Acordo de Tratamento de Dados (DPA)

1. Partes

O presente Acordo de Tratamento de Dados (doravante, "DPA") é celebrado entre:

• Subcontratante: Jose Antonio Touriño Eirín, NIF 76827011L, Juan Bautista Andrade, Pontevedra, España (en adelante, "el Encargado" o "Laxio")
• Responsável pelo tratamento: A empresa ou profissional que contrata os serviços da Laxio (doravante, "o Cliente")

2. Objeto e finalidade do tratamento

O Subcontratante tratará os dados pessoais por conta do Cliente exclusivamente para a prestação dos serviços contratados da plataforma Laxio, que incluem:

• Gestão de inventário de blocos de pedra natural
• Gestão de clientes, fornecedores e orçamentos
• Gestão de encomendas, entregas e liquidações
• Armazenamento de ficheiros associados (fotografias de blocos, documentos)

3. Tipos de dados tratados

No âmbito da prestação de serviços, o Subcontratante poderá tratar as seguintes categorias de dados pessoais:

• Dados identificativos: nome, apelidos, NIF/NIPC, morada, telefone, email dos clientes e fornecedores do Cliente
• Dados de utilizadores da plataforma: nome, email, função, atividade de acesso
• Dados comerciais: orçamentos, encomendas, tarifas, entregas
• Dados de faturação: dados fiscais necessários para a emissão de faturas

4. Obrigações do Subcontratante

O Subcontratante compromete-se a:

• Tratar os dados unicamente em conformidade com as instruções documentadas do Cliente e para a finalidade descrita neste DPA
• Não comunicar os dados a terceiros, salvo autorização expressa do Cliente ou por obrigação legal
• Garantir que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade
• Implementar as medidas técnicas e organizativas apropriadas para garantir a segurança dos dados (cifragem em trânsito e em repouso, controlo de acesso, cópias de segurança, isolamento por tenant)
• Assistir o Cliente no cumprimento das suas obrigações em matéria de direitos dos titulares (acesso, retificação, apagamento, portabilidade, oposição, limitação)
• Notificar o Cliente de qualquer violação de segurança que afete dados pessoais num prazo máximo de 72 horas após a sua deteção

5. Medidas de segurança

O Subcontratante implementou as seguintes medidas técnicas e organizativas:

• Cifragem TLS em todas as comunicações (HTTPS)
• Isolamento de dados por tenant (Row Level Security em PostgreSQL)
• Autenticação através de JWT com tokens de refresh e bloqueio por tentativas falhadas
• Hashing de palavras-passe com bcrypt (fator 12)

6. Subsubcontratantes

O Cliente autoriza o Subcontratante a recorrer aos seguintes subsubcontratantes para a prestação do serviço: Hetzner Online GmbH (alojamento de infraestrutura, Alemanha/UE), Resend Inc. (envio de emails transacionais, EUA — com cláusulas contratuais tipo).

O Subcontratante informará o Cliente de qualquer alteração nos subsubcontratantes com pelo menos 30 dias de antecedência, permitindo ao Cliente opor-se.

7. Transferências internacionais

Os dados são alojados em servidores localizados na União Europeia (Hetzner, Alemanha). Em caso de transferência para subsubcontratantes fora do EEE, serão aplicadas as garantias previstas no artigo 46.º do RGPD (cláusulas contratuais tipo aprovadas pela Comissão Europeia).

8. Duração e cessação

Este DPA vigorará enquanto durar a relação contratual entre as partes. No termo do serviço, o Subcontratante:

• Devolverá ou eliminará todos os dados pessoais, à escolha do Cliente
• Certificará a eliminação dos dados se tal for solicitado
• Poderá conservar os dados bloqueados durante o prazo legalmente exigido

9. Contacto

Para qualquer questão relativa a este DPA ou ao tratamento de dados pessoais, pode contactar o Subcontratante em: [email protected].