Versão 1 · à data de 14 de julho de 2026
Acordo de Tratamento de Dados (DPA)
Acordo ao abrigo do Art. 28 GDPR · Versão do DPA: Versão 1
Entre [Responsável pelo Tratamento]
— doravante o “Responsável pelo Tratamento” —
e Trust Center
— doravante o “Subcontratante” —
Tradução automática – sem valor jurídico. Prevalecem as versões EN/FR. Em preparação, revisão jurídica pendente.
Acordo de Tratamento de Dados
Este Acordo de Tratamento de Dados ("DPA") faz parte do contrato entre o Cliente ("Responsável pelo Tratamento") e a Fotosoft SA, uma sociedade constituída na Bélgica (n.º de empresa BE 0721.709.989), que opera a plataforma fotostudio.io ("Subcontratante"), e rege o tratamento de dados pessoais ao abrigo do Artigo 28 GDPR.
1. Funções e objeto
O Cliente (um fotógrafo profissional ou estúdio) é o Responsável pelo Tratamento dos dados pessoais que carrega ou gera na plataforma. A Fotosoft atua exclusivamente como Subcontratante, tratando esses dados de acordo com as instruções documentadas do Responsável pelo Tratamento para fornecer o serviço (CRM, marcações, galerias, contratos, faturação, email).
2. Natureza, finalidade e duração
A Fotosoft compromete-se a tratar os dados apenas no âmbito destas finalidades ("a Fotosoft trata os dados apenas para operar o serviço"). O tratamento decorre durante a vigência da subscrição do Responsável pelo Tratamento.
3. Categorias de dados e titulares dos dados
- Titulares dos dados: os clientes e contactos do Responsável pelo Tratamento, e o pessoal do Responsável pelo Tratamento.
- Categorias: dados de identificação e de contacto, dados de marcações e contratos, dados de faturação e material de imagem carregado.
4. Obrigações do Subcontratante
A Fotosoft deve: tratar os dados apenas de acordo com instruções documentadas; assegurar que as pessoas autorizadas a tratar dados estão vinculadas a um dever de confidencialidade; implementar as medidas constantes do Anexo 1 (TOMs); auxiliar o Responsável pelo Tratamento nos pedidos dos titulares dos dados e no cumprimento das suas obrigações ao abrigo dos Artigos 32–36 GDPR; e eliminar ou devolver os dados no termo da relação (ver §8).
5. Subcontratantes ulteriores
5.1 Autorização geral. O Responsável pelo Tratamento concede à Fotosoft uma autorização geral por escrito, na aceção do art. 28.º, n.º 2, segunda frase, do RGPD, para recorrer a outros subcontratantes («subcontratantes ulteriores»). Os subcontratantes ulteriores autorizados à data da celebração constam do Anexo 2.
5.2 Lista dinâmica. A lista atualizada de todos os subcontratantes ulteriores — incluindo nome, finalidade, localização e categorias de dados — é mantida e versionada pela Fotosoft de forma contínua no Trust Center, na secção «Subcontratantes ulteriores». Esta lista dinâmica prevalece e faz parte integrante do presente AVV; o Anexo 2 reflete o seu estado à data da celebração.
5.3 Informação prévia. Caso a Fotosoft pretenda acrescentar ou substituir um subcontratante ulterior, informará o Responsável pelo Tratamento com uma antecedência razoável antes da data de produção de efeitos prevista. A informação é prestada ativamente por e-mail para o endereço do Responsável registado para o AVV celebrado; além disso, o Responsável pode subscrever as notificações de alteração no Trust Center. Cabe ao Responsável manter um endereço de e-mail de contacto válido e atualizado.
5.4 Direito de oposição. O Responsável pelo Tratamento pode opor-se a uma alteração prevista por motivo legítimo relacionado com a proteção de dados até à data de produção de efeitos anunciada. Não havendo oposição até essa data, a alteração considera-se aprovada e produz efeitos na data anunciada.
5.5 Consequências da oposição. Em caso de oposição, as partes procurarão de boa-fé uma solução amigável. Não sendo possível encontrá-la num prazo razoável, o Responsável pode resolver, quanto à parte do Serviço que exige o subcontratante ulterior, de forma extraordinária. A remoção de um subcontratante ulterior sem substituição não constitui uma alteração sujeita a aprovação e não exige autorização prévia.
5.6 Repercussão das obrigações. A Fotosoft impõe a cada subcontratante ulterior, por contrato, obrigações de proteção de dados substancialmente idênticas às previstas no presente AVV, e mantém-se responsável perante o Responsável pelo Tratamento pelo cumprimento por parte do subcontratante.
6. Medidas técnicas e organizativas (TOMs)
6.1 Medidas. A Fotosoft implementa e mantém as medidas técnicas e organizativas ao abrigo do Artigo 32 GDPR que asseguram um nível de segurança adequado ao risco. As medidas em vigor à data da celebração constam do Anexo 1.
6.2 Documento dinâmico. A versão atual das TOMs — incluindo o seu âmbito e conteúdo — é mantida e versionada pela Fotosoft de forma contínua no Trust Center. Esta versão prevalece e faz parte integrante do presente AVV; o Anexo 1 reflete o seu estado à data da celebração.
6.3 Atualizações. A Fotosoft pode adaptar as TOMs em função da evolução técnica e organizativa, desde que o nível de proteção acordado não seja materialmente reduzido. Ao contrário do previsto para os subcontratantes ulteriores (§5), não se aplica a este respeito qualquer direito de aprovação ou de oposição.
6.4 Informação. As alterações às TOMs são tornadas rastreáveis através da versionagem no Trust Center, onde o Responsável pelo Tratamento pode subscrever as notificações de alteração. Não é necessária, para este efeito, uma notificação individual ativa por e-mail.
7. Transferências internacionais
A Fotosoft não transfere dados pessoais para fora do Espaço Económico Europeu, exceto quando abrangidos por uma decisão de adequação ou por garantias adequadas, tais como as Cláusulas Contratuais-Tipo da UE. Todos os dados são alojados exclusivamente na Europa.
Review note (EN): some sub-processors (Heroku/Salesforce, AWS, Stripe, PayPal, SMTP2GO) have US parent companies. Confirm transfer mechanisms with counsel even though storage is in the EU.
8. Eliminação
Após a cessação, todos os dados pessoais são eliminados permanentemente dos servidores no prazo de 30 dias; as cópias de segurança são eliminadas após o termo do respetivo período de conservação.
9. Incidentes de segurança
A Fotosoft notifica o Responsável pelo Tratamento sem demora injustificada, e no prazo de 72 horas sempre que a violação afete dados pessoais.
10. Auditorias
A Fotosoft disponibiliza as informações necessárias para demonstrar o cumprimento do Artigo 28 GDPR.
11. Lei aplicável
Este DPA rege-se pela lei belga; os tribunais competentes são os de Liège.
Anexo 1 — Medidas Técnicas e Organizativas
Reflete o estado do documento TOMs à data da celebração. A versão atual é mantida e versionada no Trust Center (§6.2).
Anexo 2 — Subcontratantes ulteriores autorizados
Ver a lista de Subcontratantes separada, que prevalece e reflete o estado atual (§5.2). O Anexo 2 reflete o seu estado à data da celebração.