English 
Deutsch 
Español 
Português 
Français 
Italiano 
中文 (中国) ADENDO DE PROCESSAMENTO DE DADOS
Data de revisão: 16 de junho de 2026
O presente Adendo de Processamento de Dados (o “APD“) é celebrado entre:
(1) Cliente: a entidade contratante do Cliente expressamente identificada na Ordem de Fornecimento aplicável (ou qualquer outro formulário de pedido ou documento emitido nos termos desta e aceite pelo Cliente) para a prestação dos serviços VDR (a “Ordem de Fornecimento“), que atua na qualidade de Controlador de Dados (“Cliente” ou “Controlador“); e
(2) Ideals: a entidade contratante da Ideals expressamente identificada na Ordem de Fornecimento aplicável, que atua na qualidade de Operador de Dados (“Ideals” ou “Operador“).
Incorporação e prevalência
O presente APD complementa e constitui parte integrante dos Termos e Condições de Serviço da Ideals (“T&C“) disponíveis em https://www.idealsvdr.com/terms-and-conditions/. O presente APD aplica-se sempre que e na medida em que a Ideals trate Dados Pessoais em nome do Cliente na qualidade de Operador, no âmbito dos Serviços. Ao assinar a Ordem de Fornecimento que faz referência aos T&C, ou ao aceder ou utilizar os Serviços, o Cliente concorda em ficar vinculado pelo presente APD em seu nome e em nome dos seus Utilizadores.
O “Acordo VDR Ideals” designa os T&C em conjunto com a Ordem de Fornecimento aplicável. Coletivamente, o Acordo VDR Ideals e o presente APD são designados como o “Acordo“.
Em caso de conflito ou incompatibilidade entre quaisquer termos do Acordo, apenas na medida do conflito relativamente às obrigações de proteção e tratamento de dados, prevalecerão as disposições dos seguintes documentos (por ordem de prevalência): (a) o presente APD; e (b) o Acordo VDR Ideals. Salvo alteração expressa pelo presente APD, o Acordo VDR Ideals permanece inalterado e em pleno vigor e efeito.
1. DEFINIÇÕES
“Dados Pessoais do Cliente” designa os Dados Pessoais (i) que o Cliente carrega para a Virtual Data Room (doravante o “VDR“) e (ii) que são de outro modo tratados pela Ideals em nome do Cliente no âmbito da prestação dos Serviços ao abrigo do Acordo VDR Ideals.
“Controlador de Dados” designa o Cliente.
“Operador de Dados” designa a Ideals.
“Requisitos de Proteção de Dados” designa, conforme aplicável, o RGPD da UE e as leis nacionais de implementação; o RGPD do Reino Unido e o Data Protection Act 2018 do Reino Unido; a Lei Federal Suíça sobre Proteção de Dados (LPD, incluindo a LPD revista); a Lei Geral de Proteção de Dados do Brasil (LGPD); o Digital Personal Data Protection Act da Índia (DPDP Act) e as respetivas normas de implementação (quando em vigor, na medida aplicável); as Leis Estaduais de Privacidade dos EUA que regem contratos com operadores/prestadores de serviços (incluindo a CCPA/CPRA e leis estaduais materialmente semelhantes); bem como quaisquer outras leis aplicáveis em matéria de privacidade/proteção de dados e orientações/decisões vinculativas de autoridades competentes.
“Encarregado de Proteção de Dados (EPD)” designa o encarregado de proteção de dados nomeado pela Ideals, contactável em privacy@idealscorp.com.
“Dados Pessoais da UE” designa os Dados Pessoais regulados pelo RGPD da UE.
“Leis Estaduais de Privacidade dos EUA” designa, conforme aplicável, a CCPA/CPRA da Califórnia e leis estaduais de privacidade dos EUA materialmente semelhantes (por exemplo, CPA, VCDPA, CTDPA, UCPA) na medida em que se apliquem aos Serviços.
“Dados Pessoais” designa informações sobre um indivíduo que (a) podem ser utilizadas para identificar, contactar ou localizar um indivíduo específico, incluindo dados que o Cliente opta por carregar para o VDR; (b) podem ser combinadas com outras informações utilizáveis para identificar, contactar ou localizar um indivíduo específico; ou (c) são definidas como “dados pessoais” ou “informações pessoais” pelas leis ou regulamentos aplicáveis relativos à recolha, utilização, armazenamento ou divulgação de informações sobre um indivíduo identificável.
“Mecanismos de Transferência Aplicáveis” designa, conforme aplicável: (i) as Cláusulas Contratuais Padrão da UE adotadas pela Decisão da Comissão (UE) 2021/914 (Módulo 2 – Controlador para Operador); (ii) o Adendo Internacional de Transferência de Dados do Reino Unido (ou IDTA, conforme aplicável); (iii) o Adendo da PFPDT suíça; e (iv) onde aplicável, o Quadro UE-EUA para a Privacidade dos Dados, a Extensão do Reino Unido ao Quadro UE-EUA para a Privacidade dos Dados e o Quadro Suíça-EUA para a Privacidade dos Dados, desde que o importador de dados relevante mantenha uma certificação válida.
“Quadros para a Privacidade dos Dados” designa o Quadro UE-EUA para a Privacidade dos Dados (DPF) e, conforme aplicável, a Extensão do Reino Unido ao DPF UE-EUA e o DPF Suíça-EUA, administrados pelo Departamento de Comércio dos EUA.
“Violação de Dados Pessoais” designa qualquer destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidental ou ilícito, aos Dados Pessoais do Cliente.
“Tratamento” e os seus cognatos designam qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, com ou sem recurso a meios automatizados, tais como recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.
“Suboperador” designa qualquer entidade que presta serviços de tratamento à Ideals em apoio ao tratamento realizado pela Ideals em nome do Cliente.
“Autoridade de Supervisão” designa qualquer autoridade de controlo competente da UE, o ICO do Reino Unido, a PFPDT suíça, a ANPD brasileira ou outra autoridade competente, conforme aplicável.
2. NATUREZA, ÂMBITO E FINALIDADE DO TRATAMENTO DE DADOS
Cada Parte concorda em tratar os Dados Pessoais recebidos ao abrigo do Acordo, incluindo Dados Pessoais relativos a indivíduos incluídos na documentação carregada para o VDR e outros Dados Pessoais do Controlador, exclusivamente para as finalidades estabelecidas no Acordo.
Além disso, a Ideals informará o Cliente caso considere que uma instrução recebida do Cliente viola os Requisitos de Proteção de Dados, permitindo ao Cliente rever e, se necessário, alterar essa instrução.
3. CONFORMIDADE COM AS LEIS
As Partes cumprirão cada uma as suas obrigações ao abrigo de todos os Requisitos de Proteção de Dados aplicáveis.
4. OBRIGAÇÕES DO CLIENTE
O Cliente compromete-se a:
4.1 Fornecer instruções à Ideals e determinar as finalidades e os meios gerais do tratamento dos Dados Pessoais do Cliente pela Ideals, em conformidade com o Acordo; e
4.2 Cumprir as obrigações de proteção, segurança e outras obrigações relativas aos Dados Pessoais do Cliente prescritas pelos Requisitos de Proteção de Dados para os controladores de dados:
A. Estabelecendo e mantendo um procedimento para o exercício dos direitos dos indivíduos cujos Dados Pessoais do Cliente são tratados em nome do Cliente;
B. Carregando e tratando apenas dados que o Cliente está autorizado a carregar para o VDR; e
C. Garantindo a conformidade com as disposições do presente Acordo pelo seu pessoal ou por quaisquer terceiros que acedam ou utilizem os Dados Pessoais do Cliente em seu nome.
5. OBRIGAÇÕES DA IDEALS
5.1 Requisitos de Tratamento. A Ideals irá:
A. Tratar os Dados Pessoais do Cliente (i) exclusivamente para efeitos de prestação, suporte e melhoria dos serviços da Ideals (incluindo a prestação de análises e outros relatórios), utilizando as medidas de segurança técnicas e organizativas adequadas enumeradas no presente APD e no Anexo II; e (ii) em conformidade com as instruções recebidas do Cliente. A Ideals não utilizará nem tratará os Dados Pessoais do Cliente para qualquer outra finalidade. Quaisquer atividades relacionadas com a melhoria dos serviços, a geração de análises ou outros relatórios serão realizadas exclusivamente sobre dados anonimizados que já não se qualificam como Dados Pessoais ao abrigo do RGPD, do RGPD do Reino Unido ou da LPD (e conceitos equivalentes ao abrigo de outras leis aplicáveis).
B. Tomar medidas comercialmente razoáveis para garantir que as pessoas envolvidas na execução em nome da Ideals cumpram os termos do Acordo e sejam obrigadas a cumprir e reconhecer e respeitar a confidencialidade dos Dados Pessoais do Cliente;
C. Caso tencione envolver Suboperadores para o auxiliar a cumprir as suas obrigações nos termos do Acordo ou para delegar toda ou parte das atividades de tratamento a esses Suboperadores, permanecer responsável perante o Cliente pelos atos e omissões desses Suboperadores em matéria de proteção de dados, quando esses Suboperadores atuem segundo as instruções da Ideals;
D. Mediante pedido escrito, fornecer ao Cliente um resumo das políticas de privacidade e segurança da Ideals;
E. Caso a Ideals recolha Dados Pessoais de indivíduos na qualidade de controlador independente (por exemplo, administração de contas, faturação, segurança, conformidade, prevenção de fraudes e/ou outras operações comerciais não realizadas em nome do Cliente), a Ideals será Controlador de Dados (ou função equivalente) para esse tratamento e o presente APD não se aplicará a esse tratamento;
F. EPD. A Ideals mantém um Encarregado de Proteção de Dados nomeado e fornecerá os dados de contacto ao Cliente e às autoridades competentes mediante pedido.
5.2 Assistência ao Cliente. A Ideals prestará assistência razoável ao Cliente relativamente a:
A. Quaisquer pedidos dos titulares de dados do Cliente no que diz respeito ao acesso, retificação, apagamento, limitação, portabilidade, bloqueio ou eliminação dos Dados Pessoais do Cliente que a Ideals trata para o Cliente. Caso um titular de dados envie esse pedido diretamente à Ideals, a Ideals enviará prontamente esse pedido ao Cliente;
B. A investigação de Violações de Dados Pessoais e a notificação à Autoridade de Supervisão e aos titulares de dados do Cliente relativamente a essas Violações; a Ideals notificará em todos os casos o Cliente de qualquer Violação de Dados Pessoais sem demora injustificada após tomar conhecimento da mesma, fornecendo informações e assistência suficientes para permitir ao Cliente cumprir as suas próprias obrigações legais;
C. Quando adequado, a preparação de avaliações de impacto sobre a proteção de dados e, quando necessário, a realização de consultas com qualquer Autoridade de Supervisão.
5.3 Tratamento Obrigatório.
Caso a Ideals seja obrigada pelos Requisitos de Proteção de Dados ou por outra lei aplicável a tratar quaisquer Dados Pessoais do Cliente por razão diferente da prestação dos serviços descritos no Acordo, a Ideals informará o Cliente dessa obrigação antecipadamente a qualquer tratamento, salvo se a Ideals estiver legalmente impedida de informar o Cliente sobre esse tratamento (por exemplo, em resultado de requisitos de sigilo ao abrigo da lei aplicável).
6. SEGURANÇA
6.1 A Ideals implementou medidas de segurança administrativas, técnicas e físicas razoáveis (incluindo no que respeita a pessoal, instalações, hardware e software, armazenamento e redes, controlos de acesso, monitorização e registo, deteção de vulnerabilidades e violações, resposta a incidentes e cifragem dos Dados Pessoais do Cliente em trânsito e em repouso) para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição dos Dados Pessoais do Cliente;
6.2 A Ideals é responsável pela suficiência das salvaguardas de segurança, privacidade e confidencialidade de todo o pessoal da Ideals relativamente aos Dados Pessoais do Cliente e é responsável por qualquer falha desse pessoal em cumprir os termos do presente APD;
6.3 A Ideals tomou medidas razoáveis para confirmar que todo o pessoal da Ideals protege a segurança, privacidade e confidencialidade dos Dados Pessoais do Cliente em conformidade com os requisitos do presente APD; e
6.4 A lista das medidas técnicas e organizativas implementadas pela Ideals está indicada no presente APD e no Anexo II.
6.5 A Ideals declara que as pessoas autorizadas pela Ideals a tratar Dados Pessoais assumiram compromissos de confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.
7. AUDITORIA
7.1 Auditoria e Garantia do Cliente. Não mais de uma vez em qualquer período de 12 meses (ou por justa causa na sequência de uma Violação de Dados Pessoais verificada), o Cliente pode auditar a conformidade da Ideals com o presente APD. A Ideals disponibilizará primeiramente os seus relatórios de garantia de terceiros atuais (por exemplo, certificado ISO/IEC 27001, SOC 2 Tipo II), resumos de testes de penetração e documentação relacionada. Caso esses materiais não demonstrem razoavelmente a conformidade, o Cliente pode realizar uma auditoria direcionada ao abrigo de NDA, com aviso prévio escrito de 30 dias, durante o horário normal de expediente, sem acesso aos dados de outros clientes ou às ferramentas de teste proprietárias da Ideals.
7.2 Auditorias de Reguladores. A Ideals cooperará com auditorias ou inquéritos realizados por Autoridades de Supervisão competentes.
7.3 Custos. O Cliente reembolsará à Ideals os custos razoáveis, diretos e efetivos diretamente atribuíveis a uma auditoria presencial iniciada pelo Cliente.
8. TRANSFERÊNCIAS DE DADOS
8.1 As Partes basear-se-ão nos Mecanismos de Transferência Aplicáveis para qualquer transferência de Dados Pessoais do Cliente para um país que não garanta um nível adequado de proteção. Quando a Ideals mantiver uma certificação válida do Quadro para a Privacidade dos Dados, as Partes acordam que esse Quadro constituirá o mecanismo de transferência lícito para os dados pessoais relevantes. Caso, em qualquer momento, a certificação da Ideals caduque, seja revogada ou o Quadro relevante seja invalidado ou de outro modo indisponível, as CCP/Adendo do RU/Adendo Suíço incorporados no presente APD aplicar-se-ão automaticamente como mecanismo alternativo sem necessidade de qualquer ação adicional por parte das Partes.
8.2 Transferências UE/EEE (CCP da UE). Para transferências de Dados Pessoais da UE para a Ideals para tratamento pela Ideals numa jurisdição diferente da UE/EEE ou de um país com decisão de adequação, as Partes incorporam por referência as CCP da UE (Controlador para Operador, Módulo 2) adotadas pela Decisão (UE) 2021/914, completadas utilizando os Anexos I–III do presente APD. O texto das CCP da UE está anexado como Apêndice I (ou incorporado por referência se anexado ao pacote contratual).
8.3 Transferências do Reino Unido (UK Addendum / IDTA). Para transferências restritas ao abrigo do RGPD do Reino Unido, as Partes incorporam por referência o Adendo Internacional de Transferência de Dados do Reino Unido às CCP da UE (ou o IDTA, se acordado no documento de encomenda), completado utilizando as tabelas no Apêndice II.
8.4 Transferências Suíças (Adendo Suíço). Para transferências sujeitas à LPD suíça para uma jurisdição não adequada, as Partes incorporam por referência o Adendo da PFPDT, estabelecido no Apêndice III, completado utilizando os anexos relevantes do presente APD.
8.5 Medidas Suplementares. A Ideals implementa e manterá medidas técnicas e organizativas adequadas (incluindo cifragem robusta em trânsito e em repouso, controlos de acesso e registo rigoroso de acessos) para satisfazer os requisitos das avaliações de impacto de transferência de dados aplicáveis.
8.6 Acesso de Suporte Iniciado pelo Cliente como Instrução. Quando o Cliente ativa o Acesso de Suporte ou o solicita por escrito/ticket, essa ação constitui instrução documentada para (i) o acesso remoto limitado pelo pessoal de suporte da Ideals e (ii) qualquer transferência transfronteiriça intrinsecamente necessária para prestar esse suporte. O âmbito e a duração estão limitados ao ticket/sessão específico e são registados em registos de auditoria.
9. DEVOLUÇÃO E ELIMINAÇÃO DE DADOS
Mediante pedido escrito razoável do Cliente para privacy@idealscorp.com (ou conforme definido no Acordo VDR Ideals), a Ideals, à escolha do Cliente, devolverá todos os Dados Pessoais do Cliente e cópias desses dados ao Cliente ou destruirá de forma segura e, mediante pedido, certificará a conclusão, salvo se os Requisitos de Proteção de Dados impedirem a Ideals de devolver ou destruir todos ou parte dos Dados Pessoais do Cliente. Quando a conservação for exigida por lei, a Ideals limitará o tratamento à finalidade e duração mínimas necessárias.
10. OPERADORES DE DADOS TERCEIROS
10.1 O Cliente reconhece que, na prestação dos Serviços, a Ideals poderá transferir Dados Pessoais do Cliente para Suboperadores e interagir com eles de outro modo.
10.2 A lista de Suboperadores consta do Anexo III ao presente APD.
11. LEI APLICÁVEL, JURISDIÇÃO E FORO
O presente APD será regido pela lei e pelas disposições de resolução de litígios estabelecidas no Acordo VDR Ideals e interpretado em conformidade com as mesmas, exceto que:
(a) esta Secção não modifica as escolhas de lei aplicável/foro ao abrigo da Cláusula 17/18 das CCP da UE; e
(b) para transferências do Reino Unido, aplica-se o UK Addendum/IDTA, conforme aplicável; e
(c) para transferências suíças, aplica-se o Adendo Suíço, conforme aplicável.
12. VIGÊNCIA
O presente APD permanecerá em vigor enquanto o Acordo VDR Ideals for válido.
APÊNDICE 0
A. Referências às autoridades de supervisão competentes (informativo)
UE/EEE: autoridade de controlo competente ao abrigo do RGPD (estabelecimento do Cliente / estabelecimento principal).
Reino Unido: ICO (quando o RGPD do Reino Unido se aplica).
Suíça: PFPDT (quando a LPD suíça se aplica).
Brasil: ANPD (quando a LGPD se aplica).
Califórnia: CPPA (quando a CCPA da Califórnia se aplica).
Índia: autoridade/órgão competente (conforme a lei em vigor).
Este Apêndice é fornecido apenas para fins informativos e não altera nem substitui a autoridade de controlo competente identificada ao abrigo das CCP da UE. Para efeitos das CCP da UE (Cláusula 13), a autoridade de controlo competente é determinada exclusivamente ao abrigo do RGPD e identificada no Anexo I(C).
APÊNDICE I
CLÁUSULAS CONTRATUAIS PADRÃO
SECÇÃO I
Cláusula 1 – Finalidade e âmbito de aplicação
(a) O objetivo das presentes cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) para a transferência de dados pessoais para um país terceiro.
(b) As Partes: (i) a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante, cada um, “exportador de dados”), e (ii) a(s) entidade(s) num país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte das presentes Cláusulas, conforme listado no Anexo I.A (doravante, cada um, “importador de dados”) acordaram as presentes cláusulas contratuais padrão (doravante “Cláusulas”).
(c) As presentes Cláusulas aplicam-se à transferência de dados pessoais conforme especificado no Anexo I.B.
(d) O Apêndice às presentes Cláusulas, que contém os Anexos nelas referidos, constitui parte integrante das presentes Cláusulas.
Cláusula 2 – Efeito e imutabilidade das Cláusulas
(a) As presentes Cláusulas estabelecem salvaguardas adequadas, incluindo direitos aplicáveis dos titulares de dados e vias de recurso efetivas, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para adicionar ou atualizar informações no Apêndice.
(b) As presentes Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679 (RGPD).
Cláusula 3 – Terceiros beneficiários
(a) Os titulares de dados podem invocar e fazer cumprir as presentes Cláusulas, enquanto terceiros beneficiários, contra o exportador e/ou o importador de dados, com as seguintes exceções: (i) Cláusula 1, 2, 3, 6, 7; (ii) Cláusula 8 – 8.1(b), 8.9(a), (c), (d) e (e); (iii) Cláusula 9 – 9(a), (c), (d) e (e); (iv) Cláusula 12 – 12(a), (d) e (f); (v) Cláusula 13; (vi) Cláusula 15.1(c), (d) e (e); (vii) Cláusula 16(e); (viii) Cláusula 18 – 18(a) e (b).
(b) A alínea (a) não prejudica os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4 – Interpretação
(a) Quando as presentes Cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos têm o mesmo significado que nesse Regulamento.
(b) As presentes Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) As presentes Cláusulas não devem ser interpretadas de forma a conflituar com os direitos e as obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5 – Hierarquia
Em caso de contradição entre as presentes Cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que as presentes Cláusulas são acordadas ou celebradas posteriormente, as presentes Cláusulas prevalecem.
Cláusula 6 – Descrição da(s) transferência(s)
Os pormenores da(s) transferência(s), nomeadamente as categorias de dados pessoais transferidos e as finalidades para as quais são transferidos, são especificados no Anexo I.B.
Cláusula 7 – Cláusula de adesão
(a) Uma entidade que não seja Parte das presentes Cláusulas pode, com o acordo das Partes, aderir às presentes Cláusulas a qualquer momento, quer como exportador quer como importador de dados, completando o Apêndice e assinando o Anexo I.A.
(b) Uma vez completado o Apêndice e assinado o Anexo I.A, a entidade aderente torna-se Parte das presentes Cláusulas e tem os direitos e obrigações de exportador ou importador de dados, de acordo com a sua designação no Anexo I.A.
(c) A entidade aderente não tem quaisquer direitos ou obrigações decorrentes das presentes Cláusulas relativos ao período anterior à sua adesão como Parte.
SECÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8 – Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizativas adequadas, de cumprir as suas obrigações ao abrigo das presentes Cláusulas.
8.1 Instruções
(a) O importador de dados trata os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante toda a vigência do contrato.
(b) O importador de dados informa imediatamente o exportador de dados caso não consiga seguir essas instruções.
8.2 Limitação das finalidades
O importador de dados trata os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme indicado no Anexo I.B, salvo instrução adicional do exportador de dados.
8.3 Transparência
Mediante pedido, o exportador de dados disponibiliza ao titular dos dados, gratuitamente, uma cópia das presentes Cláusulas, incluindo o Apêndice completado pelas Partes. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador pode redigir partes do texto do Apêndice antes de partilhar uma cópia, mas deve fornecer um resumo significativo onde o titular dos dados não possa de outro modo compreender o seu conteúdo ou exercer os seus direitos.
8.4 Exatidão
Caso o importador de dados tome conhecimento de que os dados pessoais recebidos são inexatos ou se tornaram desatualizados, informa o exportador de dados sem demora injustificada. Nesse caso, o importador de dados coopera com o exportador para apagar ou retificar os dados.
8.5 Duração do tratamento e apagamento ou devolução dos dados
O tratamento pelo importador de dados apenas tem lugar durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador, apaga todos os dados pessoais tratados em nome do exportador e certifica ao exportador que o fez, ou devolve ao exportador todos os dados pessoais tratados em seu nome e elimina as cópias existentes.
8.6 Segurança do tratamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados implementam medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que conduza à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso não autorizado a esses dados. O importador de dados implementa pelo menos as medidas técnicas e organizativas especificadas no Anexo II.
(b) O importador de dados concede acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária. Garante que as pessoas autorizadas a tratar os dados pessoais assumiram compromissos de confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.
(c) No caso de uma violação de dados pessoais relativos a dados tratados pelo importador ao abrigo das presentes Cláusulas, o importador toma medidas adequadas para fazer face à violação e notifica o exportador sem demora injustificada após tomar conhecimento da mesma.
(d) O importador de dados coopera com o exportador e assiste-o para lhe permitir cumprir as suas obrigações ao abrigo do Regulamento (UE) 2016/679, em particular no que respeita à notificação à autoridade de controlo competente e aos titulares dos dados afetados.
8.7 Dados sensíveis
Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados genéticos, dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual de uma pessoa singular, ou dados relativos a condenações penais e infrações (doravante “dados sensíveis”), o importador de dados aplica as restrições específicas e/ou as salvaguardas adicionais descritas no Anexo I.B.
8.8 Transferências ulteriores
O importador de dados só divulga os dados pessoais a terceiros com base em instruções documentadas do exportador de dados. Os dados só podem ser divulgados a terceiros localizados fora da União Europeia se esses terceiros estiverem ou aceitarem ficar vinculados pelas presentes Cláusulas, ou se se verificar uma das exceções previstas na presente cláusula.
8.9 Documentação e conformidade
(a) O importador de dados responde prontamente e de forma adequada às consultas do exportador de dados relacionadas com o tratamento ao abrigo das presentes Cláusulas.
(b) As Partes devem ser capazes de demonstrar a conformidade com as presentes Cláusulas.
(c) O importador de dados disponibiliza ao exportador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas presentes Cláusulas e, mediante pedido do exportador, permite e contribui para auditorias das atividades de tratamento abrangidas pelas presentes Cláusulas.
(d) O exportador de dados pode optar por realizar a auditoria por si próprio ou por um auditor independente.
(e) As Partes disponibilizam as informações referidas nas alíneas (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.
Cláusula 9 – Recurso a subcontratantes
(a) AUTORIZAÇÃO ESCRITA GERAL: O importador de dados tem a autorização geral do exportador para o envolvimento de subcontratantes a partir de uma lista acordada. O importador informa especificamente o exportador por escrito de quaisquer alterações previstas a essa lista, mediante adição ou substituição de subcontratantes, com pelo menos 30 dias de antecedência.
(b) Quando o importador de dados envolver um subcontratante para realizar atividades de tratamento específicas, fá-lo mediante um contrato escrito que preveja, no essencial, as mesmas obrigações de proteção de dados que as que vinculam o importador ao abrigo das presentes Cláusulas.
(c) O importador de dados fornece, mediante pedido do exportador, uma cópia desse contrato com o subcontratante.
(d) O importador de dados permanece plenamente responsável perante o exportador pelo cumprimento das obrigações do subcontratante ao abrigo do seu contrato com o importador.
(e) O importador de dados acorda com o subcontratante uma cláusula a favor de terceiros pela qual, no caso de desaparecimento de facto ou insolvência do importador, o exportador tem o direito de rescindir o contrato com o subcontratante e de instruir o subcontratante a apagar ou devolver os dados pessoais.
Cláusula 10 – Direitos dos titulares de dados
(a) O importador de dados notifica prontamente o exportador de qualquer pedido que tenha recebido de um titular de dados. Não responde a esse pedido por si próprio, a menos que tenha sido autorizado a fazê-lo pelo exportador.
(b) O importador de dados assiste o exportador no cumprimento das suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679.
(c) No cumprimento das suas obrigações ao abrigo das alíneas (a) e (b), o importador de dados cumpre as instruções do exportador.
Cláusula 11 – Recurso
(a) O importador de dados informa os titulares de dados, de forma transparente e facilmente acessível, através de notificação individual ou no seu sítio web, de um ponto de contacto autorizado a tratar reclamações.
(b) Em caso de litígio entre um titular de dados e uma das Partes relativamente à conformidade com as presentes Cláusulas, essa Parte envidar os melhores esforços para resolver o problema de forma amigável.
(c) Quando o titular de dados invocar um direito de terceiro beneficiário ao abrigo da Cláusula 3, o importador de dados aceita a decisão do titular de dados.
(d) As Partes aceitam que o titular de dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições previstas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
(e) O importador de dados cumpre uma decisão vinculativa ao abrigo do direito da UE ou do direito de um Estado-Membro aplicável.
(f) O importador de dados aceita que a escolha feita pelo titular de dados não prejudicará os seus direitos substantivos e processuais de obter reparação nos termos das leis aplicáveis.
Cláusula 12 – Responsabilidade
(a) Cada Parte é responsável perante a(s) outra(s) Parte(s) pelos danos que causar à(s) outra(s) Parte(s) por qualquer violação das presentes Cláusulas.
(b) O importador de dados é responsável perante o titular dos dados, e o titular dos dados tem direito a receber indemnização, por quaisquer danos materiais ou imateriais que o importador de dados ou o seu subcontratante cause ao titular dos dados por violação dos direitos de terceiro beneficiário ao abrigo das presentes Cláusulas.
(c) Sem prejuízo da alínea (b), o exportador de dados é responsável perante o titular dos dados por quaisquer danos materiais ou imateriais causados ao titular dos dados por violação dos direitos de terceiro beneficiário.
(d) As Partes acordam que, se o exportador for considerado responsável ao abrigo da alínea (c) por danos causados pelo importador (ou pelo seu subcontratante), terá direito a recuperar do importador a parte da indemnização correspondente à responsabilidade do importador pelo dano.
(e) Quando mais de uma Parte for responsável por danos causados ao titular dos dados em resultado de uma violação das presentes Cláusulas, todas as Partes responsáveis são solidariamente responsáveis.
(f) As Partes acordam que, se uma Parte for considerada responsável ao abrigo da alínea (e), terá direito a recuperar da(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelo dano.
(g) O importador de dados não pode invocar o comportamento de um subcontratante para se eximir à sua própria responsabilidade.
Cláusula 13 – Supervisão
(a) A autoridade de controlo responsável por garantir o cumprimento do Regulamento (UE) 2016/679 pelo exportador de dados no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atua como autoridade de controlo competente.
(b) O importador de dados aceita submeter-se à jurisdição da autoridade de controlo competente e cooperar com ela em quaisquer procedimentos que visem garantir o cumprimento das presentes Cláusulas.
SECÇÃO III – LEIS LOCAIS E OBRIGAÇÕES EM CASO DE ACESSO POR PARTE DE AUTORIDADES PÚBLICAS
Cláusula 14 – Leis e práticas locais que afetam a conformidade com as Cláusulas
(a) As Partes declaram não ter razões para crer que as leis e práticas no país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte de autoridades públicas, impeçam o importador de cumprir as suas obrigações ao abrigo das presentes Cláusulas.
(b) As Partes declaram ter devidamente tido em conta, em especial: (i) as circunstâncias específicas da transferência; (ii) as leis e práticas do país terceiro de destino; (iii) quaisquer salvaguardas contratuais, técnicas ou organizativas relevantes adotadas para complementar as salvaguardas previstas nas presentes Cláusulas.
(c) O importador de dados declara ter envidado os melhores esforços para fornecer ao exportador informações relevantes e compromete-se a continuar a cooperar para garantir a conformidade com as presentes Cláusulas.
(d) As Partes acordam em documentar a avaliação referida na alínea (b) e disponibilizá-la à autoridade de controlo competente mediante pedido.
(e) O importador de dados compromete-se a notificar prontamente o exportador caso, após ter acordado as presentes Cláusulas e durante a vigência do contrato, tenha razões para crer que está ou passou a estar sujeito a leis ou práticas não conformes com os requisitos da alínea (a).
(f) Na sequência de uma notificação ao abrigo da alínea (e), ou caso o exportador tenha razões para crer que o importador já não pode cumprir as suas obrigações ao abrigo das presentes Cláusulas, o exportador identifica prontamente medidas adequadas. O exportador suspende a transferência de dados caso considere que não é possível garantir salvaguardas adequadas para essa transferência.
Cláusula 15 – Obrigações do importador de dados em caso de acesso por parte de autoridades públicas
15.1 Notificação
(a) O importador de dados compromete-se a notificar prontamente o exportador e, sempre que possível, o titular dos dados, caso: (i) receba um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino, para divulgação de dados pessoais transferidos ao abrigo das presentes Cláusulas; ou (ii) tome conhecimento de qualquer acesso direto por parte de autoridades públicas a dados pessoais transferidos.
(b) Caso o importador esteja proibido pela lei do país de destino de notificar o exportador e/ou o titular dos dados, compromete-se a envidar os melhores esforços para obter uma derrogação da proibição.
(c) Na medida em que a lei do país de destino o permita, o importador compromete-se a fornecer ao exportador, a intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre os pedidos recebidos.
(d) O importador compromete-se a conservar as informações referidas nas alíneas (a) a (c) durante a vigência do contrato e a disponibilizá-las à autoridade de controlo competente mediante pedido.
15.2 Verificação da licitude e minimização dos dados
(a) O importador compromete-se a verificar a licitude do pedido de divulgação e a contestá-lo caso, após avaliação cuidadosa, conclua haver motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino.
(b) O importador compromete-se a documentar a sua avaliação jurídica e qualquer contestação ao pedido de divulgação.
(c) O importador compromete-se a fornecer o mínimo de informações permitido ao responder a um pedido de divulgação.
SECÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16 – Incumprimento das Cláusulas e rescisão
(a) O importador de dados informa prontamente o exportador caso não consiga cumprir as presentes Cláusulas, por qualquer razão.
(b) Em caso de violação das presentes Cláusulas ou de incapacidade de as cumprir, o exportador suspende a transferência de dados pessoais para o importador até que a conformidade seja restabelecida ou o contrato seja rescindido.
(c) O exportador tem o direito de rescindir o contrato, na medida em que diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas, quando: (i) o exportador tiver suspendido a transferência ao abrigo da alínea (b) e a conformidade não for restabelecida num prazo razoável e, em qualquer caso, no prazo de um mês após a suspensão; (ii) o importador violar de forma substancial ou persistente as presentes Cláusulas; ou (iii) o importador não cumprir uma decisão vinculativa de um tribunal competente ou de uma autoridade de controlo relativamente às suas obrigações ao abrigo das presentes Cláusulas.
(d) Os dados pessoais transferidos antes da rescisão do contrato ao abrigo da alínea (c) são, à escolha do exportador, imediatamente devolvidos ao exportador ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador certifica ao exportador o apagamento dos dados.
(e) Qualquer das Partes pode revogar o seu acordo em ficar vinculada pelas presentes Cláusulas quando: (i) a Comissão Europeia adotar uma decisão ao abrigo do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que as presentes Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos.
Cláusula 17 – Lei aplicável
As presentes Cláusulas são regidas pela lei do Estado em que o exportador de dados está estabelecido. Quando essa lei não preveja direitos de terceiros beneficiários, as presentes Cláusulas são regidas pela lei do Estado-Membro da UE que os preveja. As Partes acordam que essa lei será a lei de Malta.
Cláusula 18 – Escolha do foro e jurisdição
(a) Qualquer litígio resultante das presentes Cláusulas é resolvido pelos tribunais de um Estado-Membro da UE.
(b) As Partes acordam que esses serão os tribunais de Malta.
(c) Um titular de dados pode também intentar uma ação judicial contra o exportador e/ou o importador de dados nos tribunais do Estado-Membro em que reside habitualmente.
(d) As Partes aceitam submeter-se à jurisdição desses tribunais.
APÊNDICE II
ADENDO INTERNACIONAL DE TRANSFERÊNCIA DE DADOS DO REINO UNIDO ÀS CLÁUSULAS CONTRATUAIS PADRÃO DA UE
O presente Adendo do Reino Unido (“Adendo”) faz parte das Cláusulas Contratuais Padrão (“CCP”) anexadas como Apêndice 1 ao Acordo de Processamento de Dados (“APD”).
O presente Adendo destina-se a aplicar-se à transferência de Dados Pessoais do Reino Unido para um país fora do Reino Unido que não seja objeto de uma decisão de adequação do governo britânico.
Parte 1: Tabelas
Tabela 1: Partes
| Data de início | A data em que ocorre a primeira Transferência Restrita de Dados Pessoais do Cliente ao abrigo do presente Adendo. |
| As Partes | Exportador: Conforme indicado no Anexo I.A das CCP incorporadas no presente Acordo. |
| Importador: Conforme indicado no Anexo I.A das CCP incorporadas no presente Acordo. |
Tabela 2: CCP da UE selecionadas, Módulos e Cláusulas selecionadas
| Módulo | Em vigor | Cláusula 7 | Cláusula 11 | Cláusula 9a | Período 9a | Combinação de dados |
| 1 | ||||||
| 2 | X | Incluída | Incluída | Autorização geral | 30 dias | Não |
| 3 | ||||||
| 4 |
Tabela 3: Informações do Apêndice
| Anexo 1A – Lista das Partes | Conforme indicado no Anexo I.A das CCP. |
| Anexo 1B – Descrição da Transferência | Conforme indicado no Anexo I.B das CCP. |
| Anexo II – MOT | Conforme indicado no Anexo II das CCP. |
| Anexo III – Suboperadores | Conforme indicado no Anexo III das CCP. |
Tabela 4: Cessação do presente Adendo quando o Adendo Aprovado muda
| Quais as Partes que podem pôr termo ao presente Adendo nos termos da Secção 19? | X nenhuma Parte |
Parte 2: Cláusulas obrigatórias
Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo Adendo B.1.0 emitido pelo ICO e apresentado ao Parlamento nos termos do artigo 119.º-A do Data Protection Act 2018, em 2 de fevereiro de 2022, na versão revista nos termos da Secção 18 dessas Cláusulas Obrigatórias.
APÊNDICE III
ADENDO SUÍÇO (LPD) ÀS CLÁUSULAS CONTRATUAIS PADRÃO DA UE
Partes: O presente Adendo Suíço (o “Adendo Suíço”) é celebrado entre as Partes das Cláusulas Contratuais Padrão da UE adotadas pela Decisão (UE) 2021/914 (as “CCP da UE”) incorporadas no Acordo entre:
- Exportador de dados (Suíça): Controlador
- Importador de dados: Operador
1) Finalidade e âmbito de aplicação
1.1 O presente Adendo Suíço adapta as CCP da UE para transferências de dados pessoais sujeitas à Lei Federal Suíça sobre Proteção de Dados (LPD, incluindo a LPD revista) da Suíça para um país sem nível adequado de proteção.
2) Ajustes de interpretação
2.1 As referências ao “RGPD” devem ser lidas, quando adequado, como incluindo a LPD e as suas disposições de implementação.
2.2 As referências a um “Estado-Membro da UE” e “Estado-Membro” devem ser interpretadas como incluindo a Suíça, sempre que necessário para que os titulares de dados suíços beneficiem de direitos de terceiros.
2.3 As referências a uma “autoridade de controlo” devem, para transferências exclusivamente suíças, ser interpretadas como incluindo a Comissária Federal de Proteção de Dados e Informação (PFPDT).
2.4 “Dados pessoais”, “titular dos dados”, “tratamento” e outros termos do RGPD devem ser interpretados de forma consistente com os conceitos equivalentes ao abrigo da LPD quando a LPD se aplica.
2.5 O presente Adendo Suíço não modifica o texto das CCP da UE, exceto conforme expressamente indicado no presente documento.
3) Autoridade competente (Anexo I(C) das CCP da UE)
3.1 Para dados sujeitos exclusivamente à LPD, a autoridade de controlo competente é a PFPDT; para transferências sujeitas tanto à LPD como ao RGPD, são tanto a PFPDT como a autoridade de controlo da UE competente.
4) Lei aplicável e foro (Cláusulas 17 e 18 das CCP da UE)
4.1 Transferências exclusivamente suíças: Cláusula 17: lei suíça. Cláusula 18: tribunais de Lucerna, Suíça.
4.2 Transferências paralelas UE+Suíça: As Cláusulas 17 e 18 mantêm-se conforme selecionadas para o RGPD ao abrigo das CCP da UE. Tal não impede os titulares de dados suíços de intentar ações na Suíça, quando permitido pela LPD.
5) Transferências ulteriores e direitos de terceiros beneficiários
5.1 Onde as CCP da UE se referem a direitos dos titulares de dados de fazer valer as cláusulas, considera-se que esses direitos incluem os titulares de dados suíços ao abrigo da LPD.
5.2 Quaisquer referências nas CCP da UE que de outro modo pudessem excluir os titulares de dados suíços não devem ser interpretadas nesse sentido.
6) Leis locais e acesso por autoridades públicas (Cláusulas 14-15)
6.1 Onde as CCP da UE exijam uma avaliação das leis/práticas locais e das obrigações relativamente ao acesso por autoridades públicas, as Partes realizarão essa avaliação com referência à LPD para transferências exclusivamente suíças, e à LPD e ao RGPD para transferências paralelas UE+suíças.
6.2 O importador de dados fornecerá ao exportador as informações razoavelmente necessárias para completar a avaliação no contexto da LPD.
7) Anexos e mecânica de preenchimento
7.1 Os Anexos I–III das CCP da UE (conforme preenchidos entre as Partes) são incorporados por referência no presente Adendo Suíço e aplicam-se mutatis mutandis às transferências sujeitas à LPD.
7.2 Onde o presente Adendo Suíço exigir uma alteração ao Anexo I(C) ou às seleções ao abrigo das Cláusulas 17–18 para transferências exclusivamente suíças, essas seleções consideram-se alteradas conforme indicado nas Secções 3.1 e 4.1.
8) Prevalência
8.1 Em caso de inconsistência entre o presente Adendo Suíço e as CCP da UE, o presente Adendo Suíço prevalece apenas na medida necessária para cumprir a LPD.
8.2 Em caso de inconsistência entre o presente Adendo Suíço e o Acordo/APD, o presente Adendo Suíço prevalece para transferências sujeitas à LPD.
APÊNDICE
ANEXO I ÀS CLÁUSULAS CONTRATUAIS PADRÃO
A. LISTA DAS PARTES
Importador de dados – OPERADOR
A entidade contratante da Ideals aplicável identificada no Acordo VDR.
Contacto: privacy@idealscorp.com
Atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas: Prestação dos serviços ao abrigo do Acordo VDR Ideals
Exportador de dados – CONTROLADOR
A entidade contratante do Cliente aplicável e os dados de contacto identificados no Acordo VDR.
Atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas: Prestação dos serviços ao abrigo do Acordo VDR Ideals
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos: Todos os indivíduos cujas informações estão contidas na documentação carregada para o VDR.
Categorias de dados pessoais transferidos: Todas as categorias de dados pessoais carregados no VDR.
Dados sensíveis transferidos (se aplicável) e restrições/salvaguardas aplicadas: Determinados pelo Cliente com base no conteúdo carregado. A Ideals aplica as salvaguardas descritas no Anexo II.
Frequência da transferência: Base contínua.
Natureza do tratamento: Prestação dos serviços ao abrigo do Acordo VDR Ideals.
Finalidade(s) da transferência de dados e tratamento posterior: Prestação dos serviços ao abrigo do Acordo VDR Ideals.
Período de conservação dos dados pessoais: Conforme especificado no Acordo VDR Ideals.
Para transferências para (sub-)operadores: Prestação dos serviços ao abrigo do Acordo VDR Ideals.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
A autoridade de controlo competente ao abrigo da Cláusula 13 é a autoridade de controlo competente para o exportador de dados ao abrigo do Regulamento (UE) 2016/679 (RGPD), determinada com base no estabelecimento, no estabelecimento principal ou noutros critérios aplicáveis ao exportador de dados ao abrigo do RGPD.
ANEXO II
Medidas Técnicas e Organizativas (MTO)
O grupo de empresas Ideals implementa as seguintes medidas técnicas e organizativas para garantir a proteção dos dados pessoais tratados em conformidade com o Regulamento Geral sobre a Proteção de Dados, as Leis Locais de Proteção de Dados, qualquer legislação e regulamentação subordinada que implemente o Regulamento Geral sobre a Proteção de Dados e todas as Leis de Privacidade.
O grupo de empresas Ideals cria e mantém a seguinte documentação de segurança e privacidade:
- Acordo de Processamento de Dados (APD)
- Medidas Técnicas e Organizativas (MTO)
- Acordo de Não Divulgação (AND)
- Contrato de Suboperador (conforme necessário)
- Cláusulas Contratuais Padrão da UE (Decisão da Comissão (UE) 2021/914) (Módulo 2)
1. Confidencialidade
| Medidas Técnicas | Medidas Organizativas |
| Aplicação de identidade e acesso. SSO + MFA adaptativo para todos os acessos de pessoal/administradores; força mínima da frase-passe ≥ 12 caracteres ou equivalente; bloqueio de conta após tentativas falhadas consecutivas; fortalecimento de sessões. Controlo de Acesso Baseado em Funções (RBAC) e Privilégio Mínimo. Funções granulares; acessos privilegiados limitados no tempo e registados. Isolamento de inquilinos e segregação lógica. Espaços de dados por inquilino; ACLs do lado do serviço para impedir acesso entre inquilinos. Segurança de rede. Segmentação (VPCs/sub-redes/grupos de segurança), WAF, IDS/IPS, monitorização de rede, limitação de taxa e controlos de saída. Segurança de endpoints. Cifragem completa do disco, EDR/anti-malware, firewalls de host, políticas de controlo USB/portas. Criptografia. Cifragem de dados em repouso; TLS 1.3 para todas as ligações externas e internas; pseudonimização/tokenização sempre que possível. Gestão de chaves. Chaves armazenadas em KMS/Key Vaults dedicados; rotação e registos de acesso. DLP. Regras DLP em endpoints e ferramentas de colaboração. Assinaturas digitais. Mecanismos de assinatura eletrónica aprovados; registo de validação. | Governação de acessos. Políticas documentadas de acesso e funções; processo de entrada-transferência-saída; revisões periódicas de acessos. Obrigações de confidencialidade. ANDs para funcionários e contratantes; verificações de antecedentes. Diligência devida com terceiros/fornecedores. Verificação baseada no risco de contratantes/suboperadores. Gestão de informações. Política de classificação e gestão de dados; procedimentos de gestão segura e eliminação de suportes. |
2. Integridade
| Medidas Técnicas | Medidas Organizativas |
| Transporte seguro e interfaces. TLS 1.2+; HSTS; conjuntos de cifras robustos; autenticação de API com tokens assinados. Auditabilidade. Registos imutáveis/auditáveis; sincronização de hora (NTP). Controlos de aplicação e dados. Validação do lado do servidor; integridade referencial; checksums/hashes; controlo de versões. Controlos de sessão. Timeouts impostos e re-autenticação para operações sensíveis. Gestão de vulnerabilidades e patches. Análise contínua de vulnerabilidades; aplicação de patches baseada em SLA; linhas de base de configuração CIS. | Gestão de alterações e lançamentos. Controlo formal de alterações; aprovações; separação de funções; testes de reversão. SDLC seguro. Modelação de ameaças; revisões de código; gestão de dependências; gestão de segredos. Políticas e procedimentos. Política de segurança da informação; Política de proteção de dados. |
3. Disponibilidade e resiliência
| Medidas Técnicas | Medidas Organizativas |
| Redundância e tolerância a falhas. Implementações multi-AZ; balanceamento de carga; escalonamento automático. Cópias de segurança e recuperação. Cópias de segurança automáticas e regulares; imutabilidade; testes de recuperação. Monitorização e alertas. Registo centralizado/SIEM; verificações de saúde; monitorização de capacidade. Proteção contra interrupções. Proteção contra DDoS; limitação de taxa; circuit breakers. | PCN/PRD. Planos documentados de continuidade de negócio e recuperação de desastres com RTO/RPO. Governação de cópias de segurança. Política de agendamento de cópias de segurança; conservação; cifragem. Resposta a incidentes. Plano IR definido; playbooks; revisões pós-incidente. |
4. Procedimento para testar, aceder e avaliar regularmente
| Medidas Técnicas | Medidas Organizativas |
| Testes de segurança. Testes de penetração independentes anuais; bug bounty/divulgação responsável contínuos; análise automatizada SAST/DAST/Cloud. Telemetria de controlos. Métricas de segurança; dashboards de estado dos controlos; verificações automatizadas de conformidade com políticas. | Sistema de gestão e garantia. SGSI ISO/IEC 27001 em vigor; auditorias SOC 2 Tipo II. Governação e documentação. Repositório central para políticas/MTO; atribuição formal de responsabilidades. Formação e sensibilização. Formação regular em proteção de dados e segurança (baseada em funções); simulações de phishing. Revisão periódica. Revisão anual da eficácia das MTO. |
5. Governação da privacidade e controlos do ciclo de vida dos dados
| Medidas Técnicas | Medidas Organizativas |
| Minimização de dados e mascaramento. Minimização ao nível do campo; mascaramento/pseudonimização para ambientes não produtivos. Automatização da conservação e eliminação. Conservação orientada por políticas com tarefas de eliminação automatizadas. | AIPD/AITransf. Avaliações de Impacto sobre a Proteção de Dados baseadas no risco; registo das atividades de tratamento (RAT). Gestão de suboperadores. APDs/CCP contratuais; avaliações de impacto de transferência; monitorização contínua. Pedidos dos titulares de dados. Procedimentos e SLAs definidos para pedidos de exercício de direitos; etapas de verificação de identidade. |
ANEXO III
A Ideals contrata empresas da Amazon Web Services (“AWS”) como suboperadores para serviços de alojamento em nuvem e infraestrutura. Todo o tratamento de dados é realizado pela entidade AWS correspondente à localização selecionada pelo Cliente durante a configuração da Data Room.
As localizações de servidor atualmente disponíveis incluem Alemanha, França, Espanha, Reino Unido, Estados Unidos, Brasil, China, Singapura, Índia, Japão e Austrália, e estão sujeitas a alteração à medida que a Ideals atualiza as suas ofertas regionais.
A localização do tratamento de dados não será alterada sem o consentimento prévio escrito do Cliente.
Funcionalidade opcional de tradução integral avançada – DeepL
Sempre que o Cliente ativar a funcionalidade opcional de tradução integral avançada da Ideals, a Ideals poderá contratar a DeepL SE como suboperador para a finalidade limitada de traduzir o conteúdo dos documentos submetidos através dessa funcionalidade.
Esta funcionalidade é opcional e não está ativada por predefinição. O tratamento pela DeepL pode ocorrer na União Europeia, nos Estados Unidos ou no Japão e pode, por conseguinte, diferir da localização de alojamento principal da Data Room.
A Ideals não ativará esta funcionalidade sempre que tal entre em conflito com os compromissos contratuais aplicáveis do Cliente, com as restrições regionais ativadas ou com outros requisitos legais documentados do conhecimento da Ideals. A DeepL é contratada exclusivamente para a execução da tradução solicitada e não para o alojamento geral de serviços. O Cliente continua responsável por decidir se utiliza a funcionalidade opcional de tradução integral avançada.
Adendo I
Termos da CCPA/CPRA e das Leis Estaduais de Privacidade dos EUA
1. Função. A Ideals atua como “prestador de serviços” e/ou “operador” no que diz respeito aos Dados Pessoais do Cliente.
2. Restrições. A Ideals não deverá:
(a) vender ou partilhar os Dados Pessoais do Cliente;
(b) conservar, utilizar ou divulgar os Dados Pessoais do Cliente para qualquer finalidade que não seja as finalidades comerciais especificadas no Acordo;
(c) combinar os Dados Pessoais do Cliente com dados pessoais recebidos de outra fonte, exceto conforme permitido por lei para prestar os Serviços; ou
(d) utilizar os Dados Pessoais do Cliente fora da relação comercial direta com o Cliente.