Acordo de Tratamento de Dados (DPA)
Última atualização: 9 de junho de 2026 · Versão 1.0 · Ao abrigo do artigo 28.º do RGPD
Este Acordo aplica-se quando, ao utilizar a Always Simple, o Cliente submete dados pessoais dos seus próprios clientes finais. Faz parte integrante dos Termos e Condições e pode ser aceite por via eletrónica.
1. Partes e papéis
Responsável pelo tratamento (controller): o Cliente-empresário que utiliza a Always Simple.
Subcontratante (processor): Dinastia Diligente Unipessoal LDA, NIF 515 009 970, com sede em Rua António França Borges, n.º 16, 1.º esq., 2625-187 Póvoa de Santa Iria, Portugal.
2. Objeto e duração
O Subcontratante trata dados pessoais por conta do Responsável, exclusivamente para a prestação do Serviço, enquanto vigorarem os Termos e Condições. Após a cessação, aplica-se a cláusula 8.
3. Natureza e finalidade
Atendimento de chamadas, gestão de reservas, mensagens, geração e gestão de conteúdo e de respostas — conforme os módulos subscritos.
4. Tipos de dados e categorias de titulares
- Tipos de dados: nome, número de telefone, mensagens, conteúdo áudio (chamadas) e preferências de reserva.
- Categorias de titulares: clientes finais e contactos do Responsável.
- Categorias especiais (art. 9.º): não previstas; caso surjam, exigem instrução específica e avaliação adicional.
5. Obrigações do subcontratante (art. 28.º/3)
- Tratar os dados apenas segundo instruções documentadas do Responsável;
- assegurar a confidencialidade das pessoas autorizadas a tratar os dados;
- aplicar as medidas técnicas e organizativas do Anexo II (art. 32.º);
- recorrer a subcontratantes ulteriores apenas nos termos do Anexo I, com obrigações equivalentes;
- auxiliar o Responsável a responder a pedidos de titulares e a cumprir os artigos 32.º a 36.º;
- eliminar ou devolver os dados no fim da prestação (cláusula 8);
- disponibilizar informação e permitir auditorias para demonstrar conformidade.
6. Notificação de violação de dados
O Subcontratante notifica o Responsável sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter conhecimento de uma violação de dados pessoais.
7. Auditoria
O Subcontratante disponibiliza a informação razoavelmente necessária para demonstrar conformidade e permite auditorias, mediante pré-aviso e em condições que não comprometam a segurança ou a confidencialidade de outros clientes.
8. Cessação — devolução e eliminação
Cessada a prestação, o Subcontratante elimina ou devolve os dados tratados por conta do Responsável, salvo conservação exigida por lei.
Anexo I — Subcontratantes ulteriores
| Serviço | Função | Jurisdição | Garantia de transferência |
|---|---|---|---|
| Anthropic | Geração por IA | EUA | SCC / DPF |
| ElevenLabs | Voz (TTS) | EUA | SCC |
| Meta (WhatsApp Cloud API) | Mensagens | Irlanda (UE) | Tratamento na UE |
| Supabase | Base de dados + auth | UE (Frankfurt) | Tratamento na UE |
| Cloudflare R2 | Armazenamento | UE + global | SCC |
| Vercel | Alojamento | UE + EUA | SCC |
| Stripe | Pagamentos | Irlanda (UE) | Tratamento na UE / SCC |
| Google Places API | Descoberta | EUA | SCC / DPF |
| SerpAPI | Enriquecimento | EUA | SCC |
| Telegram Bot API | Alertas internos | Reino Unido | Decisão de adequação (UK) |
Anexo II — Medidas técnicas e organizativas (art. 32.º)
- Cifragem em trânsito (TLS/HTTPS) e em repouso (ao nível da base de dados e do armazenamento de objetos);
- Controlo de acessos com princípio do menor privilégio e autenticação;
- Base de dados alojada na UE (Supabase, Frankfurt);
- Registos de acesso e monitorização técnica;
- Procedimento de resposta a incidentes com notificação ao Responsável.
Como assinar
Para formalizar este DPA, contacte dmitrijaleksandr@gmail.com. A aceitação pode ser feita por troca de email; uma versão assinada em PDF pode ser disponibilizada a pedido.