CONFIANÇA · DPA

Acordo de Tratamento
de Dados (DPA).

Enquanto cliente da Itamite, é responsável pelo tratamento (controller) e nós somos subcontratante (processor) nos termos do RGPD Art. 28. Aqui explicamos o contrato DPA padrão da Itrion: papéis, obrigações mútuas, direitos do cliente, subcontratantes e transferências internacionais. Pronto a assinar sem negociação prévia.

Ver preços Solicitar DPA

Porque tem um DPA connosco

Quando usa a Itamite, partilha-nos dados pessoais: nomes, emails, IPs, identificadores de colaboradores, registos de atividade TIC, audit logs, conteúdo potencial de sessões remotas. O RGPD Art. 28 exige um contrato vinculativo com os responsáveis que estabeleça: o objeto e a duração do tratamento, a sua natureza e finalidade, o tipo de dados pessoais e as categorias de titulares, as obrigações e direitos do responsável.

O nosso DPA padrão está pré-assinado pela Itrion e disponível para a sua assinatura eletrónica no registo como cliente Business ou Professional. Para Enterprise: DPA com cláusulas adicionais negociáveis (cláusula de auditoria in-situ, direito de inspeção extraordinária, cláusulas específicas do seu setor regulado, retenção estendida, BYOK obrigatório). Prazo de revisão jurídica Enterprise: 1-3 semanas.

Para os Estados Unidos, Reino Unido e outros países sem decisão de adequação: adicionamos automaticamente as Cláusulas Contratuais-Tipo (SCC) Module 2 controller-to-processor + Anexo com detalhes da transferência + Transfer Impact Assessment (TIA) mediante pedido. Sem custo adicional para SCC. UK Addendum disponível para clientes UK.

CONTEÚDO DO DPA

O que o DPA cobre

Papéis e responsabilidades

Você = responsável pelo tratamento (controller), determina finalidades e meios. Itrion = subcontratante (processor), trata dados apenas segundo as suas instruções documentadas. A Itrion não utilizará os seus dados para outros fins (sem treino de IA, sem marketing cruzado, sem agregados anónimos vendáveis).

Tipo de dados e categorias

Dados pessoais tratados: nomes, emails, IPs, identificadores únicos de colaboradores, dados técnicos de endpoints (versão de SO, software instalado, hash de ficheiros críticos), audit logs (ações técnicas com timestamp). Categorias especiais (Art. 9): apenas se a sua organização as introduzir em notas/comentários — a Itamite não as solicita.

Subcontratantes

Lista pública em /sub-processors. Notificação 30 dias antes de qualquer adição/alteração/remoção. A Itrion responde pelos atos dos seus subcontratantes como se fossem próprios. Contrato Art. 28 assinado com cada um.

Transferências internacionais

Por defeito: 100% UE (Madrid + Frankfurt + Roubaix). Se ativar subcontratantes opcionais fora da UE (BYOK com AWS US, datacenter US): SCC Module 2 + TIA + medidas técnicas suplementares (cifragem em repouso + em trânsito + BYOK). UK Addendum para clientes UK. Decisão de adequação NZ aplica-se ao SMTP2GO.

Direitos do cliente

Direito a auditoria documental anual gratuita. Direito a auditoria on-site para Enterprise (custos segundo contrato). Direito a receber cópia das avaliações de impacto e certificações. Direito a rescisão antecipada sem penalização se adicionarmos subcontratante que não aceite.

Prazos e cessação

DPA em vigor enquanto tiver tenant ativo. Após cessação: 90 dias de tolerância para download de dados. Em seguida: eliminação segura NIST 800-88 com certificado verificável. Audit logs retidos conforme a política do seu tenant (por defeito 12 meses, até 10 anos Enterprise).

Cláusulas adicionais Enterprise

Para clientes Enterprise: cláusula de auditoria in-situ com pré-aviso de 30 dias e custo segundo contrato. Cláusula de inspeção extraordinária sem pré-aviso perante incidente de segurança confirmado. Cláusula de retenção estendida até 10 anos para setores regulados (banca, saúde, administração pública). BYOK obrigatório (a Itrion não tem acesso às chaves de cifragem). Cláusula de localização geográfica restrita (datacenter num país específico). Cláusula de exit plan com prazo prolongado e formato de exportação auditável. Adicional para setores regulados: BAA HIPAA se tratar PHI norte-americana. Cláusulas DORA Art. 30 se for entidade financeira sob DORA. Cláusulas ENS Categoria Alta para a administração pública espanhola. Anexo CCN-STIC 105 para administração pública com dados classificados.

DPA padrão pré-assinado, pronto para assinatura eletrónica
SCC Module 2 + TIA automático para transferências fora da UE
UK Addendum para clientes UK, sem custo
BAA HIPAA disponível para entidades de saúde US
Cláusulas DORA Art. 30 + ENS Alto + CCN-STIC 105 para setores regulados

FAQ

Dúvidas sobre o DPA

Tenho de assinar o DPA?

Sim, é obrigatório para todos os clientes (Business, Professional, Enterprise) por exigência do RGPD. Sem DPA assinado não podemos prestar o serviço. Para Business e Professional: DPA padrão assinado eletronicamente no onboarding. Para Enterprise: DPA negociável com cláusulas adicionais.

Posso modificar o DPA padrão?

Para Business/Professional: não. O DPA padrão contém as cláusulas necessárias e suficientes para o RGPD. Modificações implicam negociação jurídica apenas viável para Enterprise. Para Enterprise: sim, cláusulas adicionais negociáveis com a sua equipa jurídica.

A Itrion é responsável ou subcontratante?

Para os dados dos SEUS colaboradores/endpoints: a Itrion é subcontratante (você é o responsável pelo tratamento). Para os dados da SUA empresa enquanto cliente Itamite (dados de faturação, contactos comerciais): a Itrion é corresponsável consigo (joint controllers nos termos do RGPD Art. 26 em alguns casos). O DPA cobre ambos os papéis.

O que acontece aos dados ao terminar o contrato?

90 dias de tolerância após cessação para download via API. Decorridos 90 dias: eliminação segura NIST 800-88 Purge com certificado verificável. Audit logs retidos conforme a política configurada do seu tenant (por defeito 12 meses, até 10 anos Enterprise). Backups eliminados de todos os datacenters após os 90 dias de tolerância.

Solicite o DPA padrão

Enviamos-lhe o DPA Itamite-Itrion v2.1 em 24h. Disponível em português, espanhol e inglês.