Modelo de Acordo de Tratamento de Dados (DPA)

O que o nosso DPA cobre

Proteção de dados de nível empresarial

O nosso DPA cumpre todos os requisitos do Artigo 28.º do RGPD, com compromissos claros sobre segurança, subcontratantes, notificação de violações e direitos de auditoria.

Âmbito e instruções de tratamento

Definição clara dos tipos de dados, finalidades de tratamento, períodos de conservação e instruções documentadas. A Verdaio apenas trata dados conforme instruído pelo cliente.

Medidas técnicas e organizativas

Encriptação TLS 1.2+ em trânsito, AES-256 em repouso, Row-Level Security, acesso IAM limitado, validação de inputs e infraestrutura serverless sem servidores persistentes.

Transparência de subcontratantes

Lista completa de subcontratantes autorizados com localização dos dados, finalidade e salvaguardas de transferência. Aviso prévio de 30 dias antes de qualquer alteração, com direito de oposição.

Notificação de violação de dados

Notificação a si no prazo de 48 horas após tomar conhecimento de uma violação de dados — permitindo-lhe cumprir a sua própria obrigação de notificar a autoridade de controlo no prazo de 72 horas previsto no Art. 33.º do RGPD. Inclui natureza, âmbito, consequências e medidas de remediação tomadas.

Direitos de auditoria

Direitos de auditoria anual com aviso prévio de 30 dias. Alternativa: questionário de segurança preenchido, certificações ou respostas escritas de conformidade.

Eliminação e devolução de dados

Eliminação ou devolução de todos os dados pessoais no prazo de 30 dias após a cessação. Exportação de dados disponível em formato JSON ou CSV antes do encerramento da conta.

Infraestrutura

Construído para a proteção de dados da UE

Infraestrutura na UEAWS eu-west-1 (Irlanda) + Supabase eu-central-2 (Suíça)

Sem treino com os seus dadosOs inputs de IA não são utilizados para treino de modelos (termos de serviço Amazon Bedrock)

Encriptação em toda a parteTLS 1.2+ em trânsito, AES-256 em repouso, PCI DSS Nível 1 para pagamentos

Minimização de dadosInputs das avaliações eliminados imediatamente após o processamento. Relatórios gerados mantidos em armazenamento encriptado (S3, UE) por um máximo de 48 horas para permitir o download, sendo depois automaticamente eliminados.

CCT para transferências internacionaisCláusulas Contratuais-Tipo + EU–US DPF aplicadas à Stripe LLC e Google LLC (EUA). Outros subcontratantes operam no EEE ou ao abrigo de adequação da UE.

Analítica com privacidadePlausible Analytics, alojado na UE. Sem cookies, sem dados pessoais, sem endereços IP armazenados.

Subcontratantes

Subcontratantes autorizados

Transparência total sobre cada terceiro que trata dados na nossa plataforma. Alterações comunicadas com 30 dias de antecedência.

Subcontratante	Finalidade	Localização
Amazon Web Services EMEA SARL	Alojamento, computação, encaminhamento de API, análise de conformidade com IA (Amazon Bedrock, modelo Claude)	EU Ireland
Supabase, Inc.	Base de dados, autenticação	EU Switzerland
InvoiceXpress (RUPEAL Lda)	Geração de faturas	EU Portugal
Stripe Payments Europe, Limited + Stripe, LLC (US) as affiliate	Processamento de pagamentos	EU Ireland US SCCs + DPF
Google LLC (Google Workspace)	Alojamento de caixas de entrada do responsável pelo tratamento (email @verdaio.ai)	US SCCs + DPF
Sendinblue SAS (Brevo)	Email transacional	EU France / Germany / GCP Belgium
Plausible Insights OÜ	Analítica com privacidade	EU Estonia

Atual à data de abril de 2026. Uma lista atualizada é mantida na nossa Política de Privacidade.

É mantido internamente um Registo completo de Atividades de Tratamento (ROPA) ao abrigo do Art. 30.º, n.º 1 do RGPD, disponível à autoridade de controlo (CNPD) e a clientes qualificados, mediante pedido por email para privacy@verdaio.ai.

Acordo de Tratamento de Dados