Acordo de Tratamento de Dados

Última atualização: 14 de junho de 2026

Este Acordo de Tratamento de Dados ("DPA") integra o acordo entre a GAPFY UNIPESSOAL LDA ("Gapfy", "Operador") e a organização cliente ("Cliente", "Controlador") que usa os nossos Serviços. Ele rege o tratamento, pela Gapfy, dos dados pessoais contidos nos Dados do Cliente em nome do Cliente e aplica-se em complemento aos nossos Termos de serviço e à nossa Política de privacidade. Para clientes de autoatendimento, este DPA é incorporado por referência aos Termos; uma cópia assinada por ambas as partes está disponível mediante solicitação em privacy@gapfy.io.

1. Definições

"RGPD" significa o Regulamento (UE) 2016/679. "Controlador", "Operador", "Suboperador", "Titular dos Dados", "Dados Pessoais", "Tratamento" e "Violação de Dados Pessoais" têm os significados atribuídos no RGPD. "Dados Pessoais do Cliente" significa os dados pessoais contidos nos Dados do Cliente que a Gapfy trata em nome do Cliente.

2. Papéis e âmbito

Em relação aos Dados Pessoais do Cliente, o Cliente é o Controlador e a Gapfy é o Operador. A Gapfy trata os Dados Pessoais do Cliente apenas para prestar e dar suporte aos Serviços e somente conforme as instruções documentadas do Cliente, incluindo as previstas neste DPA e nos Termos, salvo se exigido de outro modo pelo direito da UE ou de um Estado-Membro, caso em que a Gapfy informará o Cliente, exceto se essa lei o proibir. Quando a Gapfy determina as finalidades e os meios do tratamento (por exemplo, dados de conta, faturamento e segurança), atua como Controlador, nos termos da Política de privacidade.

3. Detalhes do tratamento (Anexo I)

• Objeto: prestação dos Serviços Gapfy assinados pelo Cliente.
• Duração: durante a vigência da assinatura, acrescida do prazo de eliminação e devolução previsto na seção 11.
• Natureza e finalidade: hospedagem, armazenamento, organização, recuperação, transmissão e eliminação dos Dados do Cliente na medida necessária para operar os Serviços.
• Tipos de dados pessoais: identificadores e dados de contato, conteúdo que o Cliente e os seus usuários criam nos Serviços, dados de uso e atividade, e quaisquer outros dados pessoais que o Cliente opte por submeter.
• Categorias de titulares dos dados: os usuários autorizados do Cliente e quaisquer pessoas cujos dados pessoais o Cliente inclua nos Dados do Cliente.

O Cliente não deve submeter categorias especiais de dados pessoais, salvo se tiver implementado salvaguardas adequadas, e é responsável pela licitude dos dados que submete.

4. Confidencialidade

A Gapfy assegura que as pessoas autorizadas a tratar os Dados Pessoais do Cliente estão sujeitas a deveres de confidencialidade e tratam os dados apenas conforme instruído.

5. Segurança (Anexo II)

A Gapfy implementa medidas técnicas e organizacionais adequadas nos termos do Article 32 GDPR, incluindo criptografia dos dados em trânsito e em repouso, controles de acesso e acesso de privilégio mínimo, isolamento de rede, registro e monitoramento, práticas seguras de desenvolvimento de software e revisão regular. Essas medidas estão descritas na nossa Política de privacidade e podem ser atualizadas à medida que a tecnologia evolui, desde que o nível de proteção não seja reduzido.

6. Suboperadores (Anexo III)

O Cliente autoriza a Gapfy a contratar os suboperadores listados na nossa página de Suboperadores. A Gapfy impõe a cada suboperador obrigações de proteção de dados não menos protetivas do que as deste DPA e permanece responsável pelo seu desempenho. A Gapfy dará aviso prévio de qualquer suboperador novo ou substituto; o Cliente pode opor-se por motivos razoáveis de proteção de dados, e as partes trabalharão de boa-fé para resolver a objeção.

7. Assistência aos direitos dos titulares dos dados

Tendo em conta a natureza do tratamento, a Gapfy assiste o Cliente com medidas técnicas e organizacionais adequadas, na medida do possível, para responder a solicitações de titulares dos dados que exerçam os seus direitos nos termos do Capítulo III do RGPD. Quando a Gapfy receber diretamente tal solicitação, encaminhará o titular dos dados ao Cliente.

8. Assistência em matéria de segurança, violações e avaliações de impacto

A Gapfy assiste o Cliente a assegurar a conformidade com os Articles 32 to 36 GDPR, tendo em conta a natureza do tratamento e as informações disponíveis à Gapfy.

9. Notificação de Violação de Dados Pessoais

A Gapfy notifica o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente, e fornece as informações que o Cliente razoavelmente necessite para cumprir as suas próprias obrigações de notificação.

10. Transferências internacionais

A Gapfy hospeda os Dados Pessoais do Cliente na União Europeia. Quando um suboperador transfere dados para fora do Espaço Econômico Europeu, a transferência baseia-se numa decisão de adequação ou nas Cláusulas Contratuais-Tipo da Comissão Europeia, com salvaguardas adicionais, conforme indicado na página de Suboperadores.

11. Devolução e eliminação

Na rescisão dos Serviços, e à escolha do Cliente, a Gapfy devolve ou elimina os Dados Pessoais do Cliente dentro de um prazo razoável, salvo se o direito da UE ou de um Estado-Membro exigir o seu armazenamento. O Cliente pode exportar os Dados do Cliente durante a assinatura e durante o período de exportação posterior à rescisão.

12. Auditorias

A Gapfy disponibiliza ao Cliente as informações necessárias para demonstrar a conformidade com o Article 28 GDPR e permite e contribui para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por um auditor por ele mandatado, mediante aviso prévio razoável e sujeito a confidencialidade.

13. Responsabilidade

A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações e exclusões previstas nos Termos ou em qualquer acordo assinado entre as partes.

14. Contato

Para solicitar um DPA assinado por ambas as partes ou para levantar uma questão sobre tratamento, entre em contato com privacy@gapfy.io.

Esta é uma tradução de cortesia. A versão em língua inglesa deste documento é a versão autorizada e juridicamente vinculativa.