Acordo de Subcontratação (DPA)

Última actualização: Abril 2026 Art. 28.º RGPD

Este documento constitui o Acordo de Subcontratação (Data Processing Agreement) entre a GestClient, Lda. (subcontratante) e o Cliente (responsável pelo tratamento), nos termos do artigo 28.º do Regulamento Geral sobre a Protecção de Dados (RGPD).

Partes

Subcontratante	GestClient, Lda. (“BySaaS”)
Papel RGPD	Subcontratante (Art. 28.º RGPD)
Responsável	O Cliente (empresa/profissional que contrata o serviço BySaaS)
Papel RGPD	Responsável pelo tratamento (Art. 4.º n.º 7 RGPD)
Contacto	geral@gestclient.com

1. Objecto e Duração

O presente acordo estabelece as obrigações de protecção de dados entre as partes no âmbito da prestação do serviço BySaaS. O tratamento de dados pessoais é efectuado exclusivamente para a execução do serviço contratado. A duração do presente acordo coincide com a vigência do contrato de serviço BySaaS entre as partes.

2. Natureza e Finalidade do Tratamento

O subcontratante trata dados pessoais em nome do responsável, para as seguintes finalidades:

Gestão de leads e contactos comerciais (CRM)
Gestão de clientes e fichas de cliente
Registo e acompanhamento de visitas comerciais
Comunicações de marketing digital via redes sociais e canais de mensagens
Análise de desempenho de campanhas publicitárias em redes sociais

3. Tipos de Dados Tratados

No âmbito do serviço, são tratadas as seguintes categorias de dados pessoais:

Dados de identificação: nome, empresa, cargo
Dados de contacto: email, telefone, morada
Dados fiscais: NIF/NIPC (quando fornecido pelo responsável)
Dados comerciais: histórico de interacções, notas, fase do pipeline
Dados de comunicação: mensagens trocadas via redes sociais e canais de mensagens
Dados de localização: morada e coordenadas GPS de visitas comerciais (quando registadas)

4. Categorias de Titulares dos Dados

Os dados pessoais tratados dizem respeito às seguintes categorias de titulares:

Leads — potenciais clientes do responsável
Clientes — clientes activos ou antigos do responsável
Contactos — pessoas de contacto associadas a leads ou clientes

5. Obrigações do Subcontratante

A GestClient, Lda., enquanto subcontratante, obriga-se a:

Instruções documentadas — Tratar os dados pessoais apenas com base em instruções documentadas do responsável, incluindo no que respeita a transferências para países terceiros, salvo se obrigado por lei da União ou do Estado-Membro a que está sujeito.
Confidencialidade — Garantir que as pessoas autorizadas a tratar dados pessoais assumiram compromissos de confidencialidade ou estão sujeitas a obrigações legais de sigilo adequadas.
Medidas de segurança — Adoptar todas as medidas técnicas e organizativas necessárias nos termos do artigo 32.º do RGPD (ver secção 6).
Subcontratação ulterior — Não recorrer a outro subcontratante sem a autorização prévia, por escrito, do responsável. Os sub-subcontratantes actualmente autorizados estão listados na secção 7.
Exercício de direitos — Assistir o responsável, na medida do possível, no cumprimento da sua obrigação de responder aos pedidos de exercício de direitos dos titulares (acesso, rectificação, apagamento, portabilidade, oposição).
Segurança e notificação — Assistir o responsável no cumprimento das obrigações relativas à segurança do tratamento, notificação de violações de dados à autoridade de controlo e aos titulares, avaliações de impacto e consultas prévias.
Eliminação ou devolução — No termo do contrato, consoante a escolha do responsável, apagar ou devolver todos os dados pessoais e eliminar as cópias existentes, salvo obrigação legal de conservação.
Demonstração de conformidade — Disponibilizar ao responsável todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º e facilitar e contribuir para auditorias, incluindo inspecções, conduzidas pelo responsável ou por auditor por este mandatado.

6. Medidas de Segurança (Art. 32.º RGPD)

O subcontratante implementa as seguintes medidas técnicas e organizativas para garantir um nível de segurança adequado ao risco:

Encriptação de dados em trânsito e em repouso
Isolamento de dados por cliente (cada cliente opera num ambiente logicamente separado)
Alojamento em centros de dados na União Europeia
Controlos de acesso com autenticação segura e protecção contra acessos não autorizados
Cópias de segurança diárias com retenção adequada
Monitorização contínua e alertas de segurança

7. Sub-subcontratantes Autorizados

O responsável autoriza o recurso aos seguintes sub-subcontratantes para o tratamento de dados pessoais:

Entidade	Serviço	Localização	Garantia
Fornecedor de alojamento	Alojamento de servidores	União Europeia	RGPD (dados no EEE)
Plataforma de redes sociais	Redes sociais e mensagens (API)	EUA / Global	Cláusulas Contratuais Tipo (SCCs)
Rede de distribuição e segurança	Rede de distribuição e protecção	Global	Cláusulas Contratuais Tipo (SCCs)

O subcontratante notificará o responsável, com pelo menos 30 dias de antecedência, sobre quaisquer alterações previstas relativas à adição ou substituição de sub-subcontratantes, dando ao responsável a oportunidade de se opor a tais alterações. A identificação completa dos sub-subcontratantes pode ser obtida mediante solicitação a geral@gestclient.com.

8. Transferências Internacionais

Os dados pessoais são alojados na União Europeia. Quando necessário, transferências para fora do EEE são efectuadas ao abrigo de Cláusulas Contratuais Tipo (SCCs) aprovadas pela Comissão Europeia ou decisões de adequação aplicáveis, nos termos dos artigos 46.º e 49.º do RGPD.

9. Notificação de Violação de Dados

Em caso de violação de dados pessoais, o subcontratante notificará o responsável sem demora injustificada e, no máximo, no prazo de 48 horas após tomar conhecimento da violação. A notificação incluirá a natureza da violação, as categorias e número aproximado de titulares afectados, as consequências prováveis e as medidas adoptadas ou propostas para resolver a violação.

10. Duração e Cessação

O presente acordo produz efeitos enquanto vigorar o contrato de serviço BySaaS entre as partes. No termo do contrato, o subcontratante procederá, no prazo de 30 dias, à eliminação ou devolução de todos os dados pessoais, conforme instrução do responsável, e certificará por escrito a eliminação das cópias existentes.

11. Lei Aplicável

O presente acordo rege-se pelo Regulamento (UE) 2016/679 (RGPD), pela Lei n.º 58/2019 (lei de execução do RGPD em Portugal) e pela demais legislação portuguesa aplicável. Para qualquer litígio será competente o foro da comarca de Marco de Canaveses, Portugal.

12. Direitos do Responsável

O responsável pelo tratamento tem direito a:

Emitir instruções vinculativas sobre o tratamento de dados pessoais
Realizar auditorias ou inspecções, directamente ou por auditor mandatado, mediante aviso prévio razoável
Ser notificado sobre qualquer alteração aos sub-subcontratantes e opor-se a tais alterações