Acordo de Tratamento de Dados (DPA)

1.Partes, natureza e aceitação

1. Publiweb360 é uma marca nacional n.º 768724, com registo requerido junto do INPI, de Marçal, Unipessoal Lda, pessoa coletiva n.º 519316916, com sede em Cruz da Popa, 2645-449 Alcabideche, Portugal (adiante, «Publiweb360»).

2. O «Cliente» é a pessoa singular ou coletiva que cria e mantém uma Conta na plataforma de CRM disponibilizada pela Publiweb360 (a «Plataforma»), nos termos definidos nos Termos e Condições (os «Termos»). Para efeitos do presente Acordo, o Cliente atua na qualidade de responsável pelo tratamento, na aceção do artigo 4.º, ponto 7, do RGPD, determinando as finalidades e os meios do tratamento dos Dados do Cliente; a Publiweb360 atua na qualidade de subcontratante, na aceção do artigo 4.º, ponto 8, do RGPD, tratando os Dados do Cliente por conta deste.

3. Caso o Cliente atue, ele próprio, na qualidade de subcontratante por conta de um terceiro responsável pelo tratamento, o Cliente garante que dispõe das autorizações e instruções necessárias para contratar a Publiweb360 como subcontratante ulterior, mantendo-se, perante a Publiweb360, como única contraparte e ponto de contacto para todos os efeitos do presente Acordo.

4. O presente Acordo é aceite pelo Cliente juntamente com os Termos, no momento do registo da Conta, de que faz parte integrante, não carecendo de assinatura autónoma. A criação da Conta e a utilização da Plataforma pressupõem e confirmam a aceitação do Acordo.

5. Em caso de contradição entre o presente Acordo e os Termos ou qualquer outro documento contratual entre as partes, o presente Acordo prevalece em tudo o que respeite ao tratamento de dados pessoais abrangido pelo seu objeto.

6. O Acordo tem por referência as cláusulas contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/915 da Comissão, adaptadas à natureza, ao contexto e às finalidades do tratamento realizado através da Plataforma.

2.Definições

1. Os termos utilizados no presente Acordo com inicial maiúscula e não definidos nesta cláusula têm o significado que lhes é atribuído no artigo 4.º do RGPD ou, subsidiariamente, nos Termos. Em particular, os conceitos de «dados pessoais», «tratamento», «responsável pelo tratamento», «subcontratante», «titular dos dados», «destinatário» e «autoridade de controlo» têm o sentido que lhes é dado pelo RGPD.

2. «Dados do Cliente»: os dados pessoais, independentemente da sua origem ou suporte, que sejam carregados, inseridos, recolhidos, gerados ou de outro modo submetidos a tratamento na Plataforma por conta do Cliente, no âmbito da utilização dos Serviços, conforme descritos no Anexo I.

3. «Sub-subcontratante»: qualquer terceiro contratado pela Publiweb360, ao abrigo da Cláusula 7, para executar, por conta do Cliente, operações de tratamento específicas sobre os Dados do Cliente.

4. «Violação de Dados»: uma violação de dados pessoais, na aceção do artigo 4.º, ponto 12, do RGPD, que afete os Dados do Cliente, isto é, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a Dados do Cliente transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

5. «Plataforma», «Serviços», «Conta» e «Plano»: os conceitos definidos nos Termos, designadamente a plataforma de CRM disponibilizada pela Publiweb360 e o conjunto de funcionalidades a que o Cliente tem acesso em função do Plano contratado.

6. «EEE»: o Espaço Económico Europeu. «DPF»: o EU-US Data Privacy Framework, objeto da decisão de adequação adotada pela Comissão Europeia ao abrigo do artigo 45.º do RGPD. «Cláusulas Contratuais-Tipo» ou «SCC»: as cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros aprovadas pela Comissão Europeia ao abrigo do artigo 46.º, n.º 2, do RGPD.

3.Objeto, duração, natureza e finalidade do tratamento

1. O presente Acordo tem por objeto o tratamento de Dados do Cliente efetuado pela Publiweb360, por conta do Cliente, na medida do necessário à disponibilização da Plataforma e à prestação dos Serviços.

2. O Acordo vigora durante todo o período de vigência da Conta e mantém-se em vigor, após a cessação desta, durante o período necessário ao cumprimento das obrigações de devolução e eliminação previstas na Cláusula 12, bem como de quaisquer obrigações que, pela sua natureza, devam sobreviver à cessação.

3. A natureza do tratamento compreende, designadamente, as seguintes operações: recolha (incluindo através de formulários e integrações configurados pelo Cliente), registo, organização, estruturação, conservação, adaptação, consulta, utilização, transmissão (incluindo o envio de comunicações em nome do Cliente), interconexão, limitação, apagamento e destruição dos Dados do Cliente.

4. A finalidade do tratamento é a disponibilização do CRM e das respetivas funcionalidades ao Cliente — incluindo as funcionalidades de automação e de inteligência artificial do Agente 360 que o Cliente ative —, abrangendo, conforme o Plano contratado: gestão de contactos e oportunidades; envio e receção de comunicações (designadamente por correio eletrónico, mensagens e outros canais configurados pelo Cliente); automações e fluxos de trabalho; criação, execução e medição de campanhas; agendamentos; páginas e formulários de captação; e funcionalidades de relatório e análise associadas.

5. A descrição detalhada do tratamento, incluindo as categorias de titulares dos dados e as categorias de dados pessoais, consta do Anexo I, que faz parte integrante do presente Acordo.

6. A duração do tratamento corresponde ao período de vigência da Conta, acrescido do período pós-cessação previsto na Cláusula 12.

4.Obrigações da Publiweb360 enquanto subcontratante

1. A Publiweb360, enquanto subcontratante, obriga-se, nos termos do artigo 28.º, n.º 3, do RGPD e em linha com as cláusulas-tipo da Decisão de Execução (UE) 2021/915, ao seguinte:

2. (a) Instruções — trata os Dados do Cliente exclusivamente mediante instruções documentadas do Cliente, constituindo a configuração e a utilização da Plataforma pelo Cliente instruções para este efeito, salvo se estiver obrigada a tratamento diverso por força do direito da União Europeia ou de um Estado-Membro a que esteja sujeita; nesse caso, informa o Cliente desse requisito jurídico antes do tratamento, a menos que a lei o proíba por motivos importantes de interesse público.

3. (b) Confidencialidade — assegura que as pessoas autorizadas a tratar os Dados do Cliente assumiram um compromisso de confidencialidade adequado ou estão sujeitas a obrigações legais ou estatutárias de confidencialidade apropriadas, nos termos desenvolvidos na Cláusula 6.

4. (c) Segurança — adota todas as medidas técnicas e organizativas exigidas pelo artigo 32.º do RGPD, tendo em conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares; essas medidas encontram-se descritas no Anexo II.

5. (d) Sub-subcontratação — respeita as condições previstas na Cláusula 7 para contratar Sub-subcontratantes, impondo-lhes, por contrato, obrigações em matéria de proteção de dados substancialmente equivalentes às que para si resultam do presente Acordo, e responde perante o Cliente pelo cumprimento das obrigações dos Sub-subcontratantes.

6. (e) Direitos dos titulares — tendo em conta a natureza do tratamento, presta ao Cliente, na medida do possível, assistência através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos direitos previstos no Capítulo III do RGPD, nos termos desenvolvidos na Cláusula 10.

7. (f) Assistência e notificação de violações — presta assistência ao Cliente no cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação ao seu dispor, e notifica o Cliente, sem demora injustificada, após ter conhecimento de uma Violação de Dados, nos termos desenvolvidos na Cláusula 9.

8. (g) Devolução e apagamento — consoante a escolha do Cliente, apaga ou devolve-lhe todos os Dados do Cliente depois de concluída a prestação dos Serviços, apagando as cópias existentes, a menos que o direito da União Europeia ou de um Estado-Membro exija a sua conservação, nos termos desenvolvidos na Cláusula 12.

9. (h) Demonstração de cumprimento e auditorias — disponibiliza ao Cliente as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e no presente Acordo, e facilita e contribui para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor por este mandatado, privilegiando-se, como primeiro meio de demonstração, a disponibilização de relatórios, certificações e descrições das medidas implementadas, nos termos desenvolvidos na Cláusula 11.

10. A Publiweb360 não trata os Dados do Cliente para fins próprios, não os vende, não os cede a terceiros para fins de marketing e não os utiliza para finalidades distintas da prestação dos Serviços, do cumprimento do presente Acordo e do cumprimento de obrigações legais a que esteja sujeita.

11. A Publiweb360 informa imediatamente o Cliente se, no seu entender, alguma instrução deste violar o RGPD ou outras disposições do direito da União Europeia ou de um Estado-Membro em matéria de proteção de dados.

5.Instruções do Cliente

1. Constituem instruções documentadas do Cliente, para efeitos do artigo 28.º, n.º 3, alínea a), do RGPD: (i) o presente Acordo e os seus Anexos; (ii) os Termos; (iii) a configuração e a utilização da Plataforma e das suas funcionalidades pelo Cliente e pelos utilizadores da sua Conta, incluindo a parametrização de automações, campanhas, integrações e fluxos de comunicação; e (iv) quaisquer instruções adicionais escritas transmitidas pelo Cliente e aceites pela Publiweb360.

2. As instruções adicionais devem ser dirigidas a contacto@publiweb360.com. Caso uma instrução adicional exceda o âmbito das funcionalidades da Plataforma ou exija desenvolvimentos, configurações ou recursos não previstos no Plano contratado, a Publiweb360 informará o Cliente da sua viabilidade e, sendo o caso, dos custos razoáveis associados, não estando obrigada a executá-la antes de obtido acordo escrito sobre essas condições.

3. Se a Publiweb360 considerar que uma instrução do Cliente viola o RGPD ou outra disposição aplicável em matéria de proteção de dados, informará o Cliente sem demora injustificada, podendo suspender a execução da instrução em causa até que o Cliente a confirme, altere ou retire. A suspensão fundada neste número não constitui incumprimento do presente Acordo.

4. O Cliente garante que: (i) o tratamento dos Dados do Cliente que determina através da Plataforma assenta num fundamento de licitude válido nos termos do artigo 6.º do RGPD e, quando aplicável, das regras relativas a comunicações eletrónicas; (ii) prestou aos titulares dos dados a informação exigida pelos artigos 13.º e 14.º do RGPD; e (iii) as suas instruções, incluindo a configuração da Plataforma, são conformes com a legislação aplicável. A Publiweb360 não verifica nem é responsável pela licitude das finalidades e dos fundamentos do tratamento determinados pelo Cliente.

6.Confidencialidade

1. A Publiweb360 assegura que o acesso aos Dados do Cliente é limitado às pessoas que dele necessitem para a execução do presente Acordo e a prestação dos Serviços, na estrita medida do necessário (princípio da necessidade de conhecer).

2. As pessoas autorizadas a tratar os Dados do Cliente — incluindo trabalhadores, prestadores e colaboradores da Publiweb360 — estão vinculadas a obrigações de confidencialidade adequadas, de natureza contratual ou estatutária, que abrangem a proibição de utilização, divulgação ou reprodução dos Dados do Cliente fora do âmbito das suas funções.

3. As obrigações de confidencialidade previstas nesta cláusula mantêm-se em vigor após a cessação das funções das pessoas em causa e após a cessação do presente Acordo, enquanto subsistir o interesse legítimo na proteção da informação.

4. A Publiweb360 sensibiliza e forma as pessoas autorizadas quanto às suas obrigações em matéria de proteção de dados e segurança da informação, nos termos descritos no Anexo II.

7.Sub-subcontratação

1. O Cliente concede à Publiweb360 uma autorização geral, na aceção do artigo 28.º, n.º 2, do RGPD, para contratar Sub-subcontratantes pertencentes às categorias identificadas no Anexo III, para a execução de operações específicas de tratamento dos Dados do Cliente.

2. A Plataforma assenta, designadamente, na infraestrutura de um fornecedor de infraestrutura de CRM e comunicações com servidores nos Estados Unidos da América, ao abrigo do EU-US Data Privacy Framework e/ou cláusulas contratuais-tipo aprovadas pela Comissão Europeia, vinculado por acordo de tratamento de dados, integrado na primeira categoria do Anexo III.

3. A Publiweb360 informará o Cliente, por meio adequado — designadamente por correio eletrónico para o endereço associado à Conta ou por aviso na Plataforma —, de qualquer alteração pretendida ao Anexo III que envolva o aditamento ou a substituição de categorias de Sub-subcontratantes ou alterações relevantes dentro de uma categoria, dando assim ao Cliente a oportunidade de se opor a essas alterações.

4. O Cliente pode opor-se, de forma fundamentada em motivos razoáveis relacionados com a proteção de dados, à alteração comunicada, no prazo de quinze (15) dias a contar da comunicação. Em caso de oposição, as partes procurarão, de boa-fé, uma solução razoável; não sendo tal possível, o Cliente pode fazer cessar a Conta, ou a parte dos Serviços afetada pela alteração, nos termos previstos nos Termos, sem que a Publiweb360 fique obrigada a manter uma configuração de Sub-subcontratantes específica para o Cliente. A ausência de oposição no prazo indicado vale como aceitação da alteração.

5. A Publiweb360 impõe a cada Sub-subcontratante, mediante contrato escrito (incluindo em formato eletrónico), obrigações em matéria de proteção de dados substancialmente equivalentes às que para si resultam do presente Acordo, designadamente garantias suficientes de execução de medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos do RGPD.

6. Caso um Sub-subcontratante não cumpra as suas obrigações em matéria de proteção de dados, a Publiweb360 permanece plenamente responsável, perante o Cliente, pelo cumprimento dessas obrigações.

7. A lista nominal dos Sub-subcontratantes utilizados em cada momento é disponibilizada ao Cliente mediante pedido dirigido a contacto@publiweb360.com.

8.Transferências internacionais de dados

1. O Cliente reconhece e autoriza que os Dados do Cliente possam ser transferidos para, e tratados em, países fora do EEE, no âmbito do recurso aos Sub-subcontratantes das categorias identificadas no Anexo III, designadamente nos Estados Unidos da América.

2. Qualquer transferência de Dados do Cliente para um país terceiro que não beneficie de uma decisão de adequação da Comissão Europeia apenas é efetuada se estiverem reunidas as condições do Capítulo V do RGPD, designadamente: (i) a adesão do destinatário ao EU-US Data Privacy Framework («DPF»), enquanto vigorar a respetiva decisão de adequação; e/ou (ii) a celebração de cláusulas contratuais-tipo («SCC») aprovadas pela Comissão Europeia, completadas, quando necessário, por medidas suplementares de carácter técnico, contratual ou organizativo adequadas ao risco identificado.

3. O mecanismo de transferência aplicável a cada categoria de Sub-subcontratantes é o indicado no Anexo III. A Publiweb360 assegura que cada Sub-subcontratante estabelecido fora do EEE, ou que aceda a Dados do Cliente a partir de fora do EEE, está vinculado por um acordo de tratamento de dados e por um instrumento de transferência válido.

4. Se um mecanismo de transferência utilizado for invalidado, suspenso ou deixar de poder ser legitimamente utilizado, a Publiweb360 diligenciará, em prazo razoável, pela adoção de um mecanismo alternativo válido ou de medidas suplementares adequadas, informando o Cliente quando tal tenha impacto relevante no tratamento dos Dados do Cliente.

9.Violações de Dados

1. A Publiweb360 notifica o Cliente, sem demora injustificada, após ter conhecimento de uma Violação de Dados, para o endereço de correio eletrónico associado à Conta ou por outro meio adequado.

2. A notificação inclui, na medida da informação disponível no momento: (i) a descrição da natureza da Violação de Dados, incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais afetados; (ii) o nome e os contactos do ponto de contacto da Publiweb360 (contacto@publiweb360.com); (iii) a descrição das consequências prováveis da Violação de Dados; e (iv) a descrição das medidas adotadas ou propostas para reparar a Violação de Dados e, se for caso disso, para atenuar os seus eventuais efeitos negativos.

3. Caso, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá as informações então disponíveis, sendo as restantes fornecidas posteriormente, por fases, à medida do apuramento dos factos e sem demora injustificada.

4. A Publiweb360 adota, sem demora, as medidas razoáveis ao seu alcance para conter e remediar a Violação de Dados e para mitigar os seus efeitos, e coopera com o Cliente, na medida do razoável e tendo em conta a natureza do tratamento e a informação ao seu dispor, no cumprimento das obrigações de notificação à autoridade de controlo e de comunicação aos titulares dos dados previstas nos artigos 33.º e 34.º do RGPD.

5. Compete ao Cliente, enquanto responsável pelo tratamento, avaliar o risco resultante da Violação de Dados e decidir sobre a notificação à autoridade de controlo competente e a comunicação aos titulares dos dados.

6. A notificação de uma Violação de Dados pela Publiweb360, ou qualquer resposta à mesma, não constitui reconhecimento de culpa ou de responsabilidade.

10.Assistência ao Cliente

1. Tendo em conta a natureza do tratamento, a Publiweb360 presta ao Cliente, na medida do possível, assistência no cumprimento da obrigação de dar resposta aos pedidos dos titulares dos dados para o exercício dos direitos previstos no Capítulo III do RGPD (designadamente acesso, retificação, apagamento, limitação, portabilidade e oposição), em primeira linha através das funcionalidades da Plataforma que permitem ao Cliente, de forma autónoma, consultar, corrigir, exportar e eliminar Dados do Cliente.

2. Se a Publiweb360 receber diretamente de um titular dos dados um pedido relativo a Dados do Cliente, reencaminhá-lo-á ao Cliente sem demora injustificada e não lhe responderá quanto ao mérito, salvo instrução do Cliente nesse sentido ou obrigação legal em contrário, limitando-se, quando adequado, a indicar ao titular que dirija o pedido ao Cliente.

3. A Publiweb360 presta igualmente assistência ao Cliente, tendo em conta a natureza do tratamento e a informação ao seu dispor, no cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, designadamente: segurança do tratamento; notificação de violações de dados à autoridade de controlo e comunicação aos titulares; avaliações de impacto sobre a proteção de dados que respeitem ao tratamento efetuado na Plataforma; e consulta prévia à autoridade de controlo.

4. Quando a assistência solicitada exceda, de forma significativa, o que resulta das funcionalidades da Plataforma e da informação de que a Publiweb360 razoavelmente dispõe, a Publiweb360 pode condicionar a assistência adicional ao pagamento de custos razoáveis, comunicados previamente ao Cliente.

11.Demonstração de cumprimento e auditoria

1. A Publiweb360 disponibiliza ao Cliente as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e no presente Acordo.

2. Como primeiro meio de demonstração, as partes privilegiam a disponibilização, pela Publiweb360, de relatórios, certificações, atestações de terceiros e descrições das medidas técnicas e organizativas implementadas, incluindo, quando existam, documentos equivalentes relativos aos Sub-subcontratantes.

3. Quando a informação disponibilizada nos termos do número anterior não seja razoavelmente suficiente para demonstrar o cumprimento, o Cliente, ou um auditor independente por este mandatado e que não seja concorrente da Publiweb360, pode realizar uma auditoria, incluindo inspeção, nas seguintes condições: (i) pré-aviso escrito razoável, não inferior a trinta (30) dias; (ii) realização em horário laboral e de forma a minimizar a perturbação da atividade da Publiweb360; (iii) limitação, no máximo, a uma auditoria por período de doze (12) meses, salvo na sequência de uma Violação de Dados relevante ou de exigência de uma autoridade de controlo competente; (iv) custos da auditoria a cargo do Cliente; e (v) sujeição do auditor a obrigações de confidencialidade adequadas.

4. A auditoria não pode, em circunstância alguma, implicar o acesso a dados de outros clientes da Publiweb360, a informação confidencial de terceiros ou a informação cuja divulgação seja suscetível de comprometer a segurança da Plataforma; nessas matérias, a demonstração faz-se através dos meios previstos no n.º 2.

5. A Publiweb360 contribui para as auditorias realizadas nos termos desta cláusula e informa o Cliente dos resultados relevantes que estejam na sua disponibilidade. Quanto à infraestrutura dos Sub-subcontratantes, a demonstração de cumprimento efetua-se, em regra, mediante os relatórios e certificações por estes emitidos.

12.Devolução e eliminação dos dados no termo dos Serviços

1. Durante a vigência da Conta e até ao seu termo, o Cliente pode, a qualquer momento, exportar os Dados do Cliente de forma autónoma (self-service), através das funcionalidades de exportação disponíveis na Plataforma, designadamente em formatos estruturados e de uso corrente. Esta possibilidade constitui o meio primário de devolução dos Dados do Cliente.

2. Após a cessação da Conta, independentemente da causa, a Publiweb360 concede um período de cortesia de sessenta (60) dias, durante o qual: (i) a Conta permanece suspensa e os Dados do Cliente são conservados, sem tratamento ativo para além da mera conservação e das operações técnicas indispensáveis; e (ii) o Cliente pode solicitar a reativação da Conta ou a devolução dos Dados do Cliente mediante exportação em formato estruturado e de uso corrente.

3. Decorrido o período de cortesia sem reativação, a Publiweb360 procede, consoante a escolha que o Cliente tenha comunicado, à devolução e subsequente eliminação, ou diretamente à eliminação, dos Dados do Cliente e das cópias existentes nos sistemas sob o seu controlo, salvo se, e na medida em que, o direito da União Europeia ou de um Estado-Membro exigir a conservação de determinados dados; nesse caso, os dados conservados são isolados, protegidos e tratados apenas na medida e pelo período exigidos por essa obrigação legal.

4. Os Dados do Cliente contidos em cópias de segurança são eliminados de acordo com os ciclos normais de rotação e expurgo das cópias de segurança, mantendo-se, até à sua eliminação, protegidos pelas medidas do Anexo II e excluídos de qualquer utilização ativa.

5. Mediante pedido escrito do Cliente dirigido a contacto@publiweb360.com, a Publiweb360 confirma, por escrito, a eliminação efetuada nos termos desta cláusula.

13.Responsabilidade

1. A responsabilidade das partes perante os titulares dos dados rege-se pelo artigo 82.º do RGPD. Nos termos desse artigo, a Publiweb360, enquanto subcontratante, só é responsável pelos danos causados pelo tratamento se não tiver cumprido as obrigações que o RGPD impõe especificamente aos subcontratantes ou se tiver agido fora das instruções lícitas do Cliente ou em contrariedade às mesmas.

2. Quando o Cliente e a Publiweb360 estejam envolvidos no mesmo tratamento e sejam responsáveis por danos causados por esse tratamento, aplica-se o regime de responsabilidade solidária e de direito de regresso previsto no artigo 82.º, n.os 4 e 5, do RGPD, podendo a parte que tenha pago a indemnização integral reclamar da outra a parte da indemnização correspondente à respetiva quota de responsabilidade pelos danos.

3. Na relação entre as partes, a responsabilidade contratual e extracontratual emergente do presente Acordo fica sujeita às exclusões e limitações de responsabilidade previstas nos Termos, na máxima medida permitida pela lei aplicável. Tais exclusões e limitações não se aplicam, porém: (i) na medida em que a lei as proíba; e (ii) à responsabilidade de cada parte perante os titulares dos dados nos termos do artigo 82.º do RGPD, que não pode ser afastada ou limitada por acordo entre as partes.

4. O Cliente responde perante a Publiweb360 pelos danos que a esta advenham do incumprimento, pelo Cliente, das garantias prestadas na Cláusula 5, n.º 4, e das restantes obrigações que lhe incumbem enquanto responsável pelo tratamento, sem prejuízo das limitações legais aplicáveis.

14.Prevalência, integração e disposições finais

1. O presente Acordo, incluindo os seus Anexos I, II e III, faz parte integrante dos Termos e constitui, em conjunto com estes, o acordo completo entre as partes quanto ao tratamento de Dados do Cliente pela Publiweb360 por conta do Cliente, substituindo quaisquer entendimentos anteriores sobre a mesma matéria.

2. Em matéria de proteção de dados pessoais, o presente Acordo prevalece sobre os Termos e sobre qualquer outro documento contratual entre as partes, salvo acordo escrito posterior que expressamente o derrogue.

3. Se alguma disposição do presente Acordo for declarada inválida ou ineficaz, no todo ou em parte, tal não afeta a validade das demais disposições, devendo a disposição em causa ser substituída por outra que, de forma válida, prossiga o mesmo objetivo, em conformidade com o artigo 28.º do RGPD.

4. A Publiweb360 pode atualizar o presente Acordo na medida do necessário para refletir alterações legislativas, regulamentares, jurisprudenciais ou orientações das autoridades de controlo, bem como evoluções dos Serviços, comunicando as alterações ao Cliente nos termos previstos nos Termos; as alterações não podem diminuir, no seu conjunto, o nível de proteção dos Dados do Cliente resultante do presente Acordo.

5. O presente Acordo rege-se pela lei portuguesa, sem prejuízo das disposições imperativas do RGPD, sendo aplicável o foro definido nos Termos.

6. Quaisquer comunicações relativas ao presente Acordo, incluindo pedidos de informação, instruções adicionais, oposições e pedidos relativos a titulares de dados, devem ser dirigidas a contacto@publiweb360.com.

15.Anexo I — Descrição do tratamento

1. Categorias de titulares dos dados cujos dados pessoais são tratados:

2. Categorias de dados pessoais tratados:

3. Categorias especiais de dados: o tratamento de categorias especiais de dados pessoais, na aceção do artigo 9.º do RGPD, e de dados pessoais relativos a condenações penais e infrações, na aceção do artigo 10.º do RGPD, NÃO está autorizado na Plataforma, salvo acordo escrito prévio entre as partes que estabeleça as garantias adicionais adequadas. O Cliente obriga-se a abster-se de inserir tais dados na Plataforma na ausência desse acordo.

4. Natureza e operações de tratamento: as operações descritas na Cláusula 3, n.º 3, do Acordo, designadamente recolha, registo, organização, estruturação, conservação, consulta, utilização, transmissão, limitação, apagamento e destruição.

5. Finalidade do tratamento: a disponibilização do CRM e das respetivas funcionalidades ao Cliente — incluindo as funcionalidades de automação e de inteligência artificial do Agente 360 que o Cliente ative —, conforme a Cláusula 3, n.º 4, do Acordo.

6. Duração do tratamento: o período de vigência da Conta, acrescido do período pós-cessação previsto na Cláusula 12 do Acordo.

7. Tratamentos por Sub-subcontratantes: as operações executadas por Sub-subcontratantes circunscrevem-se ao objeto, à duração e à natureza acima descritos, no âmbito das categorias do Anexo III.

• contactos e leads do Cliente (potenciais clientes, subscritores, participantes em campanhas e formulários);
• clientes finais do Cliente e respetivos representantes ou pontos de contacto;
• colaboradores do Cliente, designadamente os utilizadores autorizados da Conta;
• outras pessoas singulares cujos dados o Cliente decida carregar ou tratar na Plataforma, no âmbito da sua atividade (por exemplo, fornecedores ou parceiros).
• dados de identificação (nome, título, identificadores atribuídos pelo Cliente);
• dados de contacto (endereço de correio eletrónico, número de telefone, morada, perfis de contacto em canais configurados pelo Cliente);
• dados profissionais (empresa, função, setor, dados de contacto profissionais);
• histórico de interações (registos de atividades, notas, oportunidades, agendamentos, participação em campanhas, respostas e estatísticas de envolvimento);
• conteúdo de mensagens e comunicações trocadas através da Plataforma ou nela registadas;
• metadados associados às operações realizadas na Plataforma (datas, horas, estados de entrega, identificadores técnicos e registos de eventos);
• outros dados que o Cliente, sob a sua responsabilidade, decida inserir em campos livres ou personalizados.

16.Anexo II — Medidas técnicas e organizativas

1. A Publiweb360 implementa e mantém, diretamente e através dos seus Sub-subcontratantes, as medidas técnicas e organizativas a seguir descritas, destinadas a assegurar um nível de segurança adequado ao risco, nos termos do artigo 32.º do RGPD. Estas medidas podem ser atualizadas em função da evolução técnica e do risco, desde que tal não diminua, no seu conjunto, o nível de segurança proporcionado.

2. Controlo de acessos e autenticação: gestão de contas e credenciais individuais; atribuição de acessos segundo o princípio do menor privilégio e da necessidade de conhecer; mecanismos de autenticação adequados, incluindo, quando disponível, autenticação multifator; revisão e revogação de acessos aquando da cessação de funções.

3. Encriptação em trânsito: proteção das comunicações entre os utilizadores e a Plataforma, e entre componentes da infraestrutura, mediante protocolos de encriptação atuais e de uso corrente.

4. Segregação lógica por cliente: separação lógica dos Dados do Cliente face aos dados de outros clientes da Plataforma, através de mecanismos de isolamento por conta, de modo a impedir acessos cruzados não autorizados.

5. Cópias de segurança: realização de cópias de segurança periódicas dos dados da Plataforma, com procedimentos de recuperação destinados a restabelecer a disponibilidade e o acesso aos dados em tempo útil em caso de incidente físico ou técnico.

6. Registo de eventos: registo (logging) de eventos relevantes de segurança e de operações significativas sobre os sistemas, com vista à deteção, investigação e rastreabilidade de acessos e ações.

7. Gestão de vulnerabilidades: acompanhamento de vulnerabilidades conhecidas, aplicação de atualizações e correções de segurança em prazos adequados ao risco, e avaliação contínua da eficácia das medidas técnicas implementadas.

8. Formação e confidencialidade do pessoal: vinculação das pessoas autorizadas a obrigações de confidencialidade, nos termos da Cláusula 6 do Acordo, e ações de sensibilização e formação em proteção de dados e segurança da informação adequadas às respetivas funções.

9. Gestão de incidentes: procedimentos de deteção, análise, contenção, mitigação e documentação de incidentes de segurança, incluindo o processo de notificação de Violações de Dados previsto na Cláusula 9 do Acordo.

10. Seleção de Sub-subcontratantes: avaliação das garantias oferecidas pelos Sub-subcontratantes em matéria de segurança e proteção de dados, e vinculação contratual destes a medidas técnicas e organizativas adequadas, nos termos da Cláusula 7 do Acordo.

17.Anexo III — Categorias de Sub-subcontratantes

1. Nos termos da Cláusula 7 do Acordo, o Cliente autoriza o recurso a Sub-subcontratantes pertencentes às seguintes categorias:

2. Todos os Sub-subcontratantes estão vinculados por acordos de tratamento de dados que lhes impõem obrigações substancialmente equivalentes às assumidas pela Publiweb360 no presente Acordo, respondendo a Publiweb360, perante o Cliente, pelo respetivo cumprimento, nos termos da Cláusula 7.

3. A lista nominal e atualizada dos Sub-subcontratantes é disponibilizada mediante pedido dirigido a contacto@publiweb360.com. As alterações a este Anexo seguem o procedimento de aviso prévio e oposição previsto na Cláusula 7 do Acordo.

• Infraestrutura de CRM e comunicações: fornecedor de infraestrutura de CRM e comunicações com servidores nos Estados Unidos da América, ao abrigo do EU-US Data Privacy Framework («DPF») e/ou cláusulas contratuais-tipo («SCC») aprovadas pela Comissão Europeia, vinculado por acordo de tratamento de dados; suporta o núcleo das funcionalidades da Plataforma (gestão de contactos, comunicações, automações e campanhas).
• Alojamento, CDN e segurança: fornecedores de serviços de alojamento, rede de distribuição de conteúdos e proteção de segurança, com tratamento na União Europeia e/ou nos Estados Unidos da América, ao abrigo, conforme aplicável, do DPF e/ou de SCC.
• Processamento de pagamentos: fornecedor de serviços de pagamento, com servidores nos Estados Unidos da América, ao abrigo do DPF e/ou SCC, na medida em que dados de pagamento de pessoas singulares sejam tratados no âmbito dos Serviços.
• E-mail transacional: fornecedor de serviços de envio de correio eletrónico transacional e de notificações, com servidores nos Estados Unidos da América, ao abrigo do DPF e/ou SCC.
• Fornecedores de modelos de inteligência artificial: fornecedores de modelos de IA utilizados em funcionalidades da Plataforma que o Cliente opte por ativar, com tratamento nos Estados Unidos da América e/ou na União Europeia, ao abrigo do DPF e/ou SCC, vinculados a não utilizar os Dados do Cliente para treino dos seus modelos sem acordo nesse sentido.