Acordo de Tratamento de Dados

Última atualização: 14 de junho de 2026

O presente Acordo de Tratamento de Dados ("DPA") faz parte do acordo entre a GAPFY UNIPESSOAL LDA ("Gapfy", "Subcontratante") e a organização cliente ("Cliente", "Responsável pelo tratamento") que utiliza os nossos Serviços. Rege o tratamento, pela Gapfy, dos dados pessoais contidos nos Dados do Cliente por conta do Cliente e aplica-se em complemento dos nossos Termos de serviço e da nossa Política de privacidade. Para os clientes de autosserviço, este DPA é incorporado por referência nos Termos; uma cópia contra-assinada está disponível mediante pedido para privacy@gapfy.io.

1. Definições

"RGPD" designa o Regulamento (UE) 2016/679. "Responsável pelo tratamento", "Subcontratante", "Subcontratante ulterior", "Titular dos dados", "Dados Pessoais", "Tratamento" e "Violação de Dados Pessoais" têm os significados que lhes são atribuídos no RGPD. "Dados Pessoais do Cliente" designa os dados pessoais contidos nos Dados do Cliente que a Gapfy trata por conta do Cliente.

2. Papéis e âmbito

Relativamente aos Dados Pessoais do Cliente, o Cliente é o Responsável pelo tratamento e a Gapfy é o Subcontratante. A Gapfy trata os Dados Pessoais do Cliente apenas para prestar e dar suporte aos Serviços e apenas mediante as instruções documentadas do Cliente, incluindo as previstas no presente DPA e nos Termos, salvo se for obrigada a proceder de outro modo pelo direito da UE ou de um Estado-Membro, caso em que a Gapfy informará o Cliente, salvo se esse direito o proibir. Quando a Gapfy determina as finalidades e os meios do tratamento (por exemplo, dados de conta, de faturação e de segurança), atua como Responsável pelo tratamento ao abrigo da Política de privacidade.

3. Pormenores do tratamento (Anexo I)

• Objeto: prestação dos Serviços Gapfy subscritos pelo Cliente.
• Duração: durante a vigência da subscrição, acrescida do período de eliminação e devolução previsto na secção 11.
• Natureza e finalidade: alojamento, armazenamento, organização, recuperação, transmissão e eliminação dos Dados do Cliente na medida necessária para operar os Serviços.
• Tipos de dados pessoais: identificadores e dados de contacto, conteúdos que o Cliente e os seus utilizadores criam nos Serviços, dados de utilização e de atividade, e quaisquer outros dados pessoais que o Cliente opte por submeter.
• Categorias de titulares dos dados: os utilizadores autorizados do Cliente e quaisquer pessoas cujos dados pessoais o Cliente inclua nos Dados do Cliente.

O Cliente não deve submeter categorias especiais de dados pessoais, salvo se tiver implementado salvaguardas adequadas, sendo responsável pela licitude dos dados que submete.

4. Confidencialidade

A Gapfy assegura que as pessoas autorizadas a tratar os Dados Pessoais do Cliente estão vinculadas a dever de confidencialidade e tratam os dados apenas conforme instruído.

5. Segurança (Anexo II)

A Gapfy implementa medidas técnicas e organizativas adequadas ao abrigo do Article 32 GDPR, incluindo a cifragem dos dados em trânsito e em repouso, controlos de acesso e acesso de privilégio mínimo, isolamento de rede, registo e monitorização, práticas de desenvolvimento de software seguro e revisão periódica. Estas medidas estão descritas na nossa Política de privacidade e podem ser atualizadas à medida que a tecnologia evolui, desde que o nível de proteção não seja reduzido.

6. Subcontratantes ulteriores (Anexo III)

O Cliente autoriza a Gapfy a recorrer aos subcontratantes ulteriores enumerados na nossa página de Subcontratantes. A Gapfy impõe a cada subcontratante ulterior obrigações de proteção de dados não menos protetoras do que as do presente DPA e mantém-se responsável pelo seu desempenho. A Gapfy dará aviso prévio de qualquer subcontratante ulterior novo ou substituto; o Cliente pode opor-se com fundamentos razoáveis em matéria de proteção de dados, e as partes envidarão esforços de boa-fé para resolver a oposição.

7. Assistência no exercício dos direitos dos titulares dos dados

Tendo em conta a natureza do tratamento, a Gapfy assiste o Cliente, mediante medidas técnicas e organizativas adequadas e na medida do possível, na resposta aos pedidos dos titulares dos dados que exerçam os seus direitos ao abrigo do Capítulo III do RGPD. Quando a Gapfy receba diretamente um pedido desse tipo, remeterá o titular dos dados para o Cliente.

8. Assistência em matéria de segurança, violações e avaliações de impacto

A Gapfy assiste o Cliente na garantia do cumprimento dos Articles 32 to 36 GDPR, tendo em conta a natureza do tratamento e as informações disponíveis para a Gapfy.

9. Notificação de Violação de Dados Pessoais

A Gapfy notifica o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente, e fornece as informações de que o Cliente razoavelmente necessite para cumprir as suas próprias obrigações de notificação.

10. Transferências internacionais

A Gapfy aloja os Dados Pessoais do Cliente na União Europeia. Quando um subcontratante ulterior transfere dados para fora do Espaço Económico Europeu, a transferência assenta numa decisão de adequação ou nas Cláusulas Contratuais-Tipo da Comissão Europeia, com garantias adicionais, conforme indicado na página de Subcontratantes.

11. Devolução e eliminação

Em caso de cessação dos Serviços, e à escolha do Cliente, a Gapfy devolve ou elimina os Dados Pessoais do Cliente num prazo razoável, salvo se o direito da UE ou de um Estado-Membro exigir a sua conservação. O Cliente pode exportar os Dados do Cliente durante a subscrição e durante o período de exportação posterior à cessação.

12. Auditorias

A Gapfy disponibiliza ao Cliente as informações necessárias para demonstrar o cumprimento do Article 28 GDPR e permite e contribui para auditorias, incluindo inspeções, realizadas pelo Cliente ou por um auditor por este mandatado, mediante aviso prévio razoável e sob reserva de confidencialidade.

13. Responsabilidade

A responsabilidade de cada parte ao abrigo do presente DPA está sujeita às limitações e exclusões previstas nos Termos ou em qualquer acordo assinado entre as partes.

14. Contacto

Para solicitar um DPA contra-assinado ou colocar uma questão sobre o tratamento, contacte privacy@gapfy.io.

A versão em língua inglesa é a versão autêntica e juridicamente vinculativa deste documento. As traduções são disponibilizadas apenas para sua conveniência.