Acordo de Processamento de Dados

Partes

Subcontratante: TheChatApp, sociedade constituída em Portugal. Contacto para proteção de dados: privacy@thechatapp.chat.

Responsável pelo tratamento: A entidade identificada no bloco de contraassinatura no final do presente Acordo ou, caso o presente ATD seja incorporado por referência num acordo de prestação de serviços, a entidade contratante identificada nesse acordo.

Considerandos

• A. O Responsável pelo tratamento contratou o Subcontratante para disponibilizar a plataforma de comunicação empresarial TheChatApp e os serviços relacionados, ao abrigo de um acordo de prestação de serviços (o Acordo de Prestação de Serviços).
• B. No âmbito da prestação desses serviços, o Subcontratante irá tratar Dados Pessoais por conta do Responsável pelo tratamento, assumindo a qualidade de subcontratante na aceção do artigo 4.º(8) do RGPD e sendo o Responsável pelo tratamento um responsável pelo tratamento na aceção do artigo 4.º(7) do RGPD.
• C. O artigo 28.º(3) do RGPD exige que o tratamento por um subcontratante seja regido por um contrato vinculativo que especifique o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de Dados Pessoais e as categorias de Titulares dos dados, bem como as obrigações e os direitos do Responsável pelo tratamento. O presente Acordo de Tratamento de Dados constitui esse contrato.
• D. A encriptação ponta a ponta é uma funcionalidade arquitetural central da Plataforma. No modelo de implantação em nuvem predefinido (Modo 2 — TenantControlled), o Subcontratante não detém quaisquer chaves capazes de desencriptar o conteúdo de mensagens, o conteúdo de ficheiros, as gravações de reuniões ou os embeddings gerados por inteligência artificial. As características criptográficas de cada modelo de implantação encontram-se descritas na Parte II e na Parte III.
• E. O presente ATD encontra-se pré-assinado pelo Subcontratante e é disponibilizado a todos os clientes empresariais. O Responsável pelo tratamento pode obter uma versão PDF para contraassinatura contactando privacy@thechatapp.chat. Quando o Responsável pelo tratamento aceitar eletronicamente o Acordo de Prestação de Serviços, o presente ATD é incorporado por referência e produz efeitos na mesma data.

Definições

No presente Acordo, salvo disposição em contrário decorrente do contexto, os termos a seguir indicados têm os significados que lhes são atribuídos. Os termos em maiúscula não definidos neste documento têm os significados que lhes são atribuídos no Acordo de Prestação de Serviços.

• RGPD designa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, transposto para o direito português pela Lei n.º 58/2019, de 8 de agosto de 2019, e respetivas alterações ou substituições.
• Dados Pessoais tem o significado que lhe é atribuído no artigo 4.º(1) do RGPD.
• Tratamento tem o significado que lhe é atribuído no artigo 4.º(2) do RGPD.
• Titular dos dados tem o significado que lhe é atribuído no artigo 4.º(1) do RGPD.
• Subcontratante ulterior designa qualquer subcontratante contratado pelo Subcontratante que trate Dados Pessoais no contexto dos Serviços.
• CCT designa as Cláusulas Contratuais Tipo para a transferência de dados pessoais para países terceiros, adotadas pela Decisão da Comissão Europeia 2021/914/UE, de 4 de junho de 2021.
• Adendo do Reino Unido designa o Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Tipo da Comissão Europeia, emitido pelo Information Commissioner's Office do Reino Unido ao abrigo do artigo 119.º-A(1) da Lei de Proteção de Dados de 2018.
• Autoridade de controlo designa a Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo competente em Portugal.
• Modo 2 (TenantControlled) designa o modelo de implantação em nuvem predefinido, no qual o cofre do inquilino se encontra selado em repouso através de um mecanismo que requer a frase-passe principal ou o token de hardware do Responsável pelo tratamento para ser aberto, não detendo o Subcontratante qualquer acesso à chave de cofre não selada, conforme descrito na Secção 12.
• Modo 1 (ServerManaged) designa o modelo de implantação em nuvem legado, no qual a chave de cofre do inquilino é envolvida em disco dentro do contentor do servidor, conferindo ao Subcontratante um caminho de acesso teórico multi-etapa ao conteúdo encriptado, conforme descrito na Secção 13.
• Dados Encriptados E2E designa os Dados Pessoais que foram encriptados com encriptação ponta a ponta antes da transmissão e que só podem ser desencriptados pelos destinatários pretendidos que detenham as chaves criptográficas relevantes.
• Formato CHEF designa o formato TheChatApp Hybrid Encrypted File, um formato proprietário de encriptação de ficheiros em blocos que utiliza AES-256-GCM com uma chave aleatória por ficheiro envolvida pela chave de cofre do inquilino, utilizado para todos os ficheiros armazenados na Plataforma.
• Plataforma designa o software de comunicação empresarial TheChatApp e a infraestrutura em nuvem associada, operada pelo Subcontratante.
• Incidente de Segurança designa qualquer destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou de outro modo tratados, confirmados ou razoavelmente suspeitos de ter ocorrido, de forma acidental ou ilícita.
• Dia Útil designa um dia que não seja sábado, domingo ou feriado em Portugal.

Parte I — Obrigações do Artigo 28.º(3)

Secção 1 — Objeto e Duração

1.1 O Subcontratante tratará Dados Pessoais por conta do Responsável pelo tratamento com a finalidade de disponibilizar a Plataforma e os serviços de suporte relacionados, conforme descrito no Anexo I do presente Acordo e em qualquer formulário de encomenda ou declaração de trabalho aplicável.

1.2 O tratamento terá início na data de entrada em vigor do Acordo de Prestação de Serviços e prolongar-se-á pela sua duração, sem prejuízo de cessação antecipada em conformidade com a Secção 9.

1.3 A natureza, a finalidade, o objeto, as categorias de Dados Pessoais e as categorias de Titulares dos dados constam do Anexo I.

Secção 2 — Tratamento com Base em Instruções Documentadas

2.1 O Subcontratante tratará os Dados Pessoais apenas com base em instruções documentadas do Responsável pelo tratamento, inclusive no que respeita a transferências de Dados Pessoais para um país terceiro ou para uma organização internacional, salvo se a isso for obrigado pelo direito da União ou de um Estado-Membro ao qual o Subcontratante esteja sujeito. Nesse caso, o Subcontratante informará o Responsável pelo tratamento desse requisito legal antes do tratamento, a menos que esse direito o proíba por razões importantes de interesse público.

2.2 O Acordo de Prestação de Serviços, os formulários de encomenda aplicáveis, as declarações de trabalho e as definições de configuração disponibilizadas ao Responsável pelo tratamento através da interface de administração da Plataforma constituem as instruções documentadas do Responsável pelo tratamento para efeitos da presente Secção.

2.3 Caso, no entender razoável do Subcontratante, uma instrução do Responsável pelo tratamento infrinja o RGPD ou outras disposições aplicáveis do direito da União ou dos Estados-Membros em matéria de proteção de dados, o Subcontratante informará prontamente o Responsável pelo tratamento dessa posição. O Subcontratante pode suspender o tratamento enquanto aguarda esclarecimento da instrução, sem que tal constitua incumprimento do presente Acordo.

2.4 O Subcontratante notificará prontamente o Responsável pelo tratamento caso receba qualquer pedido, exigência ou ordem de uma autoridade pública solicitando acesso, divulgação ou ação relativamente a Dados Pessoais tratados ao abrigo do presente Acordo, na medida em que tal seja permitido pela lei aplicável.

Secção 3 — Confidencialidade

3.1 O Subcontratante assegurará que as pessoas autorizadas a tratar Dados Pessoais ao abrigo do presente Acordo estão sujeitas a um dever legal ou contratual de confidencialidade relativamente a esses Dados Pessoais.

3.2 As pessoas autorizadas incluem colaboradores, prestadores de serviços e subcontratantes ulteriores que acedem a Dados Pessoais no âmbito da prestação dos Serviços. O acesso é limitado àqueles que dele necessitam para o desempenho das suas funções.

3.3 O Subcontratante reconhece que, nos termos dos artigos 46.º e 47.º da Lei n.º 58/2019, a divulgação ilícita de dados pessoais constitui crime em Portugal, e que tais obrigações se aplicam ao seu pessoal independentemente do presente Acordo.

3.4 As obrigações de confidencialidade previstas na presente Secção subsistirão após a cessação do presente Acordo por um período de cinco anos, exceto no que respeita a segredos comerciais ou informações sujeitas a um período de proteção legal mais longo.

Secção 4 — Segurança

4.1 Tendo em conta o estado da técnica, os custos de implementação, bem como a natureza, o âmbito, o contexto e as finalidades do tratamento, assim como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o Subcontratante implementará medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, em conformidade com o artigo 32.º do RGPD.

4.2 Essas medidas incluem, no mínimo, as seguintes:

• (a) Encriptação ponta a ponta do conteúdo: Mensagens, ficheiros, gravações de reuniões, embeddings gerados por inteligência artificial e sondagens são encriptados com AES-256-GCM, com chaves aleatórias por objeto. Os ficheiros utilizam adicionalmente o formato CHEF em blocos. A encriptação de transporte utiliza ChaCha20-Poly1305 com troca de chaves ECDH.
• (b) Isolamento de inquilinos: Cada inquilino em nuvem é executado num contentor Docker dedicado, com bases de dados LiteDB, chaves de cofre e volumes de armazenamento por inquilino. A segmentação de rede impede fluxos de dados entre inquilinos ao nível da infraestrutura.
• (c) Registos operacionais pseudonimizados: Os registos do servidor substituem nomes de utilizador e endereços de correio eletrónico por pseudónimos HMAC-SHA256 indexados por um segredo por inquilino, de modo que os utilizadores individuais não possam ser identificados a partir dos dados de registo sem acesso à chave de pseudonimização.
• (d) Payloads de notificações push sanitizados: As notificações push entregues através de gateways de terceiros (FCM, APNs) contêm apenas metadados de encaminhamento mínimos e não incluem conteúdo de mensagens, identidade do remetente nem nomes de canais.
• (e) Integridade do registo de auditoria baseada em HMAC: Todas as entradas do registo de auditoria são encadeadas com HMAC-SHA256 para detetar adulteração. A cadeia de integridade subsiste à eliminação configurável por retenção, através de um hash de limite de retenção armazenado no registo de estado da cadeia de auditoria.
• (f) Derivação de hash de palavras-passe: As palavras-passe dos utilizadores são transformadas em hash através de Argon2id com salts aleatórios por utilizador antes do armazenamento. As palavras-passe em texto simples nunca são persistidas.
• (g) Limitação de taxa e proteção contra ataques de repetição: Os endpoints de autenticação são sujeitos a limitação de taxa. As mensagens de rede incluem marcas temporais monótonas e valores nonce para impedir ataques de repetição.
• (h) Retenção de dados configurável: O Responsável pelo tratamento pode configurar períodos de retenção para mensagens, ficheiros e registos de auditoria através da interface de administração da Plataforma. Os dados são eliminados em conformidade com a política de retenção configurada.

4.3 Um resumo das atuais medidas técnicas e organizativas consta do Anexo II. A documentação completa das MTO encontra-se disponível para o Responsável pelo tratamento mediante pedido e será disponibilizada no prazo de dez Dias Úteis a contar de um pedido por escrito.

4.4 O Subcontratante pode atualizar as medidas constantes do Anexo II periodicamente, desde que o nível geral de segurança não seja materialmente reduzido. O Subcontratante notificará o Responsável pelo tratamento de qualquer redução material das medidas de segurança com pelo menos 30 dias de antecedência.

Secção 5 — Subcontratantes Ulteriores

5.1 O Responsável pelo tratamento concede ao Subcontratante autorização geral por escrito para contratar Subcontratantes Ulteriores, sujeita às condições da presente Secção. A lista atual de Subcontratantes Ulteriores é mantida em thechatapp.chat/subprocessors e no Anexo III do presente Acordo.

5.2 O Subcontratante notificará o Responsável pelo tratamento de quaisquer alterações previstas na lista de Subcontratantes Ulteriores (adições ou substituições) com pelo menos 30 Dias Úteis de antecedência em relação à data de entrada em vigor da alteração, atualizando a lista de Subcontratantes Ulteriores e, quando o Responsável pelo tratamento tiver subscrito notificações, por aviso direto.

5.3 O Responsável pelo tratamento pode opor-se a um novo Subcontratante Ulterior ou a um Subcontratante Ulterior de substituição mediante aviso escrito ao Subcontratante no prazo de 30 Dias Úteis a contar da notificação. Se as partes não conseguirem resolver a objeção no prazo de mais 30 Dias Úteis, qualquer das partes pode denunciar os serviços afetados mediante aviso escrito com 30 dias de antecedência, sem penalização para qualquer das partes.

5.4 Quando o Subcontratante contratar um Subcontratante Ulterior, impor-lhe-á obrigações de proteção de dados equivalentes às constantes do presente Acordo, mediante contrato escrito. Se um Subcontratante Ulterior não cumprir as suas obrigações de proteção de dados, o Subcontratante continuará a ser integralmente responsável perante o Responsável pelo tratamento pelo cumprimento das obrigações do Subcontratante Ulterior.

5.5 Exceção relativa ao gateway de push em alojamento próprio: No modelo de implantação em alojamento próprio, o Responsável pelo tratamento opera o seu próprio gateway de notificações push e o Subcontratante não tem qualquer intervenção na entrega de notificações push. As Secções 5.1 a 5.4 não se aplicam a serviços de terceiros selecionados e operados exclusivamente pelo Responsável pelo tratamento.

Secção 6 — Assistência no Exercício dos Direitos dos Titulares dos Dados

6.1 Tendo em conta a natureza do tratamento, o Subcontratante prestará assistência ao Responsável pelo tratamento, através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento das obrigações do Responsável pelo tratamento em matéria de resposta a pedidos de exercício dos direitos dos Titulares dos dados ao abrigo do Capítulo III do RGPD (artigos 15.º a 22.º), incluindo os direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição.

6.2 A Plataforma disponibiliza as seguintes ferramentas integradas para assistir o Responsável pelo tratamento:

• (a) Exportação de dados por utilizador: A interface de administração permite ao Responsável pelo tratamento gerar uma exportação estruturada de todos os Dados Pessoais detidos relativamente a um utilizador específico, incluindo mensagens, ficheiros, membros de canais e entradas de auditoria, num formato legível por máquina. A exportação inclui um manifesto data-processing-info.json que descreve as categorias de dados, as finalidades, as bases jurídicas e os períodos de retenção.
• (b) Eliminação de dados por utilizador: A interface de administração permite ao Responsável pelo tratamento eliminar todos os Dados Pessoais associados a uma conta de utilizador específica, incluindo a anonimização das entradas do registo de auditoria imputáveis a esse utilizador.
• (c) Eliminação completa da conta: O Responsável pelo tratamento pode iniciar a eliminação completa do inquilino através da interface de administração ou mediante pedido escrito ao Subcontratante, resultando na eliminação de todos os dados do inquilino conforme descrito na Secção 9.

6.3 O Subcontratante disponibilizará, mediante pedido e no prazo de cinco Dias Úteis, ao Responsável pelo tratamento informação escrita sobre as categorias de Dados Pessoais tratados, as finalidades do tratamento e os Subcontratantes Ulteriores envolvidos, para auxiliar o Responsável pelo tratamento a responder a um pedido de direito de acesso de um Titular dos dados.

Secção 7 — Notificação de Violação de Dados

7.1 O Subcontratante notificará o Responsável pelo tratamento sem demora injustificada e, sempre que possível, no prazo de 48 horas após tomar conhecimento de um Incidente de Segurança, em conformidade com o artigo 33.º do RGPD.

7.2 A notificação incluirá, no mínimo, as seguintes informações, na medida em que estejam disponíveis no momento da notificação:

• (a) Uma descrição da natureza do Incidente de Segurança, incluindo, sempre que possível, as categorias e o número aproximado de Titulares dos dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
• (b) O nome e os dados de contacto do ponto de contacto do Subcontratante para a proteção de dados;
• (c) Uma descrição das prováveis consequências do Incidente de Segurança; e
• (d) Uma descrição das medidas tomadas ou propostas pelo Subcontratante para fazer face ao Incidente de Segurança, incluindo, se adequado, medidas para atenuar os seus possíveis efeitos negativos.

7.3 Quando o Incidente de Segurança envolver exclusivamente Dados Encriptados E2E tratados ao abrigo do Modo 2, o Subcontratante incluirá na sua notificação uma avaliação técnica sobre se o incidente se enquadra na isenção prevista no artigo 34.º(3)(a) do RGPD, nomeadamente que os dados pessoais são ininteligíveis para qualquer pessoa não autorizada a aceder-lhes, citando as medidas técnicas específicas (encriptação de conteúdo AES-256-GCM, formato de ficheiro CHEF, cofre selado) que tornam os dados inacessíveis.

7.4 O Subcontratante cooperará com e prestará assistência ao Responsável pelo tratamento no âmbito de qualquer avaliação de impacto sobre a proteção de dados (AIPD) ao abrigo do artigo 35.º do RGPD ou de consulta prévia ao abrigo do artigo 36.º do RGPD que o Responsável pelo tratamento seja obrigado a realizar em relação às atividades de tratamento previstas no presente Acordo.

Secção 8 — Transferências Internacionais

8.1 Quando o Subcontratante transferir Dados Pessoais para Subcontratantes Ulteriores localizados fora do Espaço Económico Europeu, assegurará que tais transferências são efetuadas apenas em conformidade com o Capítulo V do RGPD. Os mecanismos de transferência em vigor são os seguintes:

• (a) EU-US Data Privacy Framework (DPF): As transferências para a Google LLC (Firebase Cloud Messaging, Google Calendar API) e para a Microsoft Corporation (Microsoft Graph / Calendar API) são efetuadas com base na certificação dessas entidades ao abrigo do EU-US Data Privacy Framework adotado pela Decisão da Comissão Europeia 2023/1795.
• (b) APEC CBPR: As transferências para a Apple Inc. (Apple Push Notification Service) são efetuadas com base na certificação da Apple ao abrigo do sistema APEC de Regras Transfronteiriças de Privacidade (CBPR), que a Comissão Europeia reconheceu como proporcionando um nível adequado de proteção para efeitos da avaliação de salvaguardas suplementares às CCT.
• (c) Intra-EEE: A infraestrutura primária de servidores está alojada na Hetzner Online GmbH, na Alemanha. Não se verifica qualquer transferência de dados pessoais fora do EEE em relação ao alojamento de servidores.
• (d) Cláusulas Contratuais Tipo: Na medida em que a certificação DPF ou CBPR seja indisponível, revogada ou declarada inválida, as transferências são cobertas pelas CCT (Módulo 2 — Responsável pelo tratamento para Subcontratante; Módulo 3 — Subcontratante para Subcontratante) conforme referenciado no Apêndice A.

8.2 No Modo 2, a encriptação ponta a ponta descrita na Parte III constitui uma medida suplementar na aceção das Recomendações 01/2020 do CEPD sobre medidas que complementam os instrumentos de transferência, de modo que mesmo que um Subcontratante Ulterior seja compelido a divulgar dados por uma autoridade de um país terceiro, os dados divulgados sejam criptograficamente ininteligíveis.

8.3 O presente Acordo é regido pela lei portuguesa. Para as transferências sujeitas às CCT, a lei aplicável às CCT é a lei de Portugal (Estado-Membro da UE), e os tribunais competentes são os tribunais de Lisboa.

8.4 Para transferências para o Reino Unido ou que envolvam Titulares de dados do Reino Unido, o Adendo do Reino Unido (IDTA) é incorporado por referência em conformidade com o Apêndice A.

Secção 9 — Devolução e Eliminação de Dados

9.1 Na cessação ou caducidade do Acordo de Prestação de Serviços, por qualquer motivo, o Subcontratante, a escolha do Responsável pelo tratamento, devolverá ou eliminará todos os Dados Pessoais tratados ao abrigo do presente Acordo, sujeito ao seguinte:

• (a) Janela de devolução: O Responsável pelo tratamento pode solicitar uma exportação de todos os dados do inquilino no prazo de 30 dias após a data efetiva de cessação. O Subcontratante disponibilizará a exportação no prazo de dez Dias Úteis a contar de um pedido válido.
• (b) Prazo de eliminação: Na ausência de pedido de devolução pendente, o Subcontratante eliminará de forma segura todos os Dados Pessoais do inquilino no prazo de 30 dias após o fim da janela de devolução ou, caso esta não se aplique, no prazo de 30 dias após a cessação.
• (c) Âmbito da eliminação: A eliminação abrange o contentor do servidor do inquilino e os respetivos volumes (incluindo bases de dados LiteDB, chaves de cofre e armazenamento de ficheiros), cópias de segurança encriptadas externas imputáveis ao inquilino, e todos os registos do Portal e do gateway que identificam ou se encontram associados ao inquilino, exceto conforme previsto na alínea (d).
• (d) Retenção de registos de faturação: Os registos financeiros, incluindo faturas, histórico de pagamentos e chaves de licença, são retidos por dez anos conforme exigido pelo direito fiscal português (Código do IVA, artigo 52.º; Lei Geral Tributária, artigo 45.º), após o que são eliminados de forma segura. Estes registos contêm apenas o nome da empresa, o endereço de faturação e informação de pagamento mascarada, e não incluem conteúdo de mensagens nem comunicações de utilizadores.
• (e) Métodos de eliminação segura: A eliminação de dados em repouso é efetuada por apagamento criptográfico (eliminação das chaves de encriptação) sempre que tecnicamente viável, e por sobreescrita segura nos restantes casos. A eliminação de cópias de segurança é realizada através da eliminação do objeto de cópia de segurança encriptada e do material de chave associado.

9.2 Após a conclusão da eliminação, o Subcontratante fornecerá ao Responsável pelo tratamento confirmação escrita de que a eliminação foi efetuada em conformidade com a presente Secção, no prazo de cinco Dias Úteis a contar da conclusão.

9.3 Quando um Responsável pelo tratamento exerce direitos de cessação durante um prazo mínimo contratual, pode aplicar-se um período de reflexão e/ou uma taxa de cessação antecipada conforme estabelecido no Acordo de Prestação de Serviços. O exercício desses direitos não altera as obrigações do Subcontratante ao abrigo da presente Secção.

Secção 10 — Direitos de Auditoria

10.1 O Subcontratante disponibilizará ao Responsável pelo tratamento toda a informação necessária para demonstrar o cumprimento do artigo 28.º do RGPD e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Responsável pelo tratamento ou por um auditor por ele mandatado.

10.2 Qualquer auditoria deve ser precedida de aviso escrito com pelo menos 30 dias de antecedência, realizada durante o horário normal de expediente, conduzida de forma a minimizar a perturbação das operações do Subcontratante, e limitada a informações e sistemas relevantes para as atividades de tratamento cobertas pelo presente Acordo.

10.3 O Responsável pelo tratamento suportará todos os custos associados à auditoria, salvo se a auditoria revelar uma violação material do presente Acordo por parte do Subcontratante, caso em que o Subcontratante suportará os custos razoáveis da auditoria.

10.4 O Subcontratante disponibilizará, mediante pedido escrito e no prazo de dez Dias Úteis, ao Responsável pelo tratamento cópias de ou acesso a: a lista atual de Subcontratantes Ulteriores; o resumo atual das MTO (Anexo II); eventuais certificações de segurança de terceiros ou relatórios de auditoria disponíveis; e documentação do processo de eliminação de dados descrito na Secção 9.

10.5 Quando o auditor mandatado for um concorrente do Subcontratante, este reserva-se o direito de exigir que o auditor execute um acordo de confidencialidade antes do início da auditoria. O Subcontratante não recusará injustificadamente o seu consentimento a um auditor.

Parte II — Modelos de Implantação

Secção 11 — Implantação em Alojamento Próprio

11.1 No modelo de implantação em alojamento próprio, o Responsável pelo tratamento instala e opera o software da Plataforma em infraestrutura sob o seu próprio controlo. O Subcontratante disponibiliza licenças de software e serviços de suporte, mas não opera qualquer infraestrutura que trate Dados Pessoais do inquilino.

11.2 Neste modelo, o Responsável pelo tratamento é simultaneamente o responsável pelo tratamento e o subcontratante relativamente a todos os Dados Pessoais tratados pela Plataforma. O presente Acordo não regula o tratamento de Dados Pessoais do inquilino no modelo de alojamento próprio; o Responsável pelo tratamento assume plena responsabilidade pelo cumprimento do RGPD e da lei aplicável no âmbito da sua operação da Plataforma.

11.3 Exceção relativa ao gateway de notificações push: Quando o Responsável pelo tratamento em alojamento próprio utilizar o serviço de relay de notificações push opcional do Subcontratante, este trata apenas o token de encaminhamento push mínimo e um incremento de contador de notificações necessário para reencaminhar a notificação push. Nenhum conteúdo de mensagem, identidade do remetente ou informação de canal é transmitida para ou através do serviço de relay. O Responsável pelo tratamento reconhece que, ao utilizar este serviço opcional, está a contratar o Subcontratante como subcontratante para a finalidade limitada descrita no presente número, aplicando-se as disposições relevantes da Parte I exclusivamente a esse tratamento limitado.

Secção 12 — Modo 2 em Nuvem (TenantControlled)

12.1 O Modo 2 é o modelo de implantação predefinido para inquilinos alojados em nuvem. Neste modelo, a chave de cofre do inquilino encontra-se selada em repouso através de um mecanismo que requer a frase-passe principal ou o token de hardware do Responsável pelo tratamento para ser aberta. O Subcontratante não detém, retém em custódia nem tem acesso à chave de cofre não selada.

12.2 No Modo 2, o Subcontratante não pode aceder às seguintes categorias de Dados Pessoais sem a chave de cofre do Responsável pelo tratamento:

• Conteúdo de mensagens (todos os canais, incluindo mensagens diretas e chats de reuniões)
• Conteúdo de ficheiros carregados (armazenados no formato CHEF, encriptados com chaves por ficheiro envolvidas pela chave de cofre)
• Gravações e transcrições de reuniões
• Embeddings de mensagens gerados por inteligência artificial e índices de pesquisa
• Perguntas e respostas de sondagens
• Reações associadas a mensagens encriptadas

12.3 No Modo 2, o Subcontratante pode aceder às seguintes categorias de Dados Pessoais:

• Identificadores de conta (IDs de utilizador, nomes de utilizador, endereços de correio eletrónico, nomes de apresentação)
• Dados de autenticação (hashes de palavras-passe Argon2id, chaves públicas)
• Metadados operacionais (endereços IP, identificadores de dispositivo, marcas temporais de início de sessão)
• Entradas da cadeia de auditoria HMAC (pseudonimizadas, registando o tipo de ação, a marca temporal e a referência pseudonimizada do utilizador)
• Configuração de canais e funções (nomes de canais, listas de membros, atribuições de permissões)
• Dados de faturação e licença

12.4 O Subcontratante trata as categorias acessíveis descritas na Secção 12.3 com base nas instruções do Responsável pelo tratamento e no presente Acordo. O Subcontratante não utilizará essas categorias de Dados Pessoais para qualquer finalidade que não seja a prestação dos Serviços.

Secção 13 — Modo 1 em Nuvem (ServerManaged)

13.1 O Modo 1 é um modelo de implantação legado no qual a chave de cofre do inquilino é envolvida por uma chave derivada de um segredo do lado do servidor, armazenado como segredo Docker ou variável de ambiente dentro do contentor do inquilino. Neste modelo, existe um caminho de acesso teórico multi-etapa através do qual o Subcontratante poderia, com esforço deliberado, aceder ao conteúdo encriptado.

13.2 O caminho de acesso multi-etapa requer: (i) acesso ao segredo Docker ou variável de ambiente do contentor que contém a chave de envolvimento; (ii) desencriptação da chave de cofre; e (iii) utilização da chave de cofre para desencriptar objetos de conteúdo individuais. Não existe qualquer ferramenta automatizada ou integrada para este efeito; a execução de comandos arbitrários dentro de um contentor em execução é bloqueada pela configuração do runtime do contentor (EXEC=0).

13.3 As seguintes salvaguardas reduzem o risco de acesso não autorizado no Modo 1:

• (a) A chave de envolvimento é armazenada exclusivamente como segredo Docker montado num caminho não acessível a pedidos de rede externos; não é passada como variável de ambiente em texto simples em implantações de produção.
• (b) O runtime do contentor é configurado com EXEC=0, impedindo a execução de comandos de shell interativos dentro de um contentor em execução.
• (c) O acesso à infraestrutura de contentores é restrito a um número reduzido de pessoal nomeado do Subcontratante; todos os acessos são registados na cadeia de auditoria HMAC.
• (d) As exportações de dados geradas pela Plataforma são elas próprias encriptadas com a chave de cofre do inquilino antes da transmissão.

13.4 Não obstante as salvaguardas da Secção 13.3, o Subcontratante trata todas as categorias de dados descritas no Anexo I como potencialmente acessíveis ao Subcontratante no Modo 1, aplicando em conformidade a totalidade das obrigações da Parte I sem qualificação às implantações do Modo 1.

13.5 O Modo 1 encontra-se em processo de descontinuação. Os novos inquilinos em nuvem são provisionados no Modo 2 por predefinição. Os inquilinos existentes no Modo 1 são notificados do calendário de migração através da interface de administração e por correio eletrónico para o contacto de faturação.

Parte III — Encriptação Ponta a Ponta

Secção 14 — Cláusula de Encriptação Ponta a Ponta

14.1 No Modo 2, o Subcontratante declara e garante que as seguintes seis condições se encontram cumpridas relativamente aos Dados Encriptados E2E:

• (a) A encriptação de conteúdo utiliza AES-256-GCM com chaves aleatórias de 256 bits por objeto. As chaves de mensagem são derivadas de troca de chaves ECDH entre os dispositivos do remetente e do destinatário. As chaves de ficheiro são valores aleatórios de 256 bits envolvidos pela chave de cofre do inquilino com AES-256-GCM.
• (b) Os ficheiros são armazenados exclusivamente no formato CHEF, no qual o conteúdo do ficheiro é encriptado em blocos autenticados, a chave por ficheiro é envolvida pela chave de cofre, e a chave de cofre não é acessível ao Subcontratante.
• (c) Os slots da chave de cofre são protegidos com derivação de chave equivalente a LUKS. O cofre não pode ser aberto sem a frase-passe ou o token de hardware do Responsável pelo tratamento.
• (d) O cofre encontra-se selado em repouso. A chave de cofre não selada existe apenas na memória do processo do servidor durante uma sessão ativa e não é escrita em disco, armazenamento de cópias de segurança ou qualquer registo em forma não selada.
• (e) O Subcontratante não detém qualquer cópia da frase-passe de cofre ou token de hardware do Responsável pelo tratamento, e não é feita qualquer custódia da chave de cofre não selada na infraestrutura do Subcontratante.
• (f) Não existe qualquer mecanismo de contorno técnico no software da Plataforma que permita ao Subcontratante aceder ao conteúdo encriptado sem a chave de cofre. O Subcontratante compromete-se a não introduzir tal mecanismo.

14.2 As medidas de encriptação previstas na Secção 14.1 constituem uma medida suplementar na aceção das Recomendações 01/2020 do CEPD sobre medidas que complementam os instrumentos de transferência para assegurar o cumprimento do nível de proteção de dados pessoais da UE. Especificamente, as medidas satisfazem os seguintes seis critérios identificados nessas Recomendações:

• (i) Os dados são encriptados antes de saírem da infraestrutura do responsável pelo tratamento ou do subcontratante com destino a um subcontratante ulterior num país terceiro.
• (ii) O algoritmo de encriptação e o comprimento da chave (AES-256-GCM) são considerados estado da técnica e resistiram ao escrutínio público.
• (iii) As chaves são geridas exclusivamente pelo responsável pelo tratamento ou por uma entidade de confiança num país que oferece proteção adequada.
• (iv) Os dados não são disponibilizados em forma não encriptada no país terceiro.
• (v) O subcontratante ulterior não pode aceder às chaves de encriptação.
• (vi) Não existe qualquer mecanismo técnico que permita ao subcontratante ulterior forçar o acesso aos dados em texto simples.

14.3 Em caso de Incidente de Segurança que envolva exclusivamente Dados Encriptados E2E tratados no Modo 2, o Subcontratante avaliará, e indicará na sua notificação de violação de dados ao abrigo da Secção 7, se o incidente se enquadra na isenção prevista no artigo 34.º(3)(a) do RGPD, com fundamento em que os dados são ininteligíveis para qualquer pessoa não autorizada a aceder-lhes, por força das medidas da Secção 14.1.

14.4 Limitação de payload de notificações push: Os payloads de notificações push transmitidos para gateways de terceiros (FCM, APNs) contêm apenas: um token de encaminhamento, um incremento do contador de mensagens e um identificador de som de notificação. Nenhum conteúdo de mensagem, nome de canal, nome do remetente ou outro Dado Pessoal é incluído no payload de push. Esta limitação aplica-se tanto no Modo 1 como no Modo 2.

14.5 As declarações constantes das alíneas (d), (e) e (f) da Secção 14.1 aplicam-se apenas ao Modo 2. No Modo 1, o caminho de acesso do Subcontratante descrito na Secção 13.1 implica que as alíneas (d), (e) e (f) da Secção 14.1 não possam ser garantidas, e a avaliação de medida suplementar da Secção 14.2 não se aplica relativamente à chave de cofre e ao conteúdo encriptado com a mesma.

Parte IV — Disposições Gerais

Secção 15 — Encarregado de Proteção de Dados

15.1 O Subcontratante avaliou as suas obrigações ao abrigo do artigo 37.º do RGPD e determinou que a designação de um Encarregado de Proteção de Dados não é obrigatória no momento atual com os seguintes fundamentos: as atividades principais do Subcontratante consistem na operação de uma plataforma de infraestrutura de comunicações; o Subcontratante não realiza, a título de atividade principal, controlo regular e sistemático de pessoas singulares em grande escala; e as categorias especiais de dados na aceção do artigo 9.º do RGPD não são tratadas em grande escala a título de atividade principal.

15.2 O Subcontratante designa o seu contacto para privacidade (privacy@thechatapp.chat) como primeiro ponto de contacto para todas as questões de proteção de dados provenientes do Responsável pelo tratamento, dos Titulares dos dados e das autoridades de controlo. Este ponto de contacto tem acesso às equipas jurídica e técnica do Subcontratante e está autorizado a responder em nome do Subcontratante.

15.3 O Subcontratante reavaliará a sua obrigação de designar um EPD pelo menos anualmente e notificará o Responsável pelo tratamento caso essa avaliação se altere.

Secção 16 — Autoridade de Controlo

16.1 A autoridade de controlo principal do Subcontratante é a Comissão Nacional de Proteção de Dados (CNPD), Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, Portugal, telefone +351 213 928 400, correio eletrónico geral@cnpd.pt.

16.2 O presente Acordo não afeta o direito do Responsável pelo tratamento de apresentar reclamação a qualquer autoridade de controlo em qualquer Estado-Membro onde o Responsável pelo tratamento esteja estabelecido ou onde tenha ocorrido a alegada infração.

Secção 17 — Lei Aplicável e Jurisdição

17.1 O presente Acordo é regido pela lei portuguesa, sem atenção às suas disposições em matéria de conflito de leis, e as partes submetem-se à jurisdição exclusiva dos tribunais de Lisboa, Portugal, salvo quando diversamente exigido pelas CCT ou pelo Adendo do Reino Unido.

17.2 Quando uma disposição do presente Acordo conflituar com um requisito imperativo do RGPD ou da Lei n.º 58/2019, o requisito imperativo prevalece na medida do conflito.

Secção 18 — Responsabilidade

18.1 A responsabilidade de cada parte perante a outra no âmbito do presente Acordo está sujeita às limitações e exclusões constantes do Acordo de Prestação de Serviços, salvo que nenhuma limitação ou exclusão de responsabilidade se aplica na medida em que impeça qualquer das partes de cumprir as suas obrigações imperativas ao abrigo do RGPD.

18.2 O Subcontratante reconhece que o presente Acordo não limita o direito do Responsável pelo tratamento de exigir indemnização ao Subcontratante ao abrigo do artigo 82.º do RGPD, nem limita a exposição do Subcontratante a coimas administrativas ao abrigo do artigo 83.º do RGPD, na medida em que tais coimas sejam aplicadas por uma autoridade de controlo competente.

Secção 19 — Vigência e Sobrevivência

19.1 O presente Acordo produz efeitos na data de entrada em vigor do Acordo de Prestação de Serviços e mantém-se em vigor durante a vigência desse acordo, incluindo quaisquer períodos de renovação.

19.2 A cessação ou caducidade do presente Acordo não afeta quaisquer direitos ou obrigações já constituídos.

19.3 As seguintes Secções subsistem após a cessação ou caducidade: Secção 3 (Confidencialidade), Secção 9 (Devolução e Eliminação de Dados), Secção 10 (Direitos de Auditoria) e Secção 14 (Cláusula de Encriptação Ponta a Ponta) na medida em que sejam relevantes para obrigações pós-cessação.

Secção 20 — Certificação como Prestador de Serviços ao abrigo da CCPA

20.1 Na medida em que o Responsável pelo tratamento trate informações pessoais de residentes da Califórnia sujeitas à California Consumer Privacy Act de 2018, alterada pela California Privacy Rights Act (CCPA/CPRA), o Subcontratante certifica o seguinte:

• (a) O Subcontratante não vende nem partilha informações pessoais recebidas do Responsável pelo tratamento na aceção do Cal. Civ. Code § 1798.140(ad) e (ah), e não o fará.
• (b) O Subcontratante não retém, utiliza nem divulga informações pessoais para qualquer finalidade comercial que não seja a prestação dos Serviços especificados no Acordo de Prestação de Serviços ou conforme de outro modo permitido pela CCPA/CPRA.
• (c) O Subcontratante não combina informações pessoais recebidas do Responsável pelo tratamento com informações pessoais recebidas de ou recolhidas em relação à atividade de outra pessoa, ou recolhidas a partir das próprias interações do Subcontratante com consumidores, exceto conforme permitido pelos regulamentos da CCPA/CPRA.

Secção 21 — Alterações

21.1 Qualquer alteração ao presente Acordo deve ser efetuada por escrito e assinada por representantes autorizados de ambas as partes, salvo conforme previsto na Secção 21.2.

21.2 O Subcontratante pode atualizar a lista de Subcontratantes Ulteriores (Anexo III) e o resumo das MTO (Anexo II) sem alteração formal ao presente Acordo, mediante a prestação do aviso exigido nos termos da Secção 5.2 e da Secção 4.4, respetivamente. Tais atualizações produzem efeitos no final do período de aviso aplicável, salvo se o Responsável pelo tratamento se opuser em conformidade com a Secção 5.3 ou a Secção 4.4.

21.3 Se qualquer disposição do presente Acordo for declarada inválida, ilegal ou inexequível por um tribunal competente ou por uma autoridade de controlo, as restantes disposições continuarão plenamente em vigor. As partes negociarão de boa fé para substituir a disposição inválida por uma que alcance o mesmo objetivo jurídico e comercial.

Anexo I — Descrição do Tratamento

A. Partes

B. Titulares dos Dados

O tratamento abrange Dados Pessoais relativos às seguintes categorias de Titulares dos dados:

• 1. Colaboradores e utilizadores autorizados: Pessoas singulares que sejam colaboradores, prestadores de serviços ou outros indivíduos autorizados pelo Responsável pelo tratamento a utilizar a Plataforma, incluindo contas de utilizador criadas pelos administradores do Responsável pelo tratamento.
• 2. Partes externas através do WebChat: Pessoas singulares que interagem com a equipa do Responsável pelo tratamento através da interface de convidado baseada na web (WebChat ou widget de chat incorporado), sem deter uma conta registada na Plataforma.

C. Categorias de Dados Pessoais

D. Finalidade do Tratamento

O Subcontratante trata Dados Pessoais com a única finalidade de disponibilizar, manter e melhorar a plataforma de comunicação empresarial TheChatApp por conta do Responsável pelo tratamento. Tal inclui autenticação e controlo de acessos, entrega e armazenamento de mensagens, carregamento e recuperação de ficheiros, gestão de reuniões, entrega de notificações push, integração de calendário, funcionalidades de pesquisa e embedding por inteligência artificial, administração e registo de auditoria, gestão de faturação e licenças, e suporte técnico. O Subcontratante não tratará Dados Pessoais para qualquer finalidade incompatível com as instruções documentadas do Responsável pelo tratamento ou com o Acordo de Prestação de Serviços.

E. Duração

O tratamento tem início na data de entrada em vigor do Acordo de Prestação de Serviços e prolonga-se pela sua duração, incluindo quaisquer períodos de renovação automática, salvo cessação antecipada em conformidade com a Secção 9. As obrigações pós-cessação, incluindo o apagamento de dados e a retenção de registos de faturação, encontram-se descritas na Secção 9.

Anexo II — Medidas Técnicas e Organizativas

A tabela seguinte resume as atuais medidas técnicas e organizativas de segurança do Subcontratante em conformidade com o artigo 32.º do RGPD. A documentação completa das MTO encontra-se disponível mediante pedido no prazo de dez Dias Úteis.

Anexo III — Subcontratantes Ulteriores

O registo completo de Subcontratantes Ulteriores, incluindo denominações legais das entidades, dados de registo, estatuto do ATD, mecanismos de transferência e política de notificação de alterações, é mantido em thechatapp.chat/subprocessors. O registo é atualizado com pelo menos 30 Dias Úteis de antecedência relativamente ao início do tratamento de Dados Pessoais por qualquer novo Subcontratante Ulterior.

A tabela seguinte lista os Subcontratantes Ulteriores atuais na data do presente Acordo:

Em conformidade com a Secção 5.2 do presente Acordo, o Responsável pelo tratamento será notificado com pelo menos 30 Dias Úteis de antecedência antes de qualquer Subcontratante Ulterior ser adicionado ou substituído, com direito de oposição conforme descrito na Secção 5.3.

Apêndice A — Referência às Cláusulas Contratuais Tipo

Quando as transferências de Dados Pessoais para países terceiros não sejam abrangidas por uma decisão de adequação ou por uma certificação de framework reconhecida (Secção 8.1), tais transferências são efetuadas sujeitas às Cláusulas Contratuais Tipo para a transferência de dados pessoais para países terceiros ao abrigo do Regulamento (UE) 2016/679 (Decisão da Comissão 2021/914/UE), do seguinte modo:

• Módulo 2 (Responsável pelo tratamento para Subcontratante): Rege as transferências em que o Responsável pelo tratamento transfere Dados Pessoais para o Subcontratante (ou para um Subcontratante Ulterior) localizado num país terceiro sem decisão de adequação. O Subcontratante atua como importador de dados ao abrigo do Módulo 2.
• Módulo 3 (Subcontratante para Subcontratante): Rege as transferências subsequentes do Subcontratante para Subcontratantes Ulteriores localizados num país terceiro sem decisão de adequação.

A lei aplicável tanto ao Módulo 2 como ao Módulo 3 é a lei de Portugal. Os tribunais competentes para litígios emergentes das CCT são os tribunais de Lisboa, Portugal.

Cláusulas opcionais selecionadas: Cláusula 7 (cláusula de adesão) — não selecionada. Cláusula 9(a) (autorização geral por escrito para subcontratantes) — selecionada. Cláusula 11 (recurso) — linguagem opcional não incluída.

Adendo Internacional de Transferência de Dados do Reino Unido (IDTA): Para transferências de dados pessoais que se enquadrem no âmbito da lei britânica de proteção de dados (UK GDPR tal como incorporado no direito britânico pelo European Union (Withdrawal) Act 2018), o Adendo do Reino Unido (versão B1.0, emitido pelo ICO em 21 de março de 2022) é incorporado e faz parte integrante das CCT como adendo, em conformidade com os seus termos. O Subcontratante atua como importador de dados ao abrigo do Adendo do Reino Unido. A Tabela 1 do Adendo do Reino Unido é preenchida por referência às partes e aos detalhes de tratamento constantes do Anexo I do presente Acordo.

Contraassinatura

Ao assinar abaixo, as partes acordam ficar vinculadas pelos termos do presente Acordo de Tratamento de Dados a partir da mais recente das duas datas de assinatura. Quando o Responsável pelo tratamento tiver aceite eletronicamente o Acordo de Prestação de Serviços, o presente ATD é incorporado por referência e a aceitação eletrónica constitui a assinatura do Responsável pelo tratamento para efeitos deste bloco.

Para questões sobre este ATD, contacte privacy@thechatapp.chat.

Autoridade de controlo: Comissão Nacional de Proteção de Dados (CNPD), Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, Portugal.