Acordo de Subcontratação de Tratamento de Dados

Para efeitos do presente Acordo, aplicam-se as seguintes definições:

• Nos termos do art. 4.º, n.º 7, RGPD, o Responsável pelo Tratamento é a entidade que, individualmente ou em conjunto com outros, determina as finalidades e os meios do tratamento de dados pessoais.
• Nos termos do art. 4.º, n.º 8, RGPD, o Subcontratante é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que trate os dados pessoais por conta do Responsável pelo Tratamento.
• Nos termos do art. 4.º, n.º 1, RGPD, são dados pessoais qualquer informação relativa a uma pessoa singular identificada ou identificável (o "Titular dos Dados"); é considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como o nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa.
• Constituem dados pessoais que exigem proteção especial os dados a que se refere o art. 9.º RGPD que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical; os dados a que se refere o art. 10.º RGPD relativos a condenações penais e infrações ou medidas de segurança conexas; bem como os dados genéticos (art. 4.º, n.º 13), biométricos (art. 4.º, n.º 14) e relativos à saúde (art. 4.º, n.º 15) RGPD, e os dados relativos à vida sexual ou à orientação sexual de uma pessoa singular.
• Nos termos do art. 4.º, n.º 2, RGPD, o tratamento é qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não, tais como a recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.
• Nos termos do art. 4.º, n.º 21, RGPD, a autoridade de controlo é a autoridade pública independente estabelecida por um Estado-Membro em conformidade com o art. 51.º RGPD.

Objeto

O Subcontratante presta os serviços especificados no Contrato Principal ao Responsável pelo Tratamento. No âmbito dessa prestação, o Subcontratante acede a dados pessoais que trata por conta do Responsável pelo Tratamento exclusivamente em nome deste e em conformidade com as suas instruções. O âmbito e a finalidade do tratamento são estabelecidos no Contrato Principal e nas descrições de serviços associadas. O Responsável pelo Tratamento é o único responsável por avaliar a admissibilidade do tratamento.

As Partes celebram o presente Acordo para concretizar os respetivos direitos e obrigações em matéria de proteção de dados. Em caso de dúvida, as disposições do presente Acordo prevalecem sobre as do Contrato Principal. O Acordo aplica-se a todas as atividades relacionadas com o Contrato Principal no âmbito das quais o Subcontratante e os seus colaboradores ou pessoas por ele autorizadas entrem em contacto com dados pessoais provenientes do Responsável pelo Tratamento ou recolhidos por sua conta. A vigência do presente Acordo segue a vigência do Contrato Principal, salvo se as disposições seguintes derem origem a obrigações ou direitos de resolução adicionais.

Direito de instrução

O Subcontratante apenas pode recolher, tratar ou utilizar dados no âmbito do Contrato Principal e em conformidade com as instruções do Responsável pelo Tratamento. Se o Subcontratante for obrigado a efetuar um tratamento adicional pelo Direito da União ou do Estado-Membro a que esteja sujeito, notificará o Responsável pelo Tratamento de tais exigências legais previamente ao tratamento.

As instruções do Responsável pelo Tratamento são inicialmente determinadas pelo presente Acordo. Subsequentemente, podem ser alteradas, complementadas ou substituídas pelo Responsável pelo Tratamento por escrito ou em formato de texto através de instruções individuais. O Responsável pelo Tratamento pode emitir tais instruções a qualquer momento, incluindo instruções relativas à retificação, apagamento e bloqueio dos dados. Todas as instruções emitidas serão documentadas pelo Responsável pelo Tratamento. As instruções que excedam o serviço acordado no Contrato Principal serão tratadas como um pedido de alteração de serviço.

Se o Subcontratante considerar que uma instrução do Responsável pelo Tratamento viola as disposições de proteção de dados, notificá-lo-á sem demora indevida. O Subcontratante terá o direito de suspender a execução da instrução em causa até que esta seja confirmada ou alterada pelo Responsável pelo Tratamento. O Subcontratante pode recusar-se a executar uma instrução manifestamente ilícita.

No âmbito da execução do Contrato Principal, o Subcontratante acede às seguintes categorias de dados pessoais (Anexo 1 do contrato subjacente):

Dados pessoais e de contacto

• Nomes: nome do vendedor (quando publicamente disponível), nome próprio do comprador (facultado pelo agente imobiliário), nome do agente.
• Dados de contacto: números de telefone (incluindo números de WhatsApp), endereços de correio eletrónico (se presentes em anúncio público ou fornecidos pelo utilizador).

Dados do imóvel e de localização

• Localização: morada completa do imóvel, bairro ou coordenadas.
• Dados do anúncio: URL ou ID do anúncio em linha.
• Características do imóvel: área, número de divisões, preço, ano de construção, estado e características específicas.

Conteúdos fornecidos pelo utilizador

• Ficheiros multimédia: fotografias do imóvel carregadas pelo utilizador.
• Documentos opcionais: capturas de documentos carregados pelo utilizador (p. ex. IMI / imposto municipal sobre imóveis).

Dados de comunicação e consentimento

• Conteúdo das comunicações: histórico de mensagens (p. ex. mensagens de WhatsApp com os nossos assistentes); fichas de lead ou mensagens enviadas aos agentes.
• Consentimento e preferências: estado do consentimento (p. ex. opt-in "SIM", opt-out "STOP"); pedidos submetidos (p. ex. avaliação de imóvel); horizonte temporal indicado para a intenção de venda.

Dados técnicos de registo e metadados internos

• Identificadores: IDs de utilizador WhatsApp, endereços IP (quando aplicável).
• Registos: carimbos temporais, registos de eventos e de auditoria.
• Gestão de leads: identificadores internos de lead, estado do lead (aberto, contactado, fechado), origem do lead (p. ex. portal de origem).
• Pontuação de leads: pontuação ou classificação interna (p. ex. escala 0–100, classificação quente/neutro/frio).
• Métricas de desempenho do agente: taxa de resposta, frequência de contacto e resultados (armazenados exclusivamente de forma agregada e anonimizada).

Categorias de Titulares dos Dados (Anexo 2)

• Agentes imobiliários.
• Vendedores.
• Compradores.

Transferências para países terceiros

Qualquer transferência de dados pessoais para um país terceiro só pode ocorrer nas condições do art. 44.º e seguintes do RGPD, em especial com base numa decisão de adequação ao abrigo do art. 45.º RGPD ou, na ausência desta, em garantias adequadas previstas no art. 46.º RGPD — incluindo as Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia nos termos do art. 46.º, n.º 2, alínea c), RGPD — acompanhadas das medidas suplementares que se mostrem necessárias após avaliação de impacto da transferência.

O Subcontratante observará as disposições legais em matéria de proteção de dados e não divulgará a terceiros as informações obtidas no âmbito do Responsável pelo Tratamento, nem as exporá ao seu acesso. Os documentos e dados serão protegidos contra a divulgação a pessoas não autorizadas, tendo em conta o estado da técnica.

O Subcontratante organizará a sua estrutura interna de forma a satisfazer os requisitos específicos da proteção de dados. Implementou as medidas técnicas e organizativas especificadas no Anexo 3 para proteger adequadamente os dados do Responsável pelo Tratamento, nos termos do art. 32.º RGPD, medidas que o Responsável pelo Tratamento reconhece como adequadas. O Subcontratante reserva-se o direito de alterar as medidas de segurança adotadas, assegurando que o nível de proteção contratualmente acordado não é reduzido.

As pessoas empregues pelo Subcontratante no tratamento de dados estão proibidas de recolher, tratar ou utilizar dados pessoais sem autorização. O Subcontratante obriga todas as pessoas a quem confia o tratamento e a execução deste Acordo (os "Colaboradores") em conformidade (dever de confidencialidade, art. 28.º, n.º 3, alínea b), RGPD) e assegura, com a devida diligência, o cumprimento dessa obrigação.

O Subcontratante designou um encarregado da proteção de dados. O encarregado da proteção de dados do Subcontratante é a heyData GmbH, Schützenstraße 5, 10117 Berlim, datenschutz@heydata.eu, www.heydata.eu.

Medidas técnicas e organizativas (Anexo 3)

O Subcontratante implementa medidas técnicas e organizativas adequadas nos termos do art. 32.º, n.º 1, RGPD, abrangendo as seguintes áreas:

• Confidencialidade — controlo de entrada (sistemas de fecho, videovigilância de acessos quando aplicável, práticas seguras em teletrabalho); controlo de admissão (autenticação por utilizador e palavra-passe, antivírus, firewalls, bloqueio automático do ambiente de trabalho, cifragem de portáteis e tablets, gestão de permissões de utilizador, regras centrais de palavras-passe, autenticação de dois fatores, política de palavras-passe seguras); controlo de acesso (registo dos acessos às aplicações, conceito de autorização, número mínimo de administradores, gestão de direitos pelos administradores de sistemas); controlo de separação (separação de produção e teste, cifragem de conjuntos de dados, separação lógica de clientes, direitos de base de dados definidos, anonimização/pseudonimização quando possível).
• Integridade — controlo de transmissão (ligações cifradas SFTP/HTTPS, registo de acessos e consultas); controlo de introdução (registo de entradas, alterações e supressões, rastreabilidade através de nomes de utilizador individuais, atribuição de direitos por conceito de autorização, responsabilidades claras de apagamento).
• Disponibilidade e resiliência — cópias de segurança regulares, armazenamento externo seguro das cópias, alojamento profissional pelo menos dos dados mais importantes.
• Procedimentos de revisão, avaliação e apreciação periódicas (art. 32.º, n.º 1, alínea d); art. 25.º, n.º 1, RGPD) — utilização da plataforma heyData para gestão de proteção de dados; designação da heyData como encarregada da proteção de dados; dever de sigilo dos colaboradores; formação periódica dos colaboradores; registo das atividades de tratamento (art. 30.º RGPD); gestão de incidentes com processos documentados de notificação ao abrigo dos arts. 33.º/34.º RGPD; envolvimento do encarregado da proteção de dados em incidentes de segurança e violações.
• Proteção de dados desde a conceção e por defeito (art. 25.º, n.º 2, RGPD) — formação dos colaboradores em "privacy by design" e "privacy by default"; minimização dos dados; controlo de subcontratação com instruções por escrito, confirmações de destruição, compromissos de confidencialidade dos contratantes e revisão contínua dos mesmos.

O Subcontratante informará o Responsável pelo Tratamento de quaisquer alterações significativas às medidas de segurança.

Em caso de perturbações, suspeita de violações em matéria de proteção de dados ou de incumprimento de obrigações contratuais do Subcontratante, suspeita de incidentes de segurança ou outras irregularidades no tratamento de dados pessoais pelo Subcontratante, por pessoas por ele empregues no âmbito do contrato ou por terceiros, o Subcontratante informará o Responsável pelo Tratamento sem demora indevida. O mesmo se aplicará a auditorias ao Subcontratante por parte da autoridade de controlo. A notificação de uma violação de dados pessoais conterá, no mínimo, as seguintes informações:

• uma descrição da natureza da violação, incluindo, na medida do possível, as categorias e o número de Titulares afetados e as categorias e o número de registos de dados pessoais afetados;
• uma descrição das medidas adotadas ou propostas pelo Subcontratante para fazer face à violação e, se for caso disso, das medidas destinadas a atenuar os seus eventuais efeitos adversos;
• uma descrição das consequências prováveis da violação.

O Subcontratante adotará imediatamente as medidas necessárias para proteger os dados e atenuar quaisquer eventuais consequências adversas para os Titulares, informará o Responsável pelo Tratamento e solicitará instruções adicionais.

O Subcontratante ficará ainda obrigado a prestar ao Responsável pelo Tratamento, a qualquer momento, as informações necessárias na medida em que os dados deste sejam afetados por uma violação. O Subcontratante informará igualmente o Responsável pelo Tratamento de quaisquer alterações significativas às medidas de segurança nos termos da Cláusula 4.

O Responsável pelo Tratamento pode verificar as medidas técnicas e organizativas do Subcontratante antes do início do tratamento e, posteriormente, com periodicidade anual. Para o efeito, o Responsável pelo Tratamento pode, por exemplo, obter informações do Subcontratante, obter certificados de peritos, certificações ou relatórios de auditoria interna, ou — mediante coordenação prévia — inspecionar pessoalmente as medidas do Subcontratante em horário de funcionamento normal, ou mandá-las inspecionar por terceiro competente que não esteja em relação de concorrência com o Subcontratante. O Responsável pelo Tratamento realizará as verificações apenas na medida do necessário e não perturbará desproporcionadamente as operações do Subcontratante.

O Subcontratante compromete-se a fornecer ao Responsável pelo Tratamento, mediante pedido verbal ou escrito e em prazo razoável, todas as informações e elementos necessários à realização da verificação das suas medidas técnicas e organizativas.

O Responsável pelo Tratamento documentará os resultados da inspeção e notificá-los-á ao Subcontratante. Caso sejam detetados erros ou irregularidades durante a inspeção, o Responsável pelo Tratamento informará o Subcontratante sem demora indevida. Se, durante o controlo, forem apurados factos cuja prevenção futura exija alterações ao procedimento contratado, o Responsável pelo Tratamento notificará o Subcontratante das alterações procedimentais necessárias sem demora.

Os serviços contratualmente acordados serão prestados com a intervenção dos subsubcontratantes listados no Anexo 4 (os "Subsubcontratantes"). O Responsável pelo Tratamento concede ao Subcontratante a sua autorização geral, na aceção do art. 28.º, n.º 2, primeira parte, do RGPD, para envolver subsubcontratantes adicionais no âmbito das suas obrigações contratuais ou para substituir subsubcontratantes já contratados.

O Subcontratante informará o Responsável pelo Tratamento antes de qualquer alteração ao envolvimento ou substituição de um subsubcontratante. O Responsável pelo Tratamento pode opor-se ao envolvimento ou substituição de um subsubcontratante por motivo importante em matéria de proteção de dados. A oposição deve ser deduzida no prazo de duas (2) semanas a contar da receção da informação sobre a alteração. Não havendo oposição, o envolvimento ou a substituição considera-se aprovado. Se existir motivo importante em matéria de proteção de dados e não for possível encontrar solução amigável entre as Partes, o Responsável pelo Tratamento dispõe de direito especial de resolução com efeitos no final do mês seguinte à oposição.

Ao recorrer a subsubcontratantes, o Subcontratante vinculá-los-á em conformidade com as disposições do presente Acordo.

Não existe relação de subsubcontratação, na aceção das presentes disposições, quando o Subcontratante encarregue terceiros de serviços meramente acessórios. Estão abrangidos, por exemplo, serviços postais, de transporte e expedição, de limpeza, de telecomunicações sem referência específica aos serviços prestados pelo Subcontratante ao Responsável pelo Tratamento e serviços de vigilância. Os serviços de manutenção e de teste constituem relações de subsubcontratação sujeitas a consentimento na medida em que sejam prestados para sistemas informáticos também utilizados na prestação dos serviços ao Responsável pelo Tratamento.

A lista atualizada de subsubcontratantes (Anexo 4) é publicada e mantida em https://www.leonandvera.com/subprocessors. A lista especifica o nome, a função e o local de tratamento de cada subsubcontratante.

O Subcontratante apoiará o Responsável pelo Tratamento, com medidas técnicas e organizativas adequadas, no cumprimento das obrigações deste último previstas nos artigos 12.º a 22.º e 32.º a 36.º RGPD.

Se um Titular dos Dados invocar diretamente perante o Subcontratante direitos, como o direito de acesso, retificação ou apagamento, este não responderá por iniciativa própria, devendo encaminhar o Titular dos Dados para o Responsável pelo Tratamento e aguardar as instruções deste.

Na relação interna entre as Partes, o Responsável pelo Tratamento é o único responsável perante o Titular dos Dados pelo ressarcimento dos danos sofridos por este em resultado de tratamento inadmissível ou incorreto à luz das normas de proteção de dados ou de utilização no âmbito do tratamento contratado.

O Subcontratante responderá de forma ilimitada pelos danos cuja causa assente em incumprimento doloso ou com negligência grosseira do Subcontratante, do seu representante legal ou dos seus auxiliares.

O Subcontratante responde por conduta negligente apenas em caso de incumprimento de uma obrigação cujo cumprimento seja pressuposto para a correta execução do contrato e em cuja observância o Responsável pelo Tratamento possa e habitualmente confie, e ainda assim limitado ao dano típico do contrato. No demais, exclui-se a responsabilidade do Subcontratante, incluindo a dos seus auxiliares.

As limitações acima não se aplicam a reclamações por danos resultantes de lesões à vida, ao corpo ou à saúde, nem decorrentes da assunção de uma garantia.

Cessação

Após a cessação do Contrato Principal, o Subcontratante devolverá ao Responsável pelo Tratamento todos os documentos, dados e suportes que lhe tenham sido fornecidos ou — a pedido do Responsável pelo Tratamento e salvo se existir obrigação de conservar os dados pessoais ao abrigo do Direito da União ou de outro Direito nacional aplicável — apagá-los-á. O mesmo se aplica a quaisquer cópias de segurança detidas pelo Subcontratante. O Subcontratante, mediante pedido, prestará prova documentada do correto apagamento dos dados.

O Responsável pelo Tratamento tem o direito de controlar de forma adequada a devolução ou apagamento completo e conforme dos dados detidos pelo Subcontratante.

O Subcontratante fica obrigado a manter a confidencialidade dos dados de que tenha tomado conhecimento no âmbito do Contrato Principal mesmo após a respetiva cessação. O presente Acordo continua em vigor para além do termo do Contrato Principal enquanto o Subcontratante dispuser de dados pessoais que lhe tenham sido transmitidos pelo Responsável pelo Tratamento ou que tenha recolhido por sua conta.

Disposições finais

Na medida em que o Subcontratante não preste expressamente, a título gratuito, as ações de apoio previstas no presente Acordo, poderá cobrar ao Responsável pelo Tratamento uma contrapartida razoável, salvo se as próprias ações ou omissões do Subcontratante tornarem tal apoio diretamente necessário.

As alterações e os aditamentos ao presente Acordo devem ser feitos por escrito. O mesmo se aplica à renúncia a este requisito de forma. A prioridade dos acordos contratuais individuais permanece inalterada.

Se alguma disposição do presente Acordo for ou se tornar total ou parcialmente inválida ou inexequível, tal não afeta a validade das restantes disposições.

O presente Acordo é regulado pelo Direito alemão.