Acordo de Tratamento de Dados
Data Processing Agreement (DPA) — Portugal · RGPD + Lei 58/2019
Última atualização: 19 de maio de 2026
Para solicitar um DPA assinado, contacte privacy@cepaos.com.
1. Partes e Definições
O presente Acordo de Tratamento de Dados ("DPA") é celebrado entre:
- Subcontratante: cepaos LLC, sociedade constituída no Estado de Wyoming, Estados Unidos, com sede em 1021 E Lincolnway, Suite 10026, Cheyenne, WY 82001 ("cepaos").
- Responsável pelo Tratamento: a pessoa colectiva ou singular que contrata o Serviço cepaos ("o Cliente").
Este DPA integra os Termos e Condições e prevalece em matéria de protecção de dados pessoais. Sempre que aplicável, as referências a "tratamento", "dados pessoais", "titular dos dados", "responsável pelo tratamento" e "subcontratante" devem ser interpretadas nos termos do art. 4 do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019, de 8 de agosto.
2. Objecto e Duração
A cepaos trata dados pessoais por conta do Cliente exclusivamente para prestar a plataforma SaaS de gestão vitivinícola e serviços conexos ("Serviço"), durante toda a vigência do contrato e pelos períodos de conservação indicados na Secção 9.
3. Natureza, Finalidade e Categorias de Dados
A cepaos trata, em nome do Cliente, as seguintes categorias:
| Categoria | Tipos de dados | Titulares afectados |
|---|---|---|
| Dados de identificação | Nome, e-mail profissional, função na organização | Colaboradores e utilizadores do Cliente |
| Dados de acesso | Endereço IP, registos de sessão (logs), identificador de utilizador | Utilizadores da Plataforma |
| Dados operacionais | Registos de produção, vinhas, parcelas, lotes, colheitas | Organização do Cliente |
| Dados de facturação | NIF, denominação social, morada fiscal, referências de pagamento | Responsável financeiro do Cliente |
| Dados de contacto comercial | Nome, e-mail, telefone | Pessoal administrativo do Cliente |
A cepaos não trata categorias especiais de dados (art. 9 RGPD) nem dados relativos a condenações penais (art. 10 RGPD) salvo instrução expressa e por escrito do Cliente.
4. Instruções Documentadas do Cliente
A cepaos trata dados pessoais apenas com base em instruções documentadas do Cliente, conforme exigido pelo art. 28(3)(a) do RGPD, salvo obrigação legal a que a cepaos esteja sujeita. Os Termos e Condições e este DPA constituem instruções documentadas iniciais completas. Instruções adicionais devem ser dirigidas a privacy@cepaos.com.
5. Subcontratantes Posteriores (Subprocessadores)
O Cliente autoriza, de forma geral, a contratação dos seguintes subcontratantes posteriores. A lista actualizada está publicada em /legal/sub-processors:
| Subcontratante | Função | Localização | Mecanismo de transferência |
|---|---|---|---|
| Stripe, Inc. | Payment processing (non-LATAM markets, including Portugal) | United States (Ireland for EU customers) | SCC + EU-U.S. DPF |
| dLocal LLP | Payment processing (LATAM: AR, BR, CL, MX, UY) | Uruguay | Adequacy decision |
| Supabase, Inc. | Managed PostgreSQL database, authentication and object storage | European Union (eu-central-2, Frankfurt) | Within EU/EEA |
| Resend, Inc. | Transactional email delivery | United States | SCC |
| Sentry (Functional Software, Inc.) | Application error monitoring (with PII scrubbing) | United States | SCC |
| Cloudflare, Inc. | CDN, DNS and DDoS protection | Global edge network (anycast) | SCC + EU-U.S. DPF |
| Amazon Web Services, Inc. | Underlying infrastructure (via Supabase) and selected archival storage | European Union (eu-central-1, Frankfurt) | Within EU/EEA |
| Upstash, Inc. | Redis cache and rate-limiting | European Union (eu-west-1) | Within EU/EEA |
| Anthropic, PBC | Large Language Model API for AI-assisted features (e.g. compliance watchdog summarisation) | United States | SCC |
| Railway Corp. | Application hosting and deployment platform | United States (primary) / EU regions when configured | SCC |
| PostHog, Inc. | Product analytics and feature flag delivery | European Union (eu.i.posthog.com, Frankfurt) | Within EU/EEA |
| Qik Innovations Pvt Ltd (OpenSign) | Electronic signature platform for B2B contracts, NDAs and one-shot business documents (ad-hoc use) | India (hosted SaaS at opensignlabs.com; EU instance at eu-app.opensignlabs.com — residency not contractually guaranteed) | SCC (pending signature) |
A cepaos notificará o Cliente com pelo menos 30 dias de antecedência sobre qualquer alteração à lista de subcontratantes (art. 28(2) RGPD). O Cliente pode opor-se, fundamentadamente, por escrito; nesse caso, as partes negociarão de boa-fé uma solução e, na sua falta, qualquer das partes poderá resolver o contrato sem penalidade.
6. Medidas Técnicas e Organizativas (art. 32 RGPD)
6.1 Medidas Técnicas
- Cifragem em trânsito: TLS 1.2+ obrigatório.
- Cifragem em repouso: AES-256.
- Isolamento de tenants: Row Level Security (RLS) em PostgreSQL.
- Autenticação: JWT de curta duração, MFA suportado.
- Controlo de acesso: princípio do menor privilégio, RBAC.
- Cópias de segurança: automáticas a cada 24 horas, retenção de 30 dias.
- Monitorização: alertas em tempo real (Sentry com PII scrubbing).
- Pseudonimização e minimização nos logs de diagnóstico.
6.2 Medidas Organizativas
- Política de segurança da informação documentada.
- Acordos de confidencialidade vinculativos para todo o pessoal e subcontratantes (art. 28(3)(b) RGPD).
- Formação periódica em protecção de dados.
- Plano de resposta a incidentes documentado.
- Revisão anual independente das medidas de segurança.
7. Direitos dos Titulares (arts. 12 a 23 RGPD)
A cepaos auxiliará o Cliente, mediante medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de resposta aos pedidos de exercício dos direitos dos titulares:
- Acesso (art. 15)
- Rectificação (art. 16)
- Apagamento / direito a ser esquecido (art. 17)
- Limitação do tratamento (art. 18)
- Portabilidade dos dados (art. 20) — exportação CSV/JSON disponível na Plataforma a qualquer momento
- Oposição (art. 21)
- Decisões individuais automatizadas (art. 22) — não aplicável: a cepaos não realiza decisões automatizadas com efeitos jurídicos sobre os titulares.
Prazo geral de resposta da cepaos ao Cliente: 5 dias úteis para reencaminhamento de pedidos e colaboração técnica. Contacto: privacy@cepaos.com.
8. Transferências Internacionais (Cap. V RGPD)
Os dados pessoais são armazenados primariamente na União Europeia (eu-central, Frankfurt). Algumas operações acessórias (e-mail transaccional, monitorização de erros, CDN) implicam transferências para os Estados Unidos.
- Cláusulas Contratuais-Tipo (CCT) 2021/914 da Comissão Europeia para os subcontratantes nos EUA.
- EU-U.S. Data Privacy Framework quando o subcontratante esteja certificado e a transferência o permita.
- Avaliação de Impacto da Transferência (TIA) documentada para transferências de risco elevado.
9. Conservação e Eliminação de Dados
| Tipo de dados | Período de conservação | Acção ao terminar |
|---|---|---|
| Dados operacionais activos | Vigência do contrato | Exportação em CSV/JSON disponível ao Cliente |
| Dados após cancelamento | 30 dias (acesso de leitura) | Eliminação lógica e posterior eliminação dos backups em até 60 dias |
| Registos de facturação | 10 anos (Código do IVA e RGICSF) | Conservação em acesso restrito |
| Logs de segurança | 12 meses | Eliminação automática |
| Backups | 30 dias de rotação | Sobreposição automática |
10. Violações de Dados (arts. 33 e 34 RGPD)
A cepaos notificará o Cliente, sem demora injustificada e, sempre que possível, num prazo máximo de 72 horas após ter conhecimento, de qualquer violação de dados pessoais que afecte os dados do Cliente, fornecendo: descrição da natureza da violação, categorias e número aproximado de titulares e registos afectados, consequências prováveis e medidas adoptadas. Contacto: security@cepaos.com.
11. Auditoria (art. 28(3)(h) RGPD)
O Cliente tem direito a auditar o cumprimento deste DPA. A cepaos colocará à disposição: (i) relatórios SOC 2 ou ISO 27001 dos seus subcontratantes; (ii) respostas a questionários de segurança; (iii) mediante 30 dias de pré-aviso e máximo de uma auditoria anual, acesso remoto às evidências controladas. Os custos da auditoria são suportados pelo Cliente, salvo se forem detectados incumprimentos materiais por parte da cepaos.
12. Encarregado da Protecção de Dados / Representante na UE
- Encarregado da Protecção de Dados (DPO): dpo@cepaos.com (designação ao abrigo dos arts. 37 a 39 RGPD).
- Representante na União Europeia (art. 27 RGPD): como a cepaos LLC está estabelecida fora da UE, a designação formal de um representante UE estabelecido em Portugal está em curso. Até à nomeação, os pedidos podem ser dirigidos a privacy@cepaos.com.
- Autoridade de controlo: Comissão Nacional de Protecção de Dados (CNPD) — www.cnpd.pt.
13. Lei Aplicável e Foro
Este DPA rege-se pela lei portuguesa em matéria de protecção de dados (RGPD + Lei 58/2019). O foro competente é o Tribunal da Comarca de Lisboa, sem prejuízo do direito do titular dos dados de apresentar reclamação à CNPD ou à autoridade de controlo do seu local de residência.
14. Contactos
- Privacidade: privacy@cepaos.com
- Segurança: security@cepaos.com
- Encarregado da Protecção de Dados: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Este DPA pode ser actualizado periodicamente. A versão vigente é a publicada em cepaos.com. Para consultas jurídicas, escreva para legal@cepaos.com.