Documentação legal — Plataforma SILO
Acordo de Processamento de Dados (DPA)
Partes
Responsável pelo tratamento: [NOME DA EMPRESA CLIENTE], com sede em [MORADA], NIF [XXXXX] (doravante "Responsável").
Subcontratante: Ahkoris Lda, com sede em Vila Nova de Gaia, Portugal, NIF 519402901 (doravante "Ahkoris" ou "Subcontratante").
As partes celebraram um contrato principal de subscrição da plataforma SILO ("Contrato Principal"). O presente Acordo de Processamento de Dados ("DPA") é parte integrante do Contrato Principal e regula o tratamento de dados pessoais pela Ahkoris na qualidade de subcontratante ao abrigo do Regulamento (UE) 2016/679 (RGPD).
1. Definições
Os termos definidos no RGPD têm o mesmo significado no presente DPA. "Dados do Cliente" designa os dados pessoais que o Responsável introduz ou instrui a Ahkoris a tratar na plataforma SILO no âmbito das atividades de conformidade regulatória do Responsável.
2. Objeto e instrução
A Ahkoris trata os Dados do Cliente exclusivamente segundo as instruções documentadas do Responsável e para as finalidades estabelecidas no Contrato Principal, nomeadamente:
- Armazenamento e processamento de registos de atividades de tratamento (RAT), avaliações de impacto (DPIA), registos de incidentes, avaliações de risco e dados de fornecedores introduzidos pelo Responsável na plataforma SILO;
- Gestão de acessos e autenticação dos utilizadores autorizados pelo Responsável;
- Backup encriptado e recuperação de dados;
- Monitorização e suporte técnico necessário à prestação do serviço.
A Ahkoris informará imediatamente o Responsável se, na sua opinião, uma instrução violar o RGPD ou outra legislação aplicável.
3. Categorias de dados e titulares
| Categorias de dados pessoais | Categorias de titulares |
|---|---|
| Dados de identificação (nome, e-mail, cargo) | Colaboradores do Responsável; utilizadores da plataforma |
| Dados de autenticação (e-mail, hash de password, MFA) | Utilizadores registados na conta do Responsável |
| Dados de conformidade introduzidos pelo Responsável (ex.: nomes em RAT, DPIA, incidentes) | Titulares referenciados nos registos de conformidade do Responsável |
| Logs de auditoria e registos de acesso | Utilizadores da plataforma |
O tratamento de categorias especiais de dados (Art. 9.º RGPD) não é previsto no âmbito normal do serviço. Se o Responsável pretender introduzir dados de categorias especiais, deve notificar a Ahkoris previamente e obter as garantias adicionais necessárias.
4. Obrigações da Ahkoris (subcontratante)
A Ahkoris compromete-se a:
- Tratar os Dados do Cliente apenas com base em instruções documentadas do Responsável ou por exigência legal, neste caso informando o Responsável previamente, salvo proibição legal;
- Garantir que o pessoal autorizado a tratar os Dados do Cliente está sujeito a obrigações de confidencialidade;
- Implementar as medidas técnicas e organizativas referidas no Art. 32.º RGPD, tal como descrito na cláusula 6 do presente DPA;
- Respeitar as condições aplicáveis à contratação de subcontratantes (cláusula 5);
- Assistir o Responsável, dentro do razoável, no cumprimento das obrigações relativas a pedidos de exercício de direitos dos titulares (Arts. 15.º a 22.º RGPD);
- Assistir o Responsável no cumprimento das obrigações previstas nos Arts. 32.º a 36.º RGPD;
- Após cessação da prestação de serviços, eliminar ou devolver todos os Dados do Cliente, à escolha do Responsável, e eliminar cópias existentes, salvo obrigação legal de conservação;
- Disponibilizar ao Responsável toda a informação necessária para demonstrar o cumprimento das obrigações previstas no presente DPA e permitir auditorias realizadas pelo Responsável ou por auditor por este mandatado, com pré-aviso de 30 dias.
5. Subcontratantes
O Responsável autoriza a Ahkoris a recorrer aos seguintes subcontratantes para a prestação do serviço SILO:
| Subcontratante | Finalidade | Localização |
|---|---|---|
| Hetzner Online GmbH | Alojamento de servidores VPS, volumes encriptados, Object Storage (backup offsite) | Alemanha 🇩🇪 |
| Stripe Payments Europe, Ltd. | Processamento de pagamentos | Irlanda 🇮🇪 |
| Brevo SAS | Notificações por e-mail transacional | França 🇫🇷 |
| Sentry (região EU) | Monitorização de erros técnicos — dados alojados em Frankfurt, DE | Alemanha 🇩🇪 |
A lista completa e atualizada de subcontratantes está disponível em silo-subprocessadores.html. A Ahkoris notificará o Responsável de quaisquer alterações aos subcontratantes com 30 dias de antecedência. O Responsável pode opor-se a uma alteração, caso em que poderá rescindir o Contrato Principal sem penalização.
A Ahkoris celebrará com cada subcontratante um contrato que imponha obrigações equivalentes às do presente DPA.
6. Medidas de segurança (Art. 32.º RGPD)
A Ahkoris implementa as seguintes medidas técnicas e organizativas:
- Encriptação em repouso: volumes LUKS2 AES-256-XTS em todos os servidores de produção;
- Encriptação em trânsito: TLS 1.2+ obrigatório em todos os endpoints da API;
- Controlo de acesso: RBAC com princípio do menor privilégio; MFA TOTP obrigatório para funções privilegiadas;
- Gestão de sessões: expiração automática ao fim de 30 minutos de inatividade;
- Proteção contra ataques: fail2ban (bloqueio automático após 10 tentativas falhadas); cabeçalhos de segurança HTTP;
- Audit log imutável: registo de todas as ações na plataforma, 90 dias de retenção;
- Backup encriptado: diário (7 dias), semanal (4 semanas), mensal (3 meses); testes de restore trimestrais;
- Gestão de vulnerabilidades: análise regular de dependências (npm audit, Trivy); política de aplicação de patches;
- Monitorização contínua: UptimeRobot + Sentry + endpoint /health/security.
7. Notificação de violações de dados
Em caso de violação de dados pessoais que afete Dados do Cliente, a Ahkoris notificará o Responsável sem demora injustificada e, sempre que possível, no prazo máximo de 24 horas após ter tomado conhecimento da violação, de modo a permitir ao Responsável cumprir o prazo de 72 horas previsto no Art. 33.º RGPD.
A notificação incluirá, na medida do possível: natureza da violação, categorias e número aproximado de titulares afetados, dados afetados, consequências prováveis, medidas adotadas ou propostas para remediar a violação.
Canal de notificação: privacidade@ahkoris.com → e-mail de contacto do Responsável registado na conta.
8. Transferências internacionais
Os Dados do Cliente são alojados primariamente em servidores Hetzner na Alemanha (UE). Transferências para subcontratantes fora do EEE (Backblaze, SendGrid, Sentry) são efectuadas com base em Cláusulas Contratuais Tipo (CCT) aprovadas pela Comissão Europeia (Decisão de Execução 2021/914). Os dados transmitidos para efeitos de backup estão encriptados antes da transferência.
9. Duração e cessação
O presente DPA vigora enquanto a Ahkoris tratar Dados do Cliente ao abrigo do Contrato Principal. Após cessação do Contrato Principal, a Ahkoris eliminará todos os Dados do Cliente no prazo de 30 dias, salvo instrução escrita do Responsável para devolução dos dados (formato JSON exportável disponível) ou obrigação legal de conservação.
10. Lei aplicável
O presente DPA é regido pela lei portuguesa. Aplica-se o RGPD e demais legislação de proteção de dados vigente na UE e em Portugal.
Assinaturas
Pelo Responsável:
| Nome: ___________________________ | Data: _______________ |
| Cargo: ___________________________ | Assinatura: _______________ |
| Empresa: ___________________________ | |
Pela Ahkoris Lda (Subcontratante):
| Nome: José Pinho | Data: _______________ |
| Cargo: CEO / DPO | Assinatura: _______________ |
| NIF: 519402901 | |