de qualquer exigência legal desse tipo antes do tratamento, salvo se tal for proibido por lei.
4.2 Garantir que as pessoas autorizadas a tratar Dados Pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação estatutária apropriada de confidencialidade.
4.3 Implementar medidas técnicas e organizacionais apropriadas, conforme descrito no Anexo 1 (Medidas Técnicas e Organizacionais).
4.4 Respeitar as condições para contratar Subcontratantes, conforme descrito na Secção 6.
4.5 Ajudar o Cliente, tendo em conta a natureza do tratamento, com medidas técnicas e organizacionais apropriadas para o cumprimento das obrigações do Cliente de responder a pedidos de Titulares dos Dados.
4.6 Ajudar o Cliente a garantir a conformidade com as obrigações nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e as informações disponíveis para a Firma.dev.
4.7 À escolha do Cliente, eliminar ou devolver todos os Dados Pessoais aquando da cessação do Serviço, exceto quando a retenção seja exigida pela lei aplicável.
4.8 Disponibilizar ao Cliente toda a informação necessária para demonstrar a conformidade com as obrigações do artigo 28.º do RGPD e permitir e contribuir para auditorias, conforme descrito na Secção 10.
5. Obrigações do Cliente
O Cliente deverá:
5.1 Garantir que os Dados Pessoais são recolhidos e tratados em conformidade com as leis aplicáveis de proteção de dados, incluindo a obtenção de quaisquer consentimentos necessários ou a disponibilização das notificações exigidas aos Titulares dos Dados.
5.2 Fornecer instruções documentadas à Firma.dev relativamente ao tratamento de Dados Pessoais.
5.3 Garantir que a utilização do Serviço pelo Cliente cumpre todas as leis e regulamentos aplicáveis.
6. Subcontratantes
6.1 O Cliente autoriza a Firma.dev a contratar os Subcontratantes indicados no Anexo 2 (Lista de Subcontratantes).
6.2 A Firma.dev informará o Cliente de quaisquer alterações pretendidas aos Subcontratantes, atualizando a Lista de Subcontratantes. O Cliente pode opor-se a tais alterações no prazo de 30 dias a contar da notificação. Se o Cliente se opuser e a Firma.dev não puder razoavelmente acomodar a objeção, o Cliente poderá cessar o Serviço afetado.
6.3 A Firma.dev celebrará acordos escritos com cada Subcontratante, impondo obrigações de proteção de dados não menos protetoras do que as previstas neste DPA.
6.4 A Firma.dev permanece totalmente responsável pelo desempenho dos seus Subcontratantes.
7. Transferências Internacionais
7.1 Residência de Dados na UE: Os Dados Pessoais do Cliente são armazenados e tratados na União Europeia. A infraestrutura principal da Firma.dev está localizada na AWS eu-west-3 (Paris, França), com serviços CDN na AWS eu-north-1 (Estocolmo, Suécia).
7.2 Se a Firma.dev transferir Dados Pessoais para fora do Espaço Económico Europeu, a Firma.dev assegurará que estão em vigor salvaguardas apropriadas, tais como as Cláusulas Contratuais-Tipo (CCTs) aprovadas pela Comissão Europeia.
7.3 Mediante pedido, a Firma.dev executará CCTs com o Cliente relativamente a quaisquer transferências para países terceiros que não beneficiem de uma decisão de adequação.
8. Pedidos dos Titulares dos Dados
8.1 A Firma.dev notificará prontamente o Cliente se receber um pedido de um Titular dos Dados para exercer direitos ao abrigo do RGPD (acesso, retificação, apagamento, portabilidade, limitação ou oposição).
8.2 A Firma.dev não responderá diretamente aos pedidos dos Titulares dos Dados, exceto se autorizada pelo Cliente ou exigido por lei.
8.3 A Firma.dev prestará ao Cliente assistência razoável na resposta a tais pedidos, tendo em conta a natureza do tratamento.
9. Incidentes de Segurança
9.1 A Firma.dev notificará o Cliente sem demora injustificada (e, em qualquer caso, no prazo de 72 horas) assim que tomar conhecimento de uma violação de Dados Pessoais que afete os dados do Cliente.
9.2 A notificação incluirá, na medida do conhecimento disponível:
A natureza da violação, incluindo as categorias e o número aproximado de Titulares dos Dados afetados
As consequências prováveis da violação
As medidas tomadas ou propostas para resolver a violação
9.3 A Firma.dev cooperará com o Cliente e tomará medidas razoáveis para ajudar na investigação e mitigação de cada violação.
10. Auditorias
10.1 A Firma.dev disponibilizará ao Cliente a informação razoavelmente necessária para demonstrar a conformidade com este DPA. Esta obrigação será cumprida mediante a disponibilização de:
Documentação e políticas de segurança
Avaliações de segurança de terceiros, quando disponíveis
Questionários de segurança preenchidos
10.2 A Firma.dev não permite auditorias presenciais. Todos os pedidos de auditoria serão tratados através de documentação, respostas escritas e métodos de verificação remota, à discrição da Firma.dev.
10.3 Os pedidos de auditoria para além da documentação padrão (tais como questionários de segurança personalizados, análises técnicas detalhadas ou chamadas com pessoal de segurança) estarão sujeitos a uma taxa de 500 € por pedido, pagável antecipadamente.
10.4 Nada nesta Secção 10 exige que a Firma.dev divulgue informações que comprometam a segurança dos seus sistemas, violem obrigações de confidencialidade para com outros clientes ou infrinjam a lei aplicável.
11. Prazo e Cessação
11.1 Este DPA entra em vigor aquando da aceitação pelo Cliente dos Termos e Condições e permanece em vigor durante o período em que a Firma.dev trate Dados Pessoais em nome do Cliente.
11.2 Aquando da cessação do Serviço, a Firma.dev eliminará ou devolverá os Dados Pessoais, conforme especificado na Secção 4.7, sujeito aos requisitos legais de retenção.
12. Lei Aplicável
Este DPA é regido pelas leis especificadas nos Termos e Condições. Para matérias relacionadas com a conformidade com o RGPD, aplicam-se as disposições do RGPD e a lei aplicável do Estado-Membro.
Anexo 1: Medidas Técnicas e Organizacionais
A Firma.dev implementa as seguintes medidas para proteger Dados Pessoais:
Controlo de Acesso
Chaves de API únicas por Cliente com permissões configuráveis
Os Espaços de trabalho do Cliente proporcionam isolamento lógico entre os conjuntos de dados do Cliente
Encriptação
TLS 1.2 ou superior para todos os dados em trânsito
Encriptação AES-256 para dados em repouso
Ligações à base de dados encriptadas
Segurança da Infraestrutura
Hospedado na AWS com residência de dados na UE (eu-west-3 Paris)
Segmentação da rede e proteção por firewall
Aplicação e atualizações regulares de patches de segurança
Proteção DDoS através do AWS CloudFront
Monitorização e Registo
Registos de auditoria abrangentes para todos os eventos de assinatura
Alertas automáticos para atividade anómala
Retenção de registos para análise de segurança
Integridade dos Dados
Registos de auditoria invioláveis com selos criptográficos
Verificação de hash de documentos
Cópias de segurança automatizadas com recuperação pontual
Resposta a Incidentes
Procedimentos documentados de resposta a incidentes
Compromisso de notificação de violação no prazo de 72 horas
Segurança do Pessoal
Acordos de confidencialidade para todo o pessoal
Continuidade de Negócio
Infraestrutura redundante dentro das regiões da UE
Testes regulares de cópias de segurança
Anexo 2: Lista de Subcontratantes
Subcontratante | Finalidade | Localização |
|---|---|---|
Amazon Web Services (AWS) | Infraestrutura cloud, computação, armazenamento, CDN | UE (Paris, França - eu-west-3; Estocolmo, Suécia - eu-north-1) |
Supabase | Serviços de base de dados (hospedados na AWS) | UE (Paris, França - eu-west-3) |
Última atualização: Janeiro de 2026
O Cliente será notificado de alterações a esta lista por e-mail ao administrador da conta ou através do painel da Firma.dev.
Anexo 3: Cláusulas Contratuais-Tipo
Para transferências de Dados Pessoais para países fora do Espaço Económico Europeu que não beneficiem de uma decisão de adequação, as partes acordam que se aplicam as Cláusulas Contratuais-Tipo (Módulo Dois: Responsável pelo Tratamento para Subcontratante) adotadas pela Decisão de Execução da Comissão Europeia (UE) 2021/914 e que estas são incorporadas por referência.
As CCTs consideram-se preenchidas da seguinte forma:
Cláusula 7 (Cláusula de adesão): Não utilizada
Cláusula 9 (Utilização de subcontratantes): Aplica-se a Opção 2 (autorização escrita geral)
Cláusula 11 (Recurso): Redação opcional não utilizada
Cláusula 17 (Lei aplicável): Leis da Irlanda
Cláusula 18 (Escolha do foro): Tribunais da Irlanda
Contacto para questões de Proteção de Dados:
Firma.dev (1600 Holdings LLC) Email: Por e-mail em support@firma.dev
Ao utilizar o Serviço da Firma.dev, o Cliente reconhece e concorda com os termos deste Acordo de Tratamento de Dados.