Acordo de Processamento de Dados

Acordo de Processamento de Dados

Acordo de Processamento de Dados compatível com a GDPR para clientes da Firma.dev. Residência de dados na UE, lista de sub-processadores e medidas de segurança técnica.

Acordo de Processamento de Dados compatível com a GDPR para clientes da Firma.dev. Residência de dados na UE, lista de sub-processadores e medidas de segurança técnica.

Entre:

Firma (1600 Holdings LLC) ("Subcontratante" ou "Firma.dev")

E:

A entidade que aceita os Termos e Condições da Firma.dev ("Responsável pelo Tratamento" ou "Cliente")

Data de Eficácia: Após a aceitação, por parte do Cliente, dos Termos e Condições da Firma.dev

1. Definições

"Dados Pessoais" designa qualquer informação relativa a uma pessoa singular identificada ou identificável tratada pela Firma.dev em nome do Cliente através do Serviço.

"Titular dos Dados" designa uma pessoa singular identificada ou identificável cujos Dados Pessoais são tratados.

"Tratamento" designa qualquer operação efetuada sobre Dados Pessoais, por meios automatizados ou não, incluindo a recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.

"Subsubcontratante" designa qualquer terceiro contratado pela Firma.dev para tratar Dados Pessoais em nome do Cliente.

"Serviço" designa a API de assinatura eletrónica da Firma.dev e serviços relacionados, conforme descrito nos Termos e Condições.

"Cláusulas Contratuais-Tipo" ou "CCTs" designa as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679, conforme adotadas pela Comissão Europeia.

"RGPD" designa o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados).

2. Âmbito e Funções

2.1 Este Acordo de Tratamento de Dados (ATD) aplica-se sempre que a Firma.dev trate Dados Pessoais em nome do Cliente no âmbito do Serviço.

2.2 O Cliente atua como Responsável pelo Tratamento. O Cliente determina as finalidades e os meios de tratamento dos Dados Pessoais.

2.3 A Firma.dev atua como Subcontratante. A Firma.dev trata Dados Pessoais apenas mediante instruções documentadas do Cliente, conforme descrito neste ATD e nos Termos e Condições.

3. Detalhes do Tratamento de Dados

3.1 Categorias de Titulares dos Dados

  • Colaboradores, prestadores de serviços e utilizadores autorizados do Cliente

  • Signatários finais que interagem com documentos enviados através do Serviço

3.2 Tipos de Dados Pessoais

  • Nomes e endereços de email

  • Dados de assinatura (assinaturas desenhadas, digitadas ou carregadas)

  • Endereços IP e carimbos de data/hora

  • Conteúdo do documento (na medida em que contenha Dados Pessoais)

  • Informações de registo de auditoria (audit trail)

3.3 Atividades de Tratamento

  • Armazenamento e apresentação de documentos para assinatura

  • Captura e aplicação de assinaturas eletrónicas

  • Geração de registos de auditoria e certificados de conclusão

  • Envio de notificações de pedido de assinatura

  • Disponibilização de acesso à API e webhooks

3.4 Duração do Tratamento

A Firma.dev tratará os Dados Pessoais durante a vigência do contrato e conforme o necessário para o cumprimento de obrigações legais, conforme especificado na Política de Privacidade.

4. Obrigações da Firma.dev

A Firma.dev deve:

4.1 Tratar os Dados Pessoais apenas mediante instruções documentadas do Cliente, incluindo no que se refere às transferências de dados pessoais para países terceiros, salvo se a tal for obrigada pelo direito da União ou de um Estado-Membro. A Firma.dev informará o Cliente desse requisito legal antes do tratamento, a menos que a lei o proíba.

4.2 Assegurar que as pessoas autorizadas a tratar os Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade.

4.3 Implementar as medidas técnicas e organizativas adequadas, conforme descrito no Anexo 1 (Medidas Técnicas e Organizativas).

4.4 Respeitar as condições para a contratação de Subsubcontratantes, conforme descrito na Secção 6.

4.5 Prestar assistência ao Cliente, tendo em conta a natureza do tratamento, através de medidas técnicas e organizativas adequadas, para permitir ao Cliente cumprir a sua obrigação de responder aos pedidos dos Titulares dos Dados.

4.6 Prestar assistência ao Cliente no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação de que a Firma.dev dispõe.

4.7 Conforme opção do Cliente, apagar ou devolver todos os Dados Pessoais após a cessação da prestação do Serviço, exceto se a conservação dos dados for exigida pela legislação aplicável.

4.8 Disponibilizar ao Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e permitir e colaborar com as auditorias, conforme descrito na Secção 10.

5. Obrigações do Cliente

O Cliente deve:

5.1 Garantir que os Dados Pessoais são recolhidos e tratados em conformidade com as leis de proteção de dados aplicáveis, incluindo a obtenção de quaisquer consentimentos necessários ou a prestação dos avisos exigidos aos Titulares dos Dados.

5.2 Fornecer instruções documentadas à Firma.dev relativamente ao tratamento de Dados Pessoais.

5.3 Garantir que a utilização do Serviço por parte do Cliente cumpre todas as leis e regulamentos aplicáveis.

6. Subsubcontratantes

6.1 O Cliente autoriza a Firma.dev a contratar os Subsubcontratantes listados no Anexo 2 (Lista de Subsubcontratantes).

6.2 A Firma.dev informará o Cliente sobre quaisquer alterações planeadas relativas aos Subsubcontratantes através da atualização da Lista de Subsubcontratantes. O Cliente poderá opor-se a tais alterações no prazo de 30 dias a contar da notificação. Caso o Cliente se oponha e a Firma.dev não consiga razoavelmente acomodar a objeção, o Cliente poderá rescindir o Serviço afetado.

6.3 A Firma.dev celebrará contratos assinados por escrito com cada Subsubcontratante, impondo obrigações de proteção de dados não menos protetoras do que as previstas neste ATD.

6.4 A Firma.dev permanece totalmente responsável pelo desempenho dos seus Subsubcontratantes.

7. Transferências Internacionais

7.1 Residência de Dados na UE: Os dados dos documentos e signatários do Cliente são armazenados e tratados dentro da União Europeia. A infraestrutura principal da Firma.dev está localizada em AWS eu-west-3 (Paris, França), com serviços de CDN em AWS eu-north-1 (Estocolmo, Suécia). Dados Pessoais limitados, tais como nomes e endereços de email dos signatários, podem ser tratados por subsubcontratantes localizados fora da UE, conforme listado no Anexo 2, sujeitos a garantias adequadas nos termos da Secção 7.2. Os Clientes que exijam que todos os Dados Pessoais permaneçam na UE podem desativar os emails enviados pela Firma e utilizar a sua própria infraestrutura de envio de emails, conforme descrito na documentação de white-labeling.

7.2 Se a Firma.dev transferir Dados Pessoais para fora do Espaço Económico Europeu, a Firma.dev garantirá a existência de garantias adequadas, tais como as Cláusulas Contratuais-Tipo (CCTs) aprovadas pela Comissão Europeia.

7.3 Mediante solicitação, a Firma.dev celebrará CCTs com o Cliente para quaisquer transferências para países terceiros que não beneficiem de uma decisão de adequação.

8. Pedidos dos Titulares dos Dados

8.1 A Firma.dev notificará imediatamente o Cliente se receber um pedido de um Titular dos Dados para exercer os seus direitos ao abrigo do RGPD (acesso, retificação, apagamento, portabilidade, limitação ou oposição).

8.2 A Firma.dev não responderá diretamente aos pedidos dos Titulares dos Dados, a menos que seja autorizada pelo Cliente ou exigida por lei.

8.3 A Firma.dev prestará assistência razoável ao Cliente na resposta a tais pedidos, tendo em conta a natureza do tratamento.

9. Incidentes de Segurança

9.1 A Firma.dev notificará o Cliente sem demora injustificada (e, em qualquer caso, no prazo de 72 horas) após tomar conhecimento de uma violação de Dados Pessoais que afete os dados do Cliente.

9.2 A notificação deverá incluir, na medida do que for conhecido:

  • A natureza da violação, incluindo as categorias e o número aproximado de Titulares dos Dados afetados

  • As consequências prováveis da violação

  • As medidas adotadas ou propostas para mitigar a violação

9.3 A Firma.dev cooperará com o Cliente e tomará medidas razoáveis para auxiliar na investigação e mitigação de cada violação.

10. Auditorias

10.1 A Firma.dev disponibilizará ao Cliente as informações razoavelmente necessárias para demonstrar o cumprimento deste ATD. Esta obrigação será cumprida mediante o fornecimento de:

  • Documentação e políticas de segurança

  • Avaliações de segurança de terceiros, quando disponíveis

  • Questionários de segurança preenchidos

10.2 A Firma.dev não permite auditorias no local (on-site). Todos os pedidos de auditoria serão respondidos através de documentação, respostas por escrito e métodos de verificação remota, à discrição da Firma.dev.

10.3 Os pedidos de auditoria que vão além da documentação padrão (tais como questionários de segurança personalizados, revisões técnicas detalhadas ou chamadas com pessoal de segurança) estarão sujeitos a uma taxa de 500 € por pedido, paga antecipadamente.

10.4 Nada nesta Secção 10 obriga a Firma.dev a divulgar informações que possam comprometer a segurança dos seus sistemas, violar obrigações de confidencialidade com outros clientes ou violar a legislação aplicável.

11. Vigência e Rescisão

11.1 Este ATD entra em vigor após a aceitação dos Termos e Condições pelo Cliente e permanece em vigor durante toda a duração do tratamento de Dados Pessoais pela Firma.dev em nome do Cliente.

11.2 Após a rescisão do Serviço, a Firma.dev apagará ou devolverá os Dados Pessoais conforme especificado na Secção 4.7, sujeito aos requisitos legais de retenção de dados.

12. Lei Aplicável

Este ATD rege-se pelas leis especificadas nos Termos e Condições. Para assuntos relacionados com a conformidade com o RGPD, aplicam-se as disposições do RGPD e a legislação aplicável do Estado-Membro.

Anexo 1: Medidas Técnicas e Organizativas

A Firma.dev implementa as seguintes medidas para proteger os Dados Pessoais:

Controlo de Acesso

  • Chaves de API exclusivas por Cliente com permissões configuráveis

  • Os Workspaces (áreas de trabalho) do Cliente fornecem isolamento lógico entre os conjuntos de dados do Cliente

Encriptação

  • TLS 1.2 ou superior para todos os dados em trânsito

  • Encriptação AES-256 para dados em repouso

  • Ligações de base de dados encriptadas

Segurança da Infraestrutura

  • Alojado na AWS com residência de dados na UE (eu-west-3 Paris)

  • Segmentação de rede e proteção por firewall

  • Atualizações e correções de segurança regulares

  • Proteção contra DDoS através do AWS CloudFront

Monitorização e Registo (Logging)

  • Registos de auditoria abrangentes para todos os eventos de assinatura

  • Alertas automatizados para atividades anómalas

  • Retenção de registos (logs) para análise de segurança

Integridade dos Dados

  • Registos de auditoria invioláveis com selos criptográficos

  • Verificação de hash de documentos

  • Cópias de segurança (backups) automatizadas com recuperação num ponto específico do tempo (point-in-time recovery)

Resposta a Incidentes

  • Procedimentos documentados de resposta a incidentes

  • Compromisso de notificação de violação em 72 horas

Segurança do Pessoal

  • Acordos de confidencialidade para todo o pessoal

Continuidade de Negócio

  • Infraestrutura redundante dentro das regiões da UE

  • Testes regulares de cópias de segurança (backups)

Anexo 2: Lista de Subsubcontratantes

Subsubcontratante

Finalidade

Localização

Amazon Web Services (AWS)

Infraestrutura cloud, computação, armazenamento, CDN

UE (Paris, França - eu-west-3; Estocolmo, Suécia - eu-north-1)

Supabase

Serviços de base de dados (alojados na AWS)

UE (Paris, França - eu-west-3)

Resend

Envio de emails transacionais (emails de pedido de assinatura, lembrete e notificação). Trata nomes e endereços de email de signatários, bem como o conteúdo do email quando o Cliente personaliza os modelos. Pode ser removido da cadeia de tratamento ao desativar os emails da Firma por pedido de assinatura e utilizar a sua própria infraestrutura de envio de emails.

Estados Unidos (transferências ao abrigo de CCTs)

Jitbit

Gestão de suporte ao cliente (trata detalhes de contacto da equipa do Cliente e correspondência de suporte)

UE (Alemanha)

Última atualização: junho de 2026

O Cliente será notificado sobre alterações a esta lista via email enviado ao administrador da conta ou através do painel de controlo da Firma.dev.

Anexo 3: Cláusulas Contratuais-Tipo

Para transferências de Dados Pessoais para países fora do Espaço Económico Europeu que não beneficiem de uma decisão de adequação, as partes acordam que as Cláusulas Contratuais-Tipo (Módulo Dois: Responsável pelo Tratamento para Subcontratante) adotadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia serão aplicáveis e consideram-se incorporadas por referência.

As CCTs consideram-se preenchidas da seguinte forma:

  • Cláusula 7 (Cláusula de adesão): Não aplicável

  • Cláusula 9 (Utilização de subsubcontratantes): Aplica-se a Opção 2 (Autorização escrita geral)

  • Cláusula 11 (Vias de recurso): Disposição facultativa não aplicável

  • Cláusula 17 (Legislação aplicável): Leis da Irlanda

  • Cláusula 18 (Escolha do foro): Tribunais da Irlanda

Contacto para Dúvidas sobre Proteção de Dados:

Firma.dev (1600 Holdings LLC) Email: Por email em support@firma.dev

Ao utilizar o Serviço da Firma.dev, o Cliente reconhece e aceita os termos deste Acordo de Tratamento de Dados.