Termos e Condições Gerais de Serviço (Acordo de Processamento de Dados)

A contratação de serviços de Software determina a aceitação da ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L., na qualidade de responsável pelo tratamento, para tratar os dados por conta do cliente, necessários para a prestação do serviço. Em conformidade com o disposto no artigo 33º do RGPD, o tratamento efectuado será regido pelo presente:

 

ACORDO DO PROCESSADOR

DISPOSIÇÕES PRELIMINARES

Que as partes estão vinculadas por uma relação contratual para a prestação de serviços para efeitos de manutenção e serviços de cópia de segurança para o software contratado.

Que, para a prestação desses serviços, é necessário que o subcontratante tenha acesso aos dados pessoais pelos quais o responsável pelo tratamento é responsável.

Que, para a prestação desses serviços, é necessário que o subcontratante tenha acesso ao sistema de informação no qual os dados pessoais são armazenados e tratados pelo responsável pelo tratamento.

Que a prestação de serviços será efectuada por meio de acesso remoto com a proibição de incorporar os dados em sistemas ou suportes diferentes dos do responsável pelo tratamento de dados.

Que a prestação de serviços será efectuada nas instalações do subcontratante, fora das instalações do responsável pelo tratamento.

Que as partes pretendem estabelecer no presente acordo as condições de tratamento de dados pelo Subcontratante, em conformidade com as disposições do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e, por conseguinte, celebram o seguinte.

CLÁUSULAS

1. OBJECTIVO DO PROCESSADOR

Mediante as presentes cláusulas, a ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L., responsável pelo tratamento, fica autorizada a tratar em nome do cliente, responsável pelo tratamento, os dados pessoais necessários para a prestação do serviço que tem por objeto serviços de manutenção e cópias de segurança do software contratado.

Em relação aos serviços contratados, as seguintes operações de tratamento são entendidas como implícitas. O responsável pelo tratamento poderá efetuar as adaptações que considere necessárias, enviando uma mensagem de correio eletrónico para admin@amvsoluciones.com.

Especificação dos tratamentos a efetuar:

• Registro
• Conservação
• Estruturação
• Extração
• Consulta
• Coteja
• Destruição
• Supressão

2. IDENTIFICAÇÃO DA INFORMAÇÃO EM CAUSA

Para a execução dos serviços derivados do cumprimento do objeto do presente pedido, o cliente, responsável pelo tratamento, coloca à disposição da ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L. responsável pelo tratamento, a informação alojada no software contratado. Para este efeito, se o cliente decidir incorporar dados pessoais, deverá informar a ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L. sobre o tipo de dados pessoais e as categorias de interessados através do correio eletrónico admin@amvsoluciones.com.

3. DURAÇÃO

Este acordo tem uma duração igual à duração do contrato principal de prestação de serviços.

4. OBRIGAÇÕES DO PROCESSADOR

O processador de dados e todo o seu pessoal são obrigados a:

1. Utilizar os dados pessoais em fase de tratamento, ou os recolhidos para a sua inclusão, apenas para efeitos da presente encomenda. Em caso algum poderá utilizar os dados para os seus próprios fins.
2. Processar os dados de acordo com as instruções do responsável pelo tratamento. Se o subcontratante considerar que quaisquer instruções violam o RGPD ou quaisquer outras disposições de proteção de dados da União ou dos Estados-Membros, o subcontratante deve informar imediatamente o responsável pelo tratamento.
3. Conservar, por escrito, um registo de todas as categorias de actividades de tratamento efectuadas em nome do responsável pelo tratamento, que contenha:
4. Nome e dados de contato do ou dos responsáveis pelo tratamento e de cada responsável em nome do qual o responsável atua e, se for o caso, do representante do responsável pelo tratamento e do delegado de proteção de dados.
5. As categorias de tratamentos realizados por conta de cada responsável.
6. Se for o caso, transferências de dados pessoais para um país terceiro ou organização internacional, incluindo a identificação desse país terceiro ou organização internacional e, no caso das transferências referidas no artigo 49.o, n.o 1, segundo parágrafo do RGPD, a documentação de garantias adequadas.
7. Uma descrição geral das medidas técnicas e organizacionais de segurança relativas a:
8. a) Pseudonimização e truncado de dados pessoais.
9. b) A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento.
10. c) A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais rapidamente, em caso de incidente físico ou técnico.
11. d) O processo de verificação, avaliação e avaliação regular da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.
12. Não comunicar os dados a terceiros, salvo com autorização expressa do responsável pelo tratamento, nos casos legalmente permitidos. O responsável pelo tratamento pode comunicar os dados a outros responsáveis pelo tratamento do mesmo responsável, de acordo com as instruções do responsável. Neste caso, o responsável identificará, previamente e por escrito, a entidade à qual os dados devem ser comunicados, os dados a comunicar e as medidas de segurança a aplicar para proceder à comunicação.

Se o responsável pelo tratamento tiver de transferir dados pessoais para um país terceiro ou uma organização internacional, por força do direito da União ou dos Estados-Membros que lhe seja aplicável, informará previamente o responsável pelo tratamento dessa exigência legal, a menos que tal lei o proíba por razões importantes de interesse público.

1. Subcontratação.

Não subcontratar qualquer das prestações que fazem parte do objeto deste contrato que envolvam o tratamento de dados pessoais, salvo os serviços auxiliares necessários ao normal funcionamento dos serviços do responsável.

Se for necessário subcontratar algum tratamento, este facto deverá ser comunicado previamente e por escrito ao responsável, com um mês de antecedência, indicando os tratamentos que se pretende subcontratar e identificando de forma clara e inequívoca a empresa subcontratada e seus dados de contato. A subcontratação pode ser realizada se o responsável não manifestar sua oposição dentro do prazo estabelecido.

O subcontratante, que também terá a condição de encarregado do tratamento, é igualmente obrigado a cumprir as obrigações estabelecidas neste documento para o encarregado do tratamento e as instruções ditadas pelo responsável. Cabe ao responsável inicial regular a nova relação de modo que o novo responsável fique sujeito às mesmas condições (instruções, obrigações, medidas de segurança…) e com os mesmos requisitos formais que ele, no que diz respeito ao tratamento adequado dos dados pessoais e à garantia dos direitos das pessoas em causa. Em caso de incumprimento por parte do subcontratante, o subcontratado inicial continua a ser plenamente responsável perante o responsável pelo cumprimento das obrigações.

1. Manter o dever de sigilo em relação aos dados pessoais a que tenha tido acesso por força do presente encargo, mesmo após a sua finalidade ter terminado.
2. Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam, de forma expressa e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais devem ser devidamente informadas.
3. Manter à disposição do responsável a documentação comprovativa do cumprimento da obrigação estabelecida no parágrafo anterior.
4. Garantir a formação necessária em matéria de proteção de dados pessoais das pessoas autorizadas a tratar dados pessoais.
5. Auxiliar o responsável pelo tratamento na resposta ao exercício dos direitos de:
6. Acesso, retificação, exclusão e oposição.
7. Limitação do tratamento.

8. Portabilidade de dados.
9. A não ser objeto de decisões individualizadas automatizadas (incluindo a elaboração de perfis).

Quando os titulares dos dados exercem os direitos de acesso, retificação, supressão e oposição, limitação do tratamento, portabilidade de dados e não serem objeto de decisões individualizadas automatizadas, perante o responsável pelo tratamento, Ele deve comunicar através do endereço de e-mail habitual de contato. A comunicação deve ser feita imediatamente e em nenhum caso além do dia útil seguinte ao da recepção do pedido, juntamente com outras informações que possam ser relevantes para resolver o pedido.

1. Direito de informação.

Cabe ao responsável fornecer o direito de informação no momento da coleta dos dados.

1. Notificação de violações de segurança de dados.

O responsável pelo tratamento notificará o responsável pelo tratamento, sem demora injustificada e em qualquer caso antes do prazo máximo de 24-48 horas, através do endereço de correio eletrónico habitual de contacto, Violações de segurança dos dados pessoais que ele tenha conhecimento, juntamente com todas as informações relevantes para a documentação e comunicação do incidente.

Se disponível, devem ser fornecidas pelo menos as seguintes informações:

1. a) Descrição da natureza da violação de segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de pessoas afetadas, e as categorias e o número aproximado de registros de dados pessoais afetados.
2. b) Se for o caso, o nome e os dados de contacto do delegado de proteção de dados ou outro ponto de contacto onde se possam obter mais informações.
3. c) Descrição das possíveis consequências da violação de segurança dos dados pessoais.
4. d) Descrição das medidas tomadas ou propostas para remediar a violação da segurança dos dados pessoais, incluindo, se for o caso, as medidas tomadas para mitigar os possíveis efeitos negativos.

Se não for possível fornecer a informação simultaneamente, e na medida em que não seja possível, a informação será fornecida de forma gradual sem demora injustificada.

1. Apoiar o responsável pelo tratamento na realização de avaliações de impacto relativas à proteção de dados, quando necessário.
2. Apoiar o responsável pelo tratamento na realização das consultas prévias à autoridade de controlo, quando necessário.
3. Colocar à disposição do responsável todas as informações necessárias para demonstrar o cumprimento das suas obrigações, bem como para a realização de auditorias ou inspeções realizadas pelo responsável ou outro auditor autorizado por ele.
4. Garantia de segurança. ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L. dispõe de medidas de segurança que garantem a segurança dos dados do responsável. Esta garantia é atestada pela certificação ISO 27001 de que dispõe a entidade, obtida em data 16/01/2025.

Se o responsável assim o solicitar, ASENJO-MONTENEGRO VIGO SOLUCIONES, S.L. pode fornecer ao Responsável uma lista com as medidas de que dispõe a entidade.

1. Designar um delegado de proteção de dados e comunicar a sua identidade e dados de contacto ao responsável quando a sua designação for obrigatória.
2. Destino dos dados.

Devolver ao responsável pelo tratamento os dados de carácter pessoal e suprimir qualquer cópia que esteja em seu poder. A devolução deve implicar o apagamento total dos dados existentes nos equipamentos informáticos utilizados pelo responsável.

O responsável pelo tratamento poderá manter, devidamente bloqueados, uma cópia dos dados, enquanto possam derivar responsabilidades da sua relação com o responsável pelo tratamento.

5. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO

Cabe ao responsável pelo tratamento:

1. a) Entregar ao responsável pelo tratamento os dados referidos na cláusula 2 deste documento.
2. b) Realizar uma avaliação do impacto na proteção de dados pessoais das operações de tratamento a serem realizadas pelo responsável.
3. c) Fazer as consultas prévias apropriadas.
4. d) Garantir, antes e durante todo o tratamento, a conformidade do responsável pelo tratamento com o RGPD.
5. e) Supervisionar o processamento, incluindo a realização de inspeções e auditorias.

6. LEI APLICÁVEL E RESOLUÇÃO DE CONFLITOS

Qualquer litígio relativo ao presente Acordo e à relação entre as partes será regido pela lei espanhola, concordando as partes que serão submetidas aos tribunais competentes conforme a lei.