Acordo de Tratamento de Dados (DPA)
Anexo aos Termos de Utilização do ESGSimple — subcontratação ao abrigo do artigo 28.º do RGPD.
Entre:
(1) O Utilizador — o contabilista certificado ou entidade que utiliza o ESGSimple e que carrega na plataforma dados pessoais relativos aos seus próprios clientes (adiante, o «Responsável pelo Tratamento» ou «Responsável»); e
(2) Dinastia Diligente Unipessoal, Lda., pessoa coletiva n.º 515 009 970, com sede na Rua António França Borges, n.º 16, 1.º esq., 2625-187 Póvoa de Santa Iria, Portugal, operadora do serviço ESGSimple (adiante, o «Subcontratante»).
Este Acordo regula o tratamento de dados pessoais efetuado pelo Subcontratante por conta do Responsável, nos termos do artigo 28.º, n.º 3, do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019. Faz parte integrante dos Termos de Utilização e prevalece sobre estes em caso de conflito quanto à proteção de dados.
Cláusula 1 — Âmbito e papéis das Partes
1.1. Relativamente aos dados pessoais dos clientes finais do Responsável carregados ou gerados na plataforma (designadamente nome, NIF, CAE, dimensão, distrito e os diagnósticos ESG associados), o Responsável é o responsável pelo tratamento e o Subcontratante atua como subcontratante, tratando esses dados exclusivamente por conta e segundo as instruções do Responsável.
1.2. Esclarece-se que, quanto aos dados da conta do próprio Responsável (email, nome, número de membro da OCC, dados de faturação), o Subcontratante atua como responsável pelo tratamento autónomo, regendo-se esse tratamento pela Política de Privacidade do ESGSimple e não pelo presente Acordo.
1.3. Os ficheiros financeiros originais carregados pelo Responsável (SAF-T, IES, balancete, PDF, mapas de pessoal, etc.) são processados localmente no navegador do Responsável e, em regra, não são transmitidos aos servidores do Subcontratante, salvo o disposto na Cláusula 6 (funcionalidades de IA).
Cláusula 2 — Objeto e duração do tratamento
2.1. O objeto, a natureza e a finalidade do tratamento, os tipos de dados pessoais e as categorias de titulares constam do Anexo I.
2.2. O tratamento mantém-se durante a vigência dos Termos de Utilização. Após a cessação, aplica-se a Cláusula 8.
Cláusula 3 — Instruções do Responsável
3.1. O Subcontratante trata os dados pessoais apenas com base em instruções documentadas do Responsável, incluindo quanto a transferências internacionais, salvo obrigação legal da UE ou de um Estado-Membro; nesse caso, o Subcontratante informa o Responsável antes do tratamento, salvo proibição legal (RGPD art. 28.º, n.º 3, al. a)).
3.2. A aceitação destes Termos, a configuração da conta e a utilização normal das funcionalidades do ESGSimple constituem as instruções documentadas iniciais do Responsável.
3.3. O Subcontratante informa imediatamente o Responsável se considerar que uma instrução viola o RGPD, a Lei n.º 58/2019 ou outra disposição de proteção de dados.
Cláusula 4 — Obrigações e garantias do Responsável
4.1. O Responsável garante que dispõe de fundamento de licitude válido (artigo 6.º do RGPD) e, se aplicável, de condição do artigo 9.º, para todos os dados pessoais que carrega ou submete na plataforma.
4.2. Dados de terceiros. O Responsável reconhece que pode submeter dados pessoais relativos a terceiros (designadamente trabalhadores ou representantes dos seus clientes, incluindo através de mapas de pessoal ou da funcionalidade de «análise profunda»). O Responsável garante que tem fundamento de licitude e cumpre os deveres de informação perante esses titulares, e que o uso das funcionalidades de IA (Cláusula 6) está coberto por esse fundamento. O Responsável indemniza o Subcontratante por reclamações de terceiros resultantes do incumprimento desta garantia.
4.3. O Responsável é responsável pela exatidão dos dados que introduz e pela legitimidade das suas instruções.
Cláusula 5 — Obrigações do Subcontratante (RGPD art. 28.º, n.º 3)
O Subcontratante obriga-se a:
(a) Confidencialidade — assegurar que as pessoas autorizadas a tratar os dados estão sujeitas a dever de confidencialidade (legal ou contratual).
(b) Segurança — implementar as medidas técnicas e organizativas adequadas previstas no artigo 32.º do RGPD, descritas no Anexo II.
(c) Subcontratação — recorrer a outros subcontratantes apenas nos termos da Cláusula 6, com autorização do Responsável e impondo-lhes, por contrato, obrigações de proteção de dados equivalentes às do presente Acordo.
(d) Direitos dos titulares — auxiliar o Responsável, com medidas técnicas e organizativas adequadas e na medida do possível, a responder a pedidos de exercício de direitos (Capítulo III do RGPD — acesso, retificação, apagamento, portabilidade, limitação, oposição).
(e) Apoio em segurança e violações — auxiliar o Responsável a cumprir os artigos 32.º a 36.º, designadamente notificando o Responsável sem demora injustificada após ter conhecimento de uma violação de dados pessoais, com a informação razoavelmente disponível.
(f) Devolução/eliminação — após o fim da prestação, eliminar ou devolver os dados, nos termos da Cláusula 8.
(g) Auditoria — disponibilizar ao Responsável as informações necessárias para demonstrar o cumprimento do artigo 28.º e permitir e contribuir para auditorias, incluindo inspeções, nos termos da Cláusula 10.
Cláusula 6 — Subcontratantes ulteriores e funcionalidades de IA
6.1. O Responsável autoriza o recurso aos subcontratantes ulteriores listados no Anexo III.
6.2. O Subcontratante informará o Responsável de qualquer alteração (adição ou substituição) de subcontratantes ulteriores com antecedência razoável, podendo o Responsável opor-se por motivo fundado relacionado com proteção de dados; em caso de oposição não resolvida, o Responsável pode resolver o contrato.
6.3. Funcionalidades de IA. Quando o Responsável ativa o «Relatório IA» (modo básico) ou a «análise profunda», dados pessoais são transmitidos à Anthropic PBC (EUA) na qualidade de subcontratante ulterior, nos termos do Anexo III e da Cláusula 7. A ativação destas funcionalidades constitui instrução expressa do Responsável para essa transmissão.
Cláusula 7 — Transferências internacionais
7.1. As transferências de dados pessoais para fora do EEE realizam-se apenas mediante uma das garantias adequadas do Capítulo V do RGPD — em especial as Cláusulas Contratuais-Tipo da Comissão Europeia (artigo 46.º) e/ou, quando aplicável, a certificação ao abrigo do EU-US Data Privacy Framework.
7.2. Os subcontratantes ulteriores estabelecidos em países terceiros e as respetivas garantias constam do Anexo III. As transferências para a Anthropic PBC (EUA) realizam-se ao abrigo das Cláusulas Contratuais-Tipo da UE (Módulos 2 e 3), automaticamente incorporadas no DPA da Anthropic (em vigor desde 01-01-2026), aceite com os Termos Comerciais da Anthropic.
Cláusula 8 — Devolução e eliminação
8.1. Cessada a prestação, o Subcontratante elimina os dados pessoais tratados por conta do Responsável no prazo de 30 dias, salvo se o Responsável solicitar a devolução em formato estruturado (JSON) antes desse prazo.
8.2. O Subcontratante pode conservar dados na medida e pelo período exigidos por obrigação legal (designadamente faturas, conservadas 10 anos por imposição fiscal portuguesa), aplicando-se a esses dados as garantias do presente Acordo enquanto durar a conservação.
Cláusula 9 — Responsabilidade
9.1. Cada Parte responde pelos danos causados pelo tratamento que violem o RGPD, nos termos do artigo 82.º. A responsabilidade entre as Partes rege-se pelos respetivos papéis e pelo presente Acordo, sem prejuízo do disposto na Cláusula 4.2.
Cláusula 10 — Auditoria
10.1. O Subcontratante responde a pedidos razoáveis de informação do Responsável destinados a demonstrar conformidade. Auditorias presenciais limitam-se a uma por ano, mediante pré-aviso de 30 dias, em horário laboral, sem comprometer a segurança ou a confidencialidade de outros clientes; os custos são suportados pelo Responsável, salvo se a auditoria revelar incumprimento material.
Cláusula 11 — Lei aplicável e foro
11.1. O presente Acordo rege-se pela lei portuguesa. Para a resolução de litígios é competente o foro da comarca da sede do Subcontratante, sem prejuízo de normas imperativas de proteção do consumidor ou de competência.
11.2. Os titulares de dados podem apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD).
Anexo I — Descrição do tratamento
| Objeto | Armazenamento e processamento de dados de clientes finais para diagnóstico ESG, comparação setorial e correspondência de financiamento |
| Natureza e finalidade | Prestação do serviço SaaS ESGSimple por conta do Responsável |
| Duração | Enquanto vigorarem os Termos de Utilização (ver Cláusula 8) |
| Categorias de titulares | Clientes finais do Responsável e respetivos representantes/trabalhadores cujos dados constem dos documentos submetidos |
| Tipos de dados | Nome, NIF, CAE, dimensão, distrito; métricas e respostas do diagnóstico ESG; em modo «análise profunda», texto extraído de documentos financeiros (que pode conter dados de trabalhadores) |
| Categorias especiais (Art. 9.º) | Não previstas. Caso surjam, exigem instrução específica e avaliação adicional. |
Anexo II — Medidas técnicas e organizativas (RGPD art. 32.º)
- Arquitetura local-first: os documentos originais são processados no navegador do Responsável e não são, em regra, carregados nos servidores.
- Cifragem: dados em trânsito (TLS/HTTPS) e em repouso (cifragem ao nível da base de dados Supabase).
- Localização na UE: base de dados e autenticação alojadas na União Europeia (Irlanda, eu-west-1).
- Controlo de acessos: autenticação; princípio do menor privilégio; acesso restrito a pessoal autorizado sob confidencialidade.
- Apagamento em cascata (cascade delete): a eliminação da conta apaga de imediato perfil, clientes e diagnósticos associados.
- Minimização: apenas as métricas extraídas, e não os ficheiros originais, podem ficar guardadas (em snapshots criados pelo Responsável).
- Registo de consentimento das funcionalidades de IA: registado localmente, com marca temporal.
- Controlo de acessos ao nível dos dados: Row-Level Security (RLS) ativa em todas as tabelas com dados pessoais, com acesso restrito ao titular da conta; chaves de serviço usadas apenas no servidor.
- Autenticação: email/palavra-passe e ligação mágica; autenticação multifator (MFA) disponível e ativável na conta de administração.
- Backups: geridos pela infraestrutura (Supabase), cópias diárias; retenção e point-in-time conforme o plano.
- Registos (logs): registos de plataforma geridos pela infraestrutura (Supabase); sem auditoria aplicacional dedicada à data.
- Gestão de incidentes: notificação ao Responsável sem demora injustificada (Cláusula 5(e)).
Anexo III — Subcontratantes ulteriores autorizados
| Subcontratante | Função | Localização | Garantia de transferência |
|---|---|---|---|
| Supabase | Base de dados e autenticação | UE (Irlanda, eu-west-1) | Tratamento na UE; DPA do fornecedor |
| Resend | Envio de emails transacionais | EUA (api.resend.com) | SCCs UE (DPA do fornecedor) — transferência para fora do EEE |
| Anthropic PBC | Geração do «Relatório IA» / análise profunda (opt-in) | EUA (API direta: us/global; sem residência UE) | SCCs UE (Módulos 2 e 3) no DPA da Anthropic (eff. 01-01-2026). Retenção por defeito até 30 dias salvo addendum ZDR. |
| Stripe | Processamento de pagamentos (via merchant of record) | UE/EUA | DPA do fornecedor + SCCs; nunca acede ao número do cartão |
| Netlify | Alojamento do site | Servidores na UE | DPA do fornecedor; SCCs se aplicável |
| Plausible | Analytics agregadas (sem cookies) | Alemanha (UE) | Tratamento na UE |
v0.2 · 3 de junho de 2026 · Documento anexo aos Termos de Utilização. Recomenda-se revisão por advogado antes de utilização comercial alargada.