Tratamento de Dados Pessoais
(PUA)
Tratamento de Dados Pessoais
CLIENTES QUE CONFIAM NO NOSSO TRABALHO
Acordo de Tratamento de Dados Pessoais
Preâmbulo
Considerando que:
A. A Legislação de Proteção de Dados Aplicável permite que um Responsável pelo Tratamento nomeie uma pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo ou entidade para atuar como seu Subcontratante no que respeita a Tratamentos de Dados Pessoais.
B. O Subcontratante a nomear deve apresentar garantias suficientes, em virtude da sua experiência, competências e fiabilidade, de execução de medidas técnicas e organizativas adequadas, de tal forma que as atividades de Tratamento que deva realizar satisfaçam os requisitos da Legislação de Proteção de Dados Aplicável e assegurem a defesa dos direitos dos Titulares dos Dados, inclusive no que diz respeito a questões de segurança.
C. O presente Acordo de Tratamento de Dados Pessoais, incluindo os seus Anexos (“DPA”), é celebrado entre a o Cliente, e a Mixlife Lda. O Cliente e a Mixlife serão conjuntamente referidos como as “Partes”, e cada um individualmente como “Parte”. O presente DPA é celebrado entre as Partes para formalizar o seu acordo no que respeita à sua relação de Tratamento de Dados Pessoais, nos termos da Legislação de Proteção de Dados Aplicável.
D. A Mixlife Lda fornece actualmente ao Cliente os serviços (“Serviços”) ativados pelo Cliente nos termos das Condições Gerais de Serviço aplicáveis, bem como demais condições particulares relevantes, disponíveis em: https://mixlife.pt/legal (“Condições”). No âmbito da prestação dos Serviços, a Mixlife Lda poderá Tratar Dados Pessoais por conta do Cliente, nos termos do presente DPA.
E. As finalidades do Tratamento de Dados Pessoais a realizar pela Mixlife Lda no âmbito da prestação dos Serviços estão descritas no Anexo 1 do presente DPA.
F. As Partes celebraram o presente DPA para garantir o seu cumprimento com as Legislação de Proteção de Dados Aplicável para estabelecer garantias e procedimentos para o Tratamento lícito de Dados Pessoais entre elas. O Cliente confirma que as disposições estabelecidas no presente DPA refletem as obrigações que a Legislação de Proteção de Dados Aplicável impõe à Mixlife Lda no que respeita ao Tratamento de Dados Pessoais realizado por esta no âmbito da prestação dos Serviços. Por sua vez, a Mixlife Lda compromete-se a cumprir com o disposto no presente DPA.
G. O presente documento, uma vez descarregado, será preenchido, assinado e enviado pelo Cliente para [email protected]. Seguidamente, será também assinado pela Mixlife Lda e o Cliente. Uma vez assinado por ambas as Partes, o presente DPA substituirá integralmente qualquer outro acordo anteriormente celebrado entre as Partes com o mesmo âmbito.
Os considerandos acima fazem parte integrante do DPA.
1. Definições
Todos os termos com letra inicial maiúscula usados neste DPA terão o significado que lhes tenha sido dado nas Condições, exceto se estiverem especificamente definidas nesta Cláusula. Os termos do presente DPA respeitantes ao Tratamento de Dados Pessoais prevalecerão sobre quaisquer disposições conflituantes ou inconsistentes das Condições.
“Autoridade de Controlo”: qualquer autoridade pública responsável pela fiscalização da aplicação da Legislação de Proteção de Dados Aplicável relativamente ao Tratamento de Dados Pessoais do Cliente;
“Categorias Especiais de Dados Pessoais”: Dados Pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o Tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa: Esta definição inclui também Dados Pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas;
“Cláusulas Contratuais-Tipo”: as cláusulas contratuais-tipo aplicáveis à transferência de Dados Pessoais para países terceiros nos termos do Regulamento, aprovadas pela Comissão Europeia na sua Decisão de Execução (UE) 2021/914, de 4 de junho de 2021;
“Cliente”: a entidade que adquire os Serviços;
“Condições”: as Condições Gerais de Serviço aplicáveis, bem como demais condições particulares relevantes, disponíveis em: https://mixlife.pt/legal;
“Dados Pessoais”: qualquer informação relativa a um Titular dos Dados;
“Dados Pessoais do Cliente”: Dados Pessoais Tratados no âmbito da prestação dos Serviços;
“Decisão de Adequação”: uma decisão juridicamente vinculativa emitida pela Comissão Europeia referente a um país terceiro, considerado adequado em termos de garantias de proteção de Dados Pessoais pela Comissão Europeia, que permite a transferência de Dados Pessoais a partir do EEE para esse país;
“Direitos do Titular dos Dados”: os direitos reconhecidos ao Titular dos Dados pela Legislação de Proteção de Dados Aplicável. Na medida em que o Regulamento seja aplicável, isto inclui, por exemplo, o direito de acesso, o direito de retificação, o direito ao apagamento, o direito à limitação do tratamento, o direito de portabilidade dos dados e o direito de oposição;
“DPA”: o presente Acordo de Tratamento de Dados Pessoais, incluindo os seus Anexos 1, 2 e 3;
“EEE”: o Espaço Económico Europeu;
“Exportador de Dados” tem o significado estabelecido nas Cláusulas Contratuais-Tipo;
“Importador de Dados” tem o significado estabelecido nas Cláusulas Contratuais-Tipo;
“Legislação de Proteção de Dados Aplicável”: nos Estados-Membros da UE, significa o Regulamento e demais legislação de privacidade/proteção de Dados Pessoais dos Estados-Membros da UE, incluindo quaisquer orientações e/ou códigos de prática emitidos por Autoridades de Controlo da UE; noutros países, qualquer legislação de privacidade/proteção de dados aplicável;
“Lista de Sub-subcontratantes”: a lista de Sub-subcontratantes que pode ser obtida mediante solicitação por escrito para [email protected];
“Regulamento”: o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC;
“Responsável pelo Tratamento”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outros, determina os fins e os meios de um Tratamento de Dados Pessoais;
“Responsável pelo Tratamento Não-EEE”: um Responsável pelo Tratamento à qual a Mixlife Lda fornece os Serviços que esteja estabelecido num país fora do EEE, e que não esteja sujeito ao Regulamento nos termos do seu artigo 3.º, n.º 2;
“Serviços”: os serviços ativados pelo Cliente nos termos das Condições; “Serviços com Sub-subcontratantes Não-EEE”: Registo e gestão de gTLD, ccTLD ou ngTLD.
“Subcontratante”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que Trata Dados Pessoais por conta de um Responsável pelo Tratamento de Dados;
“Sub-Subcontratante”: uma entidade contratada pela Mixlife Lda para auxiliar no Tratamento dos Dados Pessoais do Cliente nos termos do presente DPA, listada na Lista de Subcontratantes e cuja contratação foi aprovada pelo Cliente nos termos da Cláusula 5.ª do presente DPA;
“Sub-subcontratante Não-EEE” um Sub-subcontratante que Trate Dados Pessoais do Cliente num país fora do EEE, e que não esteja sujeita ao Regulamento nos termos do seu artigo 3.º, n.º 2;
“Tratamento”: qualquer operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. “Tratar” significa a realização de qualquer deste tipo de operações, e “Tratados” refere-se a Dados Pessoais que sejam submetidos a qualquer deste tipo de operações;
“Titular dos Dados”: uma pessoa singular identificada ou identificável, cujos Dados Pessoais sejam Tratados. Uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular;
“UE”: a União Europeia;
“Violação de Dados Pessoais”: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a Dados Pessoais do Cliente transmitidos, conservados ou sujeitos a qualquer outro tipo de Tratamento.
2. Funções de Tratamento de Dados Pessoais
2.1. As Partes concordam que:
a) O Cliente é o Responsável pelo Tratamento dos Dados Pessoais do Cliente, salvo quando o Cliente atue como Subcontratante por conta de terceiro (que seja o Responsável pelo Tratamento dos Dados Pessoais do Cliente, ou que por sua vez também atue como Subcontratante por conta de terceiro). O Cliente, ou o Responsável pelo Tratamento relevante, determina as finalidades da recolha e Tratamento dos Dados Pessoais do Cliente;
b) A Mixlife Lda atua, em qualquer caso, como Subcontratante por conta do Cliente quanto ao Tratamento dos Dados Pessoais do Cliente no âmbito da prestação dos Serviços; e
c) O presente DPA regula a relação entre as Partes no que respeita aos seus direitos e obrigações respetivas em relação ao Tratamento de Dados Pessoais do Cliente realizado pela Mixlife Lda, enquanto Subcontratante, no âmbito da prestação dos Serviços.
3. Obrigações da Mixlife Lda
3.1. O Cliente, ou o Responsável pelo Tratamento relevante, determina as finalidades do Tratamento de Dados Pessoais do Cliente no âmbito da prestação dos Serviços.
3.2. No âmbito da prestação dos Serviços, a Mixlife Lda compromete-se a cumprir as seguintes obrigações, incluindo as definidas nos Anexos 1 e 2 do presente DPA:
a) A Mixlife Lda deve tratar os Dados Pessoais do Cliente apenas na medida do necessário para a prestação dos Serviços, nos termos das instruções escritas dadas pelo Cliente através do presente DPA;
b) A Mixlife Lda deve notificar o Cliente caso considere que uma instrução escrita dada pelo Cliente esteja em violação da Legislação de Proteção de Dados Aplicável. Sem prejuízo do disposto, a Mixlife Lda não está obrigada a realizar uma análise jurídica exaustiva de qualquer instrução escrita dada pelo Cliente;
c) A Mixlife Lda, enquanto Subcontratante, deve notificar o Cliente sem demora indevida quanto a qualquer contacto ou comunicação que receba de uma Autoridade de Controlo relativa ao Tratamento de Dados Pessoais do Cliente. As Partes reconhecem e aceitam que, na medida em que a Mixlife Lda não esteja legalmente obrigada a responder a tais contatos ou comunicações, a responsabilidade de fornecer uma resposta recai sobre o Cliente, e não sobre a Mixlife Lda;
d) A Mixlife Lda implementou medidas operativas, técnicas e organizativas, incluindo as descritas no Anexo 2 do presente DPA, destinadas a garantir a segurança dos Dados Pessoais do Cliente. O Cliente autoriza a Mixlife Lda a implementar medidas alternativas adequadas, ou usar locais alternativos para Tratamento dos Dados Pessoais do Cliente, desde que o nível de segurança das medidas ou dos locais seja mantido ou reforçado em comparação com as medidas declaradas no presente DPA;
e) Caso a Mixlife Lda divulgue Dados Pessoais do Cliente a seus colaboradores que estejam envolvidos na prestação dos Serviços, a Mixlife Lda deve garantir que tais colaboradores: i) assumiram um compromisso de confidencialidade ou estão sujeitos a adequadas obrigações legais de confidencialidade, e; ii) Tratam Dados Pessoais do Cliente sob as instruções da Mixlife Lda, em conformidade com as suas obrigações nos termos do presente DPA.
4. Obrigações do Cliente
4.1. O Cliente reconhece e aceita que, para que a Mixlife Lda possa prestar os Serviços, o Cliente deve fornecer à Mixlife Lda acesso aos Dados Pessoais do Cliente. O Cliente compromete-se a verificar que as medidas de segurança listadas no Anexo 2 do presente DPA são adequadas tendo em conta os tipos de Dados Pessoais contidos nos Dados Pessoais do Cliente.
4.2. O Cliente declara e garante que:
a) Tem um fundamento jurídico apropriado (p.e., consentimento, interesses legítimos, necessidade de Tratamento para cumprimento de contrato, etc.) para Tratar e divulgar os Dados Pessoais do Cliente à Mixlife Lda no âmbito da prestação dos Serviços; e,
b) As disposições estabelecidas no presente DPA refletem as obrigações que a Legislação de Proteção de Dados Aplicável impõem à Mixlife Lda quanto ao Tratamento de Dados Pessoais do Cliente no âmbito da prestação dos Serviços.
5. Consentimento para Subcontratação
5.1. O Cliente reconhece, concorda e aceita que, para a finalidade única e exclusiva de assegurar a prestação dos Serviços e sempre de acordo com os termos do presente DPA, os Dados Pessoais do Cliente podem ser Tratados pela Mixlife Lda ou pelos seus Subcontratantes, conforme identificados na Lista de Subcontratantes.
5.2. Nos termos da Cláusula 5.1., o Cliente fornece à Mixlife Lda uma autorização geral para a contratação de Subcontratantes, desde que a Mixlife Lda:
a) Forneça previamente ao Cliente informações sobre a identidade dos Subcontratantes, conforme identificados na Lista de Subcontratantes, e notifique o Cliente de qualquer atualização à Lista de Subcontratantes, para que o Cliente possa se opor à contratação de novos Subcontratantes;
b) Celebre acordos com os Subcontratantes que contenham as mesmas obrigações relativas ao Tratamento de Dados Pessoais do Cliente que as estabelecidas no presente DPA;
c) Exerça a devida diligência na seleção de Subcontratantes e permaneça responsável pelo cumprimento dos Subcontratantes com as obrigações estabelecidas no presente DPA;
d) A pedido do Cliente, forneça ao Cliente detalhes, na medida do razoável, quanto a medidas tomadas pela Mixlife Lda e seus Subcontratantes para cumprir, na prática, com os termos do presente DPA.
6. Transferências de Dados Pessoais
6.1. Se o Cliente adquirir um ou mais Serviços com Sub-subcontratantes Não-EEE, a Mixlife Lda pode, nos termos da Cláusula 5 acima, transferir Dados Pessoais do Cliente para um ou mais Sub-subcontratantes Não-EEE, que serão considerados Importadores de Dados nos termos das Cláusulas Contratuais-Tipo. Neste caso, caso não exista uma Decisão de Adequação aplicável a um Subsubcontratante Não-EEE, a Mixlife Lda compromete-se a assinar Cláusulas Contratuais-Tipo com tal Sub-subcontratante Não-EEE, sendo aplicáveis somente as cláusulas do MÓDULO TRÊS: Transferência entre Subcontratantes (com exclusão dos outros MÓDULOS).
6.2. Nenhum termo do presente DPA deve ser interpretado como prevalecendo sobre qualquer cláusula conflitante das Cláusulas Contratuais-Tipo.
6.3. O Cliente pode solicitar a oportunidade de rever as Cláusulas Contratuais-Tipo assinadas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo Dados Pessoais, a Mixlife Lda pode remover parte do texto das Cláusulas Contratuais-Tipo antes de partilhar uma cópia com o Cliente.
6.4. O Cliente reconhece que é responsabilidade do Cliente cumprir com quaisquer obrigações adicionais aplicáveis e necessárias para assegurar a licitude de transferências de Dados Pessoais para a Mixlife Lda e para os Subcontratantes Não-EEE, nos termos da Legislação de Proteção de Dados Aplicável.
6.5. Caso o Cliente seja um Responsável pelo Tratamento Não-EEE, a Mixlife Lda e Cliente aceitam que as Cláusulas Contratuais-Tipo sejam consideradas como incorporadas no presente DPA, sendo aplicáveis a qualquer transferência de Dados Pessoais do Cliente realizada pela Mixlife Lda para o Cliente no âmbito da prestação dos Serviços. Neste caso, aplicam-se as seguintes especificações às Cláusulas Contratuais-Tipo:
(i) A Cláusula 7 é aplicável;
(ii) Apenas são aplicáveis as cláusulas do MÓDULO QUATRO: Transferência de Subcontratante para Responsável pelo Tratamento (com exclusão dos outros MÓDULOS);
(iii) As Cláusulas 14 e 15 não são aplicáveis, uma vez que a prestação dos Serviços não implicam a combinação pela Mixlife Lda de Dados Pessoais do Cliente recebidos do Cliente com outros Dados Pessoais que recolha na UE;
(iv) Nos termos da Cláusula 17, as leis de Portugal serão aplicáveis;
(v) Nos termos da Cláusula 18, os tribunais de Portugal serão os competentes;
(vi) O Anexo 1 do presente DPA será aplicável como Anexo I das Cláusulas Contratuais-Tipo.
7. Obrigações de Cooperação e Responsabilidade
7.1. As Partes devem colaborar de boa fé para garantir o cumprimento das disposições do presente DPA, incluindo, mas não se limitando a, assegurar o exercício correto e oportuno dos Direitos do Titular dos Dados, bem como gerir incidentes em caso de violação de segurança/Violação de Dados Pessoais, a fim de mitigar os seus possíveis efeitos adversos.
7.2 As Partes devem colaborar de boa fé para disponibilizar a cada Parte, bem como a Autoridades de Controlo, as informações necessárias para demonstrar o cumprimento da Legislação de Proteção de Dados Aplicável.
8. Direitos do Titular dos Dados
8.1. Tendo em conta a natureza do Tratamento de Dados Pessoais do Cliente, a Mixlife Lda deve prestar assistência ao Cliente através de medidas técnicas e organizativas adequadas, para permitir que o Cliente cumpra a sua obrigação de dar resposta a pedidos de exercício de Direitos do Titular dos Dados.
8.2. A Mixlife Lda deve fornecer ao Cliente cooperação e assistência na medida do razoável, e deve prestar informações que sejam razoavelmente necessárias para que o Cliente possa responder aos Titulares dos Dados, ou possa cumprir as suas obrigações respeitantes a a Direitos do Titular dos Dados nos termos da Legislação de Proteção de Dados Aplicável. O Cliente reconhece e aceita que, caso tal cooperação e assistência exijam o dispêndio de recursos significativos por parte da Mixlife Lda, poderá ser cobrada uma taxa mediante aviso prévio com o acordo do Cliente, sendo essa taxa calculada com base nos custos administrativos envolvidos para a Mixlife Lda.
9. Devolução e Apagamento de Dados
9.1. A Mixlife Lda deve, sem qualquer custo para o Cliente, devolver ou apagar Dados Pessoais do Cliente a qualquer momento e sem demora indevida, bem como após a cessação do presente DPA, desde que tal seja solicitado por escrito pelo Cliente com um aviso razoável, salvo se obrigações legais (incluindo, mas não apenas, obrigações legais derivadas da Legislação de Proteção de Dados Aplicável) ou ordens vinculativas de autoridades públicas (incluindo, mas não apenas, ordens de Autoridades de Controlo), impeçam a Mixlife Lda de proceder a tal devolução ou apagamento.
9.2. As solicitações do Cliente para devolução de Dados Pessoais do Cliente serão atendidas na medida do exequível, sujeitos a limitações técnicas e organizativas comercialmente razoáveis e proporcionais ao volume, tipologia e quantidade de Dados Pessoais Tratados.
9.3. A devolução de Dados Pessoais do Cliente segundo os procedimentos internos definidos pela Mixlife Lda será feita sem custo para o Cliente. Caso contrário, será cobrado um custo razoável ao Cliente.
9.4. Caso o Cliente opte pelo apagamento de Dados Pessoais do Cliente, e sem prejuízo da Cláusula 9.5, a Mixlife Lda fornecerá uma declaração que garanta que tal apagamento tenha sido realizado.
9.5. A Mixlife Lda pode reter Dados Pessoais do Cliente que (1) sejam retidos de acordo com operações regulares de backup de sistemas informáticos em conformidade com os protocolos da Mixlife Lda de recuperação de desastres e continuidade de negócios (vide Cláusula 12), ou que (2) sejam necessários para a demonstração do cumprimento de quaisquer obrigações contratuais ou legais aplicáveis à prestação dos Serviços por parte da Mixlife Lda desde que esses Dados Pessoais do Cliente não sejam ativa ou intencionalmente Tratados, pela Mixlife Lda ou seus Sub-subcontratantes, para quaisquer outras finalidades que a prestação dos Serviços ou a demonstração de tal cumprimento (p.e., em processos judiciais e extrajudiciais relevantes).
10. Transmissões
10.1. Os Dados Pessoais que sejam transmitidos através da Internet pela Mixlife Lda no âmbito da prestação dos Serviços devem ser razoavelmente cifrados. As Partes reconhecem, no entanto, que a segurança das transmissões de dados pela Internet não pode ser garantida. A Mixlife Lda não assume qualquer responsabilidade pelo acesso do Cliente à Internet, por qualquer intercepção ou interrupção de comunicações feitas através da Internet, ou por alterações ou perdas de Dados Pessoais através da Internet.
10.2. Se houver uma suspeita de Violação de Dados Pessoais, a Mixlife Lda pode suspender a prestação dos Serviços através da Internet imediatamente na pendência de uma investigação, desde que a Mixlife Lda notifique tal suspensão ao Cliente assim que razoavelmente possível, tome todas as medidas razoáveis para restaurar prontamente a prestação dos Serviços através da Internet e coopere com o Cliente assegurar a continuidade da prestação dos Serviços através de outros canais de comunicação, quando possível.
10.3. O Cliente deve tomar todas as medidas que sejam necessárias, adequadas e razoáveis para assegurar a confidencialidade dos nomes e palavras-passe de acesso aos Serviços dos seus colaboradores. O Cliente será responsável por qualquer uso indevido dos Serviços por qualquer dos seus colaboradores.
11. Violações de Dados Pessoais
11.1 O Cliente reconhece e aceita que a Mixlife Lda não será considerada responsável por qualquer Violação de Dados Pessoais que não seja imputável à Mixlife Lda, pelo menos a título de negligência.
11.2 Se aMixlife Lda tomar conhecimento de uma Violação de Dados Pessoais, deve:
a) tomar medidas apropriadas para conter e mitigar tal Violação de Dados Pessoais, incluindo notificar o Cliente sem demora indevida, para permitir que o Cliente implemente prontamente os seus programas de resposta. Sem prejuízo do disposto, a Mixlife Lda reservase o direito de determinar as medidas que tomará para cumprir com as suas obrigações ao abrigo da Legislação de Proteção de Dados Aplicável ou para proteger os seus direitos e interesses;
b) cooperar com o Cliente para investigar: a natureza da Violação de Dados Pessoais, as categorias e o número aproximado de Titulares dos Dados afetados, as categorias e o número aproximado de registos de Dados Pessoais afetados e as consequências prováveis de qualquer Violação de Dados Pessoais, consoante a gravidade e o impacto geral da Violação no Cliente e na prestação dos Serviços ao abrigo do presente DPA;
c) quando a Legislação de Proteção de Dados Aplicável exija a notificação da Violação de Dados Pessoais a uma Autoridade de Controlo relevante e/ou aos Titulares dos Dados afetados, e na medida em que tenham sido afetados Dados Pessoais do Cliente, pedir e seguir as instruções dadas pelo Cliente, uma vez que ao Cliente assiste o direito exclusivo de determinar as medidas a tomar para cumprir com a Legislação de Proteção de Dados Aplicável ou para mitigar quaisquer riscos, incluindo, mas não apenas:
i. Decidir se devem ser notificados quaisquer indivíduos, reguladores, autoridades públicas, agências de proteção do consumidor ou outros, conforme exigido pela Legislação de Proteção de Dados Aplicável, ou a critério do Cliente; e
ii. Decidir o conteúdo de tais notificações, bem como se qualquer tipo de compensação deva ser oferecida aos Titulares dos Dados afetados e, em caso afirmativo, o tipo e medida de tal compensação.
12. Recuperação de Desastres e Continuidade de Negócios
12.1 A Mixlife Lda mantém protocolos comercialmente razoáveis de recuperação de desastres e continuidade de negócios, que diferem entre cada Serviço prestado. Um resumo de tais protocolos será fornecido ao Cliente mediante solicitação. A Mixlife Lda pode alterar tais protocolos a seu critério, desde que as alterações não reduzam a sua capacidade de recuperação de desastres abaixo da capacidade existente à data de assinatura do presente DPA.
13. Mandato
13.1 Com a assinatura do presente DPA, incluindo os seus Anexos 1, 2 e 3, o Cliente autoriza explicitamente a Mixlife Lda para realizar, por conta do Cliente, as atividades descritas na Cláusula 5.
13.2 Com a assinatura do presente DPA, a Mixlife Lda aceita o mandato, que será exercido sem remuneração económica por ser conferido no âmbito da prestação dos Serviços, e confirma, para os devidos efeitos legais, que leu e compreendeu as instruções que lhe foram dadas.
Pelo Cliente
Nome / Firma:
NIF/NIPC:
Data e Local:
Assinatura
_____________________
Pela Mixlife Lda
NIPC: 507 851 870
Data e Local:
Assinatura
_____________________
Anexo 1
1. TITULARES DOS DADOS
Os Dados Pessoais do Cliente, consoante os Serviços específicos que tenham sido contratados, nos termos das Condições, poderão dizer respeito às seguintes categorias de Titulares dos Dados (não sendo as categorias específicas determináveis pela Mixlife Lda a priori):
• O Cliente e/ou colaboradores do Cliente;
• Fornecedores do Cliente;
• Utilizadores do Cliente;
• Clientes do Cliente;
• Titulares dos Dados cujos Dados Pessoais sejam tratados pelo Cliente através dos Serviços.
2. CATEGORIAS DE DADOS PESSOAIS TRATADOS POR SERVIÇO
Os Dados Pessoais do Cliente que poderão ser tratados no âmbito da prestação dos Serviços ao Cliente (que não são determináveis pela Mixlife Lda a priori) incluirão apenas Dados Pessoais nos termos do Art.º 4.º, n.º 1 do Regulamento, sendo expressamente excluído o Tratamento de Categorias Especiais de Dados Pessoais e de Dados Pessoais relacionados com condenações penais e infrações.
Em concreto, poderão ser Tratadas/transferidas as seguintes categorias de Dados Pessoais:
• Dados de contacto (nome, endereço de e-mail, endereço postal, número de telefone…);
• Data de nascimento;
• Idade;
• Sexo;
• Outras categorias de Dados Pessoais que sejam tratadas pelo Cliente através dos Serviços.
3. CATEGORIAS ESPECIAIS DE DADOS PESSOAIS
Os Dados Pessoais do Cliente não incluem Categorias Especiais de Dados Pessoais ou Dados Pessoais relacionados com condenações penais e infrações.
4. OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS
Os Dados Pessoais do Cliente podem ser tratados/transferidos apenas para a prestação dos Serviços nos termos das Condições, ou conforme permitido ao abrigo da legislação aplicável ao Subcontratante.
5. NATUREZA DO TRATAMENTO DE DADOS PESSOAIS
A natureza das operações de Tratamento varia de acordo com os Serviços específicos que tenham sido contratados, nos termos das Condições.
6. FREQUÊNCIA DO TRATAMENTO DE DADOS PESSOAIS
A frequência das operações de Tratamento varia de acordo com os Serviços específicos que tenham sido contratados, nos termos das Condições.
7. DURAÇÃO DO TRATAMENTO DE DADOS PESSOAIS
Os Dados Pessoais do Cliente serão retidos enquanto a prestação dos Serviços permaneça ativa, ou conforme permitido ao abrigo da legislação aplicável ao Subcontratante.
Anexo 2
Descrição das Medidas de Segurança Técnicas e Organizativas
Informações sobre medidas de segurança
Consulte a informação disponível em https://mixlife.pt/legal
Para os demais Serviços da empresa, listam-se as medidas de segurança aplicáveis infra:
Procedimentos de segurança da informação
Organização interna
Funções e responsabilidades separadas foram definidas para a segurança da informação e foram atribuídas aos responsáveis pela empresa pelas atividades de tratamento (doravante designados também por “usuários”), de forma a evitar conflitos de interesse e impedir atividades impróprias.
Segurança de recursos humanos
Dispositivos móveis e teletrabalho
Existe uma política de segurança para o uso de todos os dispositivos da empresa, em particular dispositivos móveis, e controles adequados estão em vigor.
Conclusão ou mudanças na relação de emprego
Após a cessação de uma relação de colaboração de um usuário na organização ou no caso de uma alteração significativa nas suas funções, as permissões de acesso são atualizadas imediatamente, enquanto as ferramentas de negócios são retornadas e redefinidas física e logicamente.
Gestão de recursos da empresa
Responsabilidade pelos recursos e ativos da empresa
Todas as ferramentas e ativos da empresa são cuidadosamente inventariados e a alocação dos mesmos aos vários usuários responsáveis pela sua segurança é fiscalizada. Foi definida uma política para o seu uso correto.
Classificação de informação
Todas as informações são classificadas e catalogadas pelos respetivos usuários, de acordo com os requisitos de segurança, bem como processadas adequadamente.
Gestão de storage media
As informações armazenadas em dispositivos de armazenamento (storage media) são geridas, controladas, modificadas e usadas de maneira a não comprometer seu conteúdo e são apagadas de maneira apropriada.
Controlo de acessos
Requisitos de controlo de acessos
Os requisitos organizativos da empresa para fiscalizar o acesso aos recursos de informação são documentados numa política e implementados na prática por meio de um procedimento de controlo de acessos; significando que o acesso à rede e conexões é limitado.
Gestão de acesso do usuário
A alocação de direitos de acesso dos usuários é controlada desde o registo inicial do usuário até a remoção dos direitos de acesso quando eles não sejam mais necessários, incluindo restrições especiais aos direitos de acesso privilegiado e a gestão de “informações secretas de autenticação”, e está sujeita a revisões e verificações periódicas incluindo uma atualização dos direitos de acesso quando necessário. Na gestão de acesso, o critério de minimização de direitos de acesso é utilizado, pois são emitidos para conceder ao usuário apenas acesso aos dados necessários para a sua função e atividade comercial. Direitos de acesso adicionais requerem autorização específica.
Responsabilidade do usuário
Os usuários estão cientes das suas responsabilidades também por meio da manutenção da eficácia dos controlos de acesso, devendo, por exemplo, escolher palavras-passe complexas, cuja complexidade é verificada pelo sistema, e mantê-las confidenciais. Sistemas e aplicações de controlo de acesso O acesso às informações está sujeito a restrições em conformidade com a política de controlo de acesso, por meio de um sistema de acesso seguro e gestão de palavras-passe, bem como controlos sobre usuários privilegiados e acesso limitado a todos os códigos-fonte.
Encriptação
Controlo criptográfico
Existe uma Política em vigor sobre o uso de criptografia de storage media e dados dos usuários. As autenticações são criptografadas.
Segurança física e ambiental
Estão em vigor medidas de segurança física e ambiental para impedir o acesso, a perda ou a disseminação ilegítima ou acidental de dados.
Áreas seguras: Data center
Os serviços da empresa são fornecidos e hospedados em vários Datacenters nacionais neutros, disponibilizados por fornecedores sob o formato de prestação de serviços. Todos os Datacenters, dentro da cadeia de fornecedores, oferecem redundância completa de todos os circuitos elétricos, de refrigeração e de rede. Todos os Datacenters têm iluminação de perímetro, bem como um sistema de deteção de presença com câmaras de CCTV, fornece a segurança privada do edifício, encontrando-se presente uma equipa de segurança 24/7 nos Datacenters.
O acesso físico é regulado e controlado por procedimentos de autorização, reconhecimento e registo e é limitado, graças ao sistema de controlo de acesso, às áreas para as quais existe uma autorização.
Equipamento
Existe uma política para abate de equipamentos sem utilização, a fim de destruir com segurança todas as informações que neles possam estar contidas.
Segurança das operações
Procedimentos e responsabilidades operacionais
As responsabilidades operacionais em TI são documentadas e as mudanças nas instalações e sistemas de TI são controladas. Sistemas de desenvolvimento, sistemas de verificação e sistemas operacionais são separados. Existem usuários responsáveis pelo bom funcionamento dos procedimentos. Por outro lado, a gestão da segurança lógica dos sistemas operacionais e das aplicações instaladas pelo cliente é de responsabilidade do cliente dos serviços individuais prestados pela Empresa (doravante também designado por “cliente”).
Proteção contra malware
O controlo de vírus e malware está ativo nos dispositivos da empresa e existe uma consciencialização apropriada dos usuários.
No que diz respeito aos serviços do Servidor Virtual ou Servidor Dedicado, o cliente é responsável pela instalação de software antivírus e anti-malware e – se o serviço relacionado não tiver sido adquirido – de uma firewall. Com relação ao serviço de alojamento, existe uma proteção em tempo real nas máquinas de frontend.
No que diz respeito ao serviço de e-mail, o tráfego de e-mail é analisado em tempo real, tanto de entrada como de saída, para a deteção de vírus, malware e para a identificação e filtragem de spam. A análise é automatizada e baseia-se na natureza do conteúdo, na interrogação de bancos de dados internacionais e na reputação adquirida devido a uma série de parâmetros.
Cópia de segurança
São realizados backups periódicos, com a exclusão de serviços pelos quais o cliente não subscreveu serviço de backup e consequentemente é responsável por manter e gerir os seus backups. Para serviços de alojamento e de correio, são realizados backups periódicos que, para serviços de alojamento, também podem ser acedidos pelo cliente. Backups adicionais, não acessíveis pelos clientes, são realizados com o único propósito de recuperação de desastres.
Autenticação e Monitoramento
Autenticação e Sincronização
Toda a atividade e eventos relacionados com a segurança das informações, realizados por usuários do sistema e administradores / operadores, ocorre após a inserção das suas credenciais de autenticação ou dos seus certificados de identidade. Os relógios de todos os equipamentos estão sincronizados.
Controlo de software operacional
A instalação de software nos sistemas operacionais é controlada e monitorizada. Relativamente aos Servidores Virtuais e Servidores Dedicados, os sistemas operativos disponíveis para os clientes são disponibilizados com imagens de instalação atualizadas. Também é responsabilidade do cliente atualizar as aplicações ou software instalados pelo mesmo.
Segurança das comunicações
Gestão de segurança de rede
Redes e serviços online também são garantidos através da separação e segregação. A rede é monitorizada 24/7 quer ao nível das métricas assim como a alarmística automática.
Transferência de informação
Acordos relativos à transferência de informações de e para terceiros estão em vigor.
Aquisição, desenvolvimento e manutenção do sistema
Segurança em processos de desenvolvimento e suporte
As regras que governam a segurança do desenvolvimento de software e sistema são definidas numa Política. As alterações no sistema (para aplicativos e para sistemas operativos) são controladas. A segurança do sistema é testada e os critérios de elegibilidade, que incluem aspetos de segurança, são definidos.
Anexo 3
O Anexo 3 (Lista de Sub-subcontratantes) deve ser solicitado por e-mail para [email protected]
