Contrato de Tratamento de Dados (DPA)

1. Objecto e duração

A Agentive processa dados pessoais por conta do cliente no âmbito da prestação dos serviços da plataforma, durante o prazo do contrato principal. O objecto, natureza, finalidades, categorias de titulares e tipos de dados estão descritos no Anexo I.

2. Instruções do responsável

A Agentive trata os dados apenas de acordo com instruções documentadas do cliente, incluindo transferências internacionais previstas neste DPA. Se uma obrigação legal exigir tratamento fora do âmbito das instruções, a Agentive comunica essa circunstância antes da execução, salvo proibição legal expressa.

3. Confidencialidade

Todas as pessoas com acesso aos dados estão sujeitas a dever de confidencialidade adequado, por contrato ou por dever legal.

4. Medidas de segurança (TOMs)

A Agentive aplica medidas técnicas e organizativas adequadas: encriptação em trânsito (TLS 1.3) e em repouso (AES-256), controlo de acesso mínimo com MFA, segregação de ambientes, registos de auditoria, revisão periódica de permissões, formação contínua da equipa em segurança e privacidade, e plano de continuidade de negócio.

5. Subcontratação

O cliente autoriza a Agentive a recorrer aos sub-processadores listados em /sub-processadores. Qualquer alteração (adição ou substituição) será notificada por email aos clientes activos com pré-aviso mínimo de 30 dias. O cliente pode opor-se em prazo razoável; se a objecção for fundamentada e não for possível uma alternativa equivalente, qualquer das partes pode rescindir o contrato afectado sem penalização.

6. Apoio ao responsável

A Agentive apoia o cliente no cumprimento das suas obrigações face aos titulares (arts. 12.º a 22.º RGPD), avaliações de impacto (art. 35.º) e consulta prévia à CNPD (art. 36.º), mediante pedido razoável. Apoio que exceda o uso normal da plataforma pode estar sujeito a custos adicionais a acordar.

7. Violações de dados

A Agentive notifica o cliente sem atraso indevido, num prazo máximo de 48 horas após tomar conhecimento de uma violação, com a informação razoavelmente disponível. O cliente conserva a obrigação de notificar a CNPD em 72 horas (art. 33.º) e os titulares quando aplicável (art. 34.º).

8. Transferências internacionais

Algumas operações envolvem fornecedores estabelecidos fora do EEE, OpenAI, Anthropic, Cerebras, Meta Platforms Inc., Vercel Inc., Vercel Blob, Resend, Stripe Inc., Pusher (UK), Railway, Google LLC (quando o cliente liga a sua conta Google). Mistral (França) e Neon (em região UE) processam dentro do EEE. As transferências para fora do EEE assentam em:

• Adesão ao EU-US Data Privacy Framework dos fornecedores, onde certificados;
• Cláusulas Contratuais Tipo da Decisão (UE) 2021/914 (SCCs), Módulo 3 (subcontratante-subcontratante), como medida redundante; e
• Avaliação de Impacto de Transferência (TIA) anual, revista em função de desenvolvimentos regulamentares como o sunset do FISA 702 em Abril de 2026.

9. Eliminação e devolução

No fim da prestação, a Agentive devolve os dados em formato estruturado no prazo de 30 dias a pedido, e elimina-os ou anonimiza-os em até 90 dias, salvo obrigação legal em contrário. Certificado de eliminação emitido a pedido.

10. Auditoria

O cliente tem direito a verificar o cumprimento deste DPA, em primeira linha através de evidências documentais (relatórios de auditoria SOC 2 / ISO 27001 quando aplicáveis, respostas a questionários standard). Auditorias on-site requerem pré-aviso mínimo de 30 dias e suportam custos razoáveis das partes.

Anexo I · Descrição do tratamento

• Categorias de titulares: clientes finais do cliente (pacientes, compradores, hóspedes, sócios), colaboradores do cliente com acesso à plataforma.
• Categorias de dados: identificação (nome, contactos), conteúdo das conversas (texto, áudio, transcrições), metadados (timestamps, IP), dados de utilização.
• Finalidades: atendimento automatizado, qualificação de leads, agendamento, follow-ups, analytics operacionais.
• Duração: vigência do contrato principal + prazo de retenção definido pelo cliente.

Assinatura

A aceitação dos Termos e Condições implica adesão a este DPA. Para contractualização formal com assinatura electrónica qualificada, contacte dpo@agentive.pt.