Acordo de Processamento de Dados
Data Processing Agreement (DPA)
Última actualização: 16 de Abril de 2026
1. Partes e Objecto
O presente Acordo de Processamento de Dados (“DPA”) é celebrado entre o Cliente (Responsável pelo Tratamento, doravante “Controlador”) e Andrade Carneiro Soluções em Construções Unipessoal LDA (Sub-processador, doravante “Processador”), e complementa os Termos e Condições de Utilização.
Este DPA regula o tratamento de dados pessoais pelo Processador em nome do Controlador no contexto da utilização da plataforma Gestão de Obra, nos termos do Artigo 28.º do RGPD (Regulamento UE 2016/679).
2. Definições
Os termos “dados pessoais”, “tratamento”, “responsável pelo tratamento”, “subcontratante” (processador), “titular dos dados” e “violação de dados pessoais” têm o significado que lhes é atribuído pelo RGPD. Termos em maiúsculas não definidos aqui têm o significado atribuído nos Termos e Condições de Utilização.
3. Âmbito do Tratamento
3.1. Natureza e finalidade: O Processador trata dados pessoais exclusivamente para efeitos de prestação do serviço SaaS contratado, incluindo armazenamento de dados de obras, gestão documental, processamento de orçamentos e extracção de dados com recurso a inteligência artificial.
3.2. Categorias de dados: Dados de identificação (nomes de contactos e clientes do Controlador), dados de contacto (emails, telefones), dados financeiros (valores de orçamentos, custos de obra), dados documentais (documentos carregados na Plataforma).
3.3. Categorias de titulares: Colaboradores, clientes, fornecedores e subempreiteiros do Controlador cujos dados sejam introduzidos na Plataforma.
3.4. Duração: O tratamento persiste durante a vigência da relação contratual e pelo período de retenção definido nos Termos (30 dias após cancelamento para exportação).
4. Obrigações do Processador
O Processador compromete-se a:
4.1. Tratar os dados pessoais apenas de acordo com as instruções documentadas do Controlador, incluindo no que diz respeito a transferências de dados para países terceiros, salvo obrigação legal em contrário (Art. 28.º, n.º 3, al. a) RGPD).
4.2. Garantir que as pessoas autorizadas a tratar dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a adequadas obrigações legais de sigilo (Art. 28.º, n.º 3, al. b) RGPD).
4.3. Adoptar todas as medidas técnicas e organizativas adequadas, nos termos do Artigo 32.º do RGPD, para garantir um nível de segurança adequado ao risco.
4.4. Respeitar as condições para recorrer a sub-processadores, conforme previsto na cláusula 6 do presente DPA (Art. 28.º, n.º 2 e 4 RGPD).
4.5. Assistir o Controlador, por meios técnicos e organizativos adequados, no cumprimento da obrigação de dar resposta aos pedidos de exercício de direitos dos titulares (Art. 28.º, n.º 3, al. e) RGPD).
4.6. Auxiliar o Controlador no cumprimento das obrigações previstas nos Artigos 32.º a 36.º do RGPD (segurança, notificação de violações, avaliação de impacto e consulta prévia).
4.7. Após o término da prestação de serviços, eliminar ou devolver todos os dados pessoais, de acordo com a escolha do Controlador, e eliminar as cópias existentes, salvo obrigação legal de conservação (Art. 28.º, n.º 3, al. g) RGPD).
4.8. Disponibilizar ao Controlador toda a informação necessária para demonstrar o cumprimento das obrigações previstas no Artigo 28.º, e facilitar e contribuir para as auditorias e inspecções realizadas pelo Controlador ou por outro auditor mandatado pelo Controlador (Art. 28.º, n.º 3, al. h) RGPD).
5. Medidas Técnicas e Organizativas
O Processador implementa, no mínimo, as seguintes medidas de segurança:
Encriptação: TLS 1.3 para dados em trânsito; AES-256 para dados em repouso.
Isolamento de dados: Arquitectura multi-tenant com Row Level Security (RLS) ao nível da base de dados, garantindo que cada Controlador apenas acede aos seus próprios dados.
Controlo de acesso: RBAC (Role-Based Access Control) com quatro níveis de permissão (super_admin, admin, gestor, viewer). Autenticação com hash seguro de palavras-passe.
Backups: Backups automáticos diários com encriptação e retenção de 30 dias.
Monitorização: Registo de acessos e acções na Plataforma. Monitorização contínua de disponibilidade e segurança.
Gestão de vulnerabilidades: Actualizações regulares de dependências e infraestrutura. Revisão periódica de configurações de segurança.
6. Sub-processadores
6.1. O Controlador concede autorização geral ao Processador para recorrer a sub-processadores, nos termos do Art. 28.º, n.º 2 do RGPD.
6.2. O Processador informará o Controlador de quaisquer alterações na lista de sub-processadores com, pelo menos, 15 (quinze) dias de antecedência, conferindo ao Controlador a possibilidade de se opor.
6.3. Lista actual de sub-processadores:
| Sub-processador | Finalidade | Localização | Garantias |
|---|---|---|---|
| Supabase (Hetzner) | Base de dados, autenticação, armazenamento | UE (Alemanha) | Adequação UE |
| Vercel (AWS) | Alojamento da aplicação | UE / EUA | SCCs |
| Stripe, Inc. | Processamento de pagamentos | EUA | EU-US DPF + SCCs |
| OpenAI, Inc. | Processamento IA de documentos | EUA | SCCs + DPA próprio |
| Resend, Inc. | Envio de emails transaccionais | EUA | SCCs |
6.4. O Processador celebrará com cada sub-processador um acordo que imponha obrigações de protecção de dados equivalentes às previstas no presente DPA.
7. Transferências Internacionais
7.1. Quando os dados forem transferidos para fora do EEE, o Processador assegurará que existem garantias adequadas nos termos do Capítulo V do RGPD, nomeadamente: decisões de adequação (Art. 45.º), cláusulas contratuais-tipo aprovadas pela Comissão Europeia (Art. 46.º, n.º 2, al. c)), ou o EU-US Data Privacy Framework.
7.2. O Controlador pode solicitar cópia das garantias aplicáveis contactando andradecarneiroconstrucoes@gmail.com.
8. Notificação de Violações de Dados
8.1. O Processador notificará o Controlador sem demora injustificada, e em qualquer caso no prazo máximo de 48 (quarenta e oito) horas, após tomar conhecimento de uma violação de dados pessoais.
8.2. A notificação incluirá, no mínimo: a natureza da violação, as categorias e número aproximado de titulares afectados, as consequências prováveis, e as medidas adoptadas ou propostas para mitigar os efeitos.
8.3. O Processador cooperará com o Controlador na investigação e mitigação da violação, e na preparação de quaisquer notificações à autoridade de controlo (CNPD) e aos titulares.
9. Direitos dos Titulares
9.1. O Processador auxiliará o Controlador a responder a pedidos de exercício de direitos dos titulares (acesso, rectificação, apagamento, limitação, portabilidade, oposição), fornecendo funcionalidades de exportação de dados na Plataforma e cooperando em solicitações específicas.
9.2. Caso o Processador receba directamente um pedido de um titular, reencaminhará o pedido ao Controlador sem demora injustificada.
10. Auditorias
10.1. O Processador disponibilizará ao Controlador toda a informação necessária para demonstrar o cumprimento das obrigações do Art. 28.º do RGPD.
10.2. O Controlador, ou auditor mandatado por este, pode realizar auditorias mediante aviso prévio razoável de 30 (trinta) dias, em horário comercial, e sem perturbar a normal operação do serviço.
10.3. Os custos da auditoria são suportados pelo Controlador, salvo se a auditoria revelar incumprimento material por parte do Processador.
11. Devolução e Eliminação de Dados
11.1. Após o término do contrato, o Controlador dispõe de 30 (trinta) dias para exportar os seus dados através das funcionalidades da Plataforma.
11.2. Findo o período de exportação, o Processador eliminará todos os dados pessoais do Controlador dos seus sistemas activos no prazo de 30 (trinta) dias. Cópias em backups serão eliminadas no ciclo normal de rotação (máximo 90 dias).
11.3. A pedido do Controlador, o Processador emitirá certificado de eliminação dos dados.
12. Responsabilidade
A responsabilidade de cada parte ao abrigo do presente DPA está sujeita às limitações previstas nos Termos e Condições de Utilização.
13. Vigência
O presente DPA entra em vigor na data de aceitação dos Termos e Condições de Utilização e mantém-se em vigor enquanto o Processador tratar dados pessoais em nome do Controlador. As obrigações de confidencialidade e as cláusulas relativas à eliminação de dados sobrevivem ao término do DPA.
14. Lei Aplicável
O presente DPA rege-se pela lei portuguesa e pelo RGPD. Para a resolução de litígios, aplica-se a cláusula de jurisdição prevista nos Termos e Condições de Utilização (tribunais da comarca de Cascais).
15. Contacto
Para questões relativas ao processamento de dados:
Andrade Carneiro Soluções em Construções Unipessoal LDA
Rua Sampaio Bruno 89 CvA, Parede, Cascais, Portugal
Email: andradecarneiroconstrucoes@gmail.com
Telefone: +351 937 472 802