entre a OfiSync Tech e o Utilizador Profissional da App LEXIUM
O presente Acordo de Tratamento de Dados regula o tratamento de dados pessoais efetuado pela OfiSync Tech, na qualidade de subcontratante, por conta do Utilizador Profissional da App LEXIUM, na qualidade de responsável pelo tratamento, nos termos do artigo 28.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), e da Lei n.º 58/2019, de 8 de agosto.
O presente acordo integra o quadro contratual aplicável à utilização da App LEXIUM e considera-se aceite com a adesão ao serviço, sem prejuízo de poder ser formalizado autonomamente em versão assinada entre as partes.
1. Partes
1.1. Subcontratante
OfiSync Tech
Email: ofisync.tech@gmail.com
1.2. Responsável pelo tratamento
O Utilizador Profissional da App LEXIUM, designadamente advogado em prática individual, sociedade de advogados ou outra entidade que utilize a App no contexto da sua atividade profissional e determine as finalidades e os meios do tratamento dos dados pessoais inseridos na plataforma, nos termos do artigo 4.º, n.º 7, do RGPD.
2. Objeto
O presente acordo estabelece as condições em que a OfiSync Tech trata dados pessoais por conta do Utilizador Profissional, exclusivamente para efeitos de disponibilização, alojamento, organização, armazenamento, transmissão, estruturação, consulta, conservação, eliminação, suporte técnico e demais operações estritamente necessárias ao funcionamento da App LEXIUM e dos serviços associados.
A OfiSync Tech atua como subcontratante apenas quanto aos dados pessoais inseridos, carregados, organizados ou tratados pelo Utilizador Profissional no exercício da sua atividade. Os dados relativos à conta do utilizador, autenticação, faturação, suporte e segurança do serviço regem-se pela Política de Privacidade aplicável à App, na medida em que possam corresponder a tratamentos em que a OfiSync Tech atua como responsável pelo tratamento.
3. Duração
O presente acordo produz efeitos a partir da adesão do Utilizador Profissional à App LEXIUM e mantém-se em vigor durante todo o período em que a OfiSync Tech tratar dados pessoais por conta daquele, sem prejuízo das obrigações que, pela sua natureza, devam subsistir após a cessação do serviço, designadamente deveres de confidencialidade, segurança, cooperação, auditoria limitada e eliminação ou devolução de dados.
4. Natureza e finalidade do tratamento
A natureza das operações de tratamento pode incluir, consoante a configuração funcional da App e as instruções do Utilizador Profissional:
Recolha indireta por inserção ou carregamento pelo Utilizador Profissional.
Registo, organização, estruturação e conservação.
Consulta e utilização técnica para disponibilização das funcionalidades da App.
Adaptação, recuperação, exportação, sincronização e eliminação.
Alojamento, backup, suporte técnico e manutenção corretiva ou evolutiva.
A finalidade do tratamento consiste exclusivamente na disponibilização da infraestrutura tecnológica e das funcionalidades da App LEXIUM para gestão da atividade profissional do Utilizador Profissional.
5. Categorias de dados pessoais e titulares
5.1. Categorias de titulares de dados
Os dados pessoais tratados ao abrigo do presente acordo podem respeitar, consoante a utilização concreta da App, às seguintes categorias de titulares:
Clientes e potenciais clientes do Utilizador Profissional.
Representantes legais, mandatários, contrapartes, testemunhas, peritos e outros intervenientes processuais.
Colaboradores, prestadores, contactos profissionais e demais pessoas singulares cujos dados sejam inseridos na App pelo Utilizador Profissional.
O próprio Utilizador Profissional e os seus colaboradores autorizados, na medida em que utilizem a plataforma.
5.2. Categorias de dados pessoais
Os dados tratados podem incluir, nomeadamente:
Dados de identificação civil e fiscal.
Dados de contacto.
Dados profissionais.
Dados relativos a processos, diligências, consultas, agenda e prazos.
Dados financeiros associados à gestão interna do escritório.
Documentos, imagens e ficheiros carregados pelo Utilizador Profissional.
Outras categorias de dados que o Utilizador Profissional introduza na App sob a sua exclusiva responsabilidade.
Consoante a concreta utilização da App, podem também ser tratados dados sensíveis ou especialmente protegidos, incluindo dados abrangidos pelo artigo 9.º do RGPD ou informações sujeitas a especial confidencialidade profissional. O Utilizador Profissional assegura que apenas transmite tais dados quando disponha de fundamento jurídico bastante e quando tal seja necessário para os fins por si determinados.
6. Instruções documentadas do responsável pelo tratamento
A OfiSync Tech tratará os dados pessoais apenas mediante instruções documentadas do Utilizador Profissional, incluindo no que respeita a transferências de dados para países terceiros ou organizações internacionais, salvo se for obrigada a fazê-lo por força do direito da União ou do Estado-Membro a que esteja sujeita. Nessa hipótese, a OfiSync Tech informará o Utilizador Profissional dessa exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos ponderosos de interesse público, nos termos do artigo 28.º, n.º 3, alínea a), do RGPD.
Consideram-se instruções documentadas, para efeitos do presente acordo, os atos praticados pelo Utilizador Profissional na configuração, alimentação e utilização da App, bem como as instruções transmitidas por escrito pela conta de contacto associada ao serviço, desde que compatíveis com a lei, com a segurança do sistema e com a arquitetura funcional da plataforma.
Caso a OfiSync Tech considere que uma instrução viola o RGPD ou outra disposição aplicável em matéria de proteção de dados, informará o Utilizador Profissional sem demora injustificada.
7. Confidencialidade
A OfiSync Tech assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade, nos termos do artigo 28.º, n.º 3, alínea b), do RGPD.
O acesso aos dados pessoais é limitado às pessoas que necessitem de os conhecer para cumprimento das funções técnicas, operacionais ou de suporte estritamente relacionadas com a prestação do serviço.
8. Segurança do tratamento
A OfiSync Tech implementa medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, nos termos do artigo 32.º do RGPD, tendo em conta o estado da técnica, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
Essas medidas podem incluir, designadamente:
Encriptação das comunicações entre a App e os sistemas de suporte.
Controlo de acessos lógicos e segregação por utilizador.
Mecanismos de autenticação e gestão de permissões.
Registos técnicos e monitorização de eventos relevantes.
Medidas de resiliência, backup e recuperação.
Procedimentos internos para gestão de incidentes de segurança.
A OfiSync Tech poderá atualizar ou substituir medidas de segurança sempre que tal represente melhoria equivalente ou superior do nível de proteção, tendo em conta a evolução técnica e os riscos identificados.
9. Recurso a outros subcontratantes
O Utilizador Profissional autoriza, de forma geral, a OfiSync Tech a recorrer a sub-subcontratantes para a prestação dos serviços associados à App, incluindo fornecedores de alojamento, autenticação, armazenamento, infraestrutura e suporte técnico, desde que sejam impostas a esses terceiros obrigações de proteção de dados equivalentes às previstas no presente acordo, em conformidade com o artigo 28.º, n.º 2 e n.º 4, do RGPD.
Entre os prestadores que podem ser utilizados incluem-se, nomeadamente:
Supabase, para infraestrutura, base de dados, armazenamento e componentes técnicas associadas.
Google, para autenticação ou integrações autorizadas pelo Utilizador Profissional.
Sempre que legal ou contratualmente devido, a OfiSync Tech disponibilizará informação atualizada sobre os sub-subcontratantes relevantes e dará ao Utilizador Profissional a possibilidade de formular objeções fundamentadas, quando essas objeções sejam juridicamente pertinentes e tecnicamente exequíveis no contexto do serviço.
Quando um sub-subcontratante não cumpra as suas obrigações em matéria de proteção de dados, a OfiSync Tech permanece plenamente responsável perante o Utilizador Profissional pelo cumprimento das obrigações desse terceiro, nos termos do artigo 28.º, n.º 4, do RGPD.
10. Assistência ao responsável pelo tratamento
Tendo em conta a natureza do tratamento e na medida do possível, a OfiSync Tech auxiliará o Utilizador Profissional, através de medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de dar resposta aos pedidos de exercício de direitos dos titulares dos dados, nos termos do artigo 28.º, n.º 3, alínea e), do RGPD.
A OfiSync Tech prestará igualmente assistência razoável ao Utilizador Profissional para assegurar o cumprimento das obrigações relativas à segurança do tratamento, notificação de violações de dados pessoais, avaliações de impacto sobre a proteção de dados e consulta prévia, nos termos dos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação disponível para a OfiSync Tech.
Sempre que a assistência implique desenvolvimento adicional, extração técnica complexa, suporte extraordinário ou intervenção não incluída no serviço base, a respetiva prestação poderá ficar sujeita a condições técnicas, prazos razoáveis e, quando aplicável, remuneração adicional previamente comunicada.
11. Notificação de violação de dados pessoais
A OfiSync Tech notificará o Utilizador Profissional sem demora injustificada após tomar conhecimento de uma violação de dados pessoais relativa aos dados tratados por conta deste, fornecendo, na medida do possível e de forma faseada se necessário, informação suficiente para permitir ao Utilizador Profissional cumprir as suas obrigações legais, designadamente as previstas nos artigos 33.º e 34.º do RGPD.
A notificação pode incluir, consoante a informação disponível:
A natureza da violação.
As categorias e o número aproximado de titulares afetados.
As categorias e o número aproximado de registos de dados em causa.
As prováveis consequências da violação.
As medidas adotadas ou propostas para reparar a violação e mitigar os seus efeitos.
12. Transferências internacionais de dados
A OfiSync Tech apenas realizará transferências de dados pessoais para países terceiros ou organizações internacionais em conformidade com o Capítulo V do RGPD, nomeadamente com base numa decisão de adequação da Comissão Europeia, em cláusulas contratuais-tipo ou noutro mecanismo legalmente admissível.
Sempre que, para a prestação do serviço, sejam utilizados prestadores ou infraestruturas com tratamento de dados fora do Espaço Económico Europeu, a OfiSync Tech assegurará a adoção de salvaguardas adequadas e disponibilizará, mediante pedido razoável, informação sobre o mecanismo jurídico aplicável à transferência, sem prejuízo de obrigações de confidencialidade ou limitações legais.
13. Auditoria e disponibilização de informação
A OfiSync Tech disponibilizará ao Utilizador Profissional as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD, nos termos do artigo 28.º, n.º 3, alínea h), do RGPD.
As auditorias ou inspeções promovidas pelo Utilizador Profissional ou por auditor por si mandatado ficam sujeitas a aviso prévio razoável, a confidencialidade, à não interferência desproporcionada com a atividade da OfiSync Tech, à salvaguarda de segredos comerciais, segurança de outros clientes e limites de proporcionalidade e frequência razoáveis. Sempre que possível, poderão ser substituídas por documentação técnica, certificações, relatórios de auditoria independentes ou outras garantias objetivas equivalentes.
As auditorias não podem implicar acesso a dados de outros clientes, a informação comercial sensível, a código-fonte ou a elementos cuja divulgação comprometa a segurança da infraestrutura ou os direitos de terceiros.
14. Eliminação ou devolução dos dados após o termo do serviço
Após o termo da prestação de serviços relativos ao tratamento, a OfiSync Tech eliminará ou devolverá ao Utilizador Profissional, conforme a opção tecnicamente disponibilizada ou contratualmente acordada, todos os dados pessoais tratados por conta deste, apagando as cópias existentes, salvo se a conservação for exigida pelo direito da União ou do Estado-Membro, nos termos do artigo 28.º, n.º 3, alínea g), do RGPD.
A eliminação poderá não ser imediata quando existam ciclos técnicos de backup, retenção transitória para recuperação, obrigações legais de conservação ou necessidade de preservação de prova para defesa de direitos, permanecendo os dados, nesses casos, sujeitos a medidas adequadas de limitação de acesso e segurança até à sua eliminação definitiva.
15. Obrigações do Utilizador Profissional enquanto responsável pelo tratamento
O Utilizador Profissional declara e garante que:
Determina licitamente as finalidades e os meios do tratamento dos dados inseridos na App.
Possui base jurídica válida para o tratamento dos dados pessoais e, quando aplicável, dos dados abrangidos pelo artigo 9.º do RGPD.
Cumpre os deveres de informação previstos nos artigos 13.º e 14.º do RGPD.
Garante a licitude da recolha, inserção e utilização dos dados na App.
Respeita os deveres de segredo profissional, confidencialidade e demais obrigações deontológicas aplicáveis.
É responsável pela definição de perfis, permissões e acessos internos no seu contexto organizacional.
O Utilizador Profissional é o único responsável pelo conteúdo dos dados carregados na App, pela sua atualização, exatidão, pertinência e licitude.
16. Responsabilidade
Cada parte responde pelos danos causados em resultado da violação das obrigações que sobre si impendem em matéria de proteção de dados, nos termos do RGPD e da legislação aplicável.
A OfiSync Tech não responde por tratamentos ilícitos determinados pelo Utilizador Profissional, por dados inseridos sem base legal, por incumprimento dos deveres de informação perante os titulares ou por violações decorrentes de instruções do Utilizador Profissional que sejam contrárias à lei, sem prejuízo do dever de alerta previsto no presente acordo.
17. Autoridade de controlo e cooperação
Sem prejuízo das competências das autoridades de controlo nos termos do RGPD, as partes comprometem-se a cooperar de boa-fé em caso de pedidos de informação, inspeções, investigações ou incidentes relacionados com os tratamentos abrangidos pelo presente acordo.
Em Portugal, a autoridade de controlo competente é a Comissão Nacional de Proteção de Dados (CNPD), com informação disponível em www.cnpd.pt.
18. Lei aplicável e foro
O presente acordo rege-se pela lei portuguesa, sem prejuízo da aplicação direta do RGPD e de outras normas imperativas do direito da União Europeia.
Para a resolução de litígios emergentes do presente acordo é competente o foro legalmente aplicável, sem prejuízo das regras imperativas de competência e dos meios alternativos de resolução de litígios que possam ser convencionados entre as partes.
19. Disposições finais
Caso qualquer cláusula do presente acordo venha a ser considerada inválida, nula ou inexequível, tal não afetará a validade das restantes disposições, que permanecerão em vigor na máxima extensão permitida por lei.
O presente acordo deve ser lido em conjunto com os Termos e Condições de Utilização da App LEXIUM e com a respetiva Política de Privacidade, formando com esses documentos o quadro contratual e regulatório da utilização do serviço.
20. Contacto
OfiSync Tech
Email: ofisync.tech@gmail.com