Acordo de Processamento de Dados

1. Partes e Contexto

Responsável pelo Tratamento: o cliente que aceitou os Termos de Serviço do Mapalyze.

Processador de Dados ("Processador"): Mapalyze, operando como "Mapalyze," Calle Badajoz 9, 21600 Valverde del Camino, Huelva, Espanha. Contacto: info@mapalyze.com.

Este DPA assegura a conformidade com o artigo 28 do RGPD e com a LOPDGDD espanhola. Em caso de conflito entre este DPA e o Contrato, este DPA prevalece em todas as matérias relacionadas com a proteção de dados.

2. Definições

Termos em maiuscula tem os significados atribuidos no RGPD ou no Acordo. Termos principais:

• "Dados Pessoais" — qualquer informação relativa a uma pessoa singular identificada ou identificável (artigo 4.º, n.º 1 do RGPD).
• "Tratamento" — qualquer operação realizada sobre Dados Pessoais (artigo 4.º, n.º 2 do RGPD).
• "Violação de Dados Pessoais" — uma violação de segurança que provoque a destruição, perda, alteração ou divulgação não autorizada, acidental ou ilícita, de Dados Pessoais (artigo 4.º, n.º 12 do RGPD).
• "Subcontratante ulterior" — qualquer terceiro contratado pelo Subcontratante para tratar Dados Pessoais em nome do Responsável pelo Tratamento.
• "Autoridade de Controlo" — a Agencia Española de Protección de Datos (AEPD).
• "Cláusulas Contratuais-Tipo (SCCs)" — cláusulas aprovadas pela Comissão Europeia para transferências de Dados Pessoais para fora do EEE.

3. Âmbito e Finalidade do Tratamento

Objeto

Prestação de uma plataforma cloud de cartografia, recolha de dados de campo, inspeção e análise geoespacial, incluindo armazenamento de dados, sincronização, relatórios e serviços de apoio técnico relacionados.

Duracao

O processamento continua durante a vigencia do Acordo. Apos a rescisão, aplica-se a Secao 9 (Rescisão).

Natureza e Finalidade

Recolha, armazenamento, organização, consulta, apresentação, transmissão, sincronização, análise e eliminação de dados pessoais, na medida do necessário para prestar os serviços.

Tipos de Dados Pessoais Tratados

• Dados de identidade: nomes, IDs de funcionários, cargos, funções
• Dados de contato: endereços de e-mail, números de telefone, endereços postais
• Dados de localização/geoespaciais: coordenadas GPS, limites geográficos, anotações de mapas, dados de camada GIS
• Dados de mídia: fotografias, vídeos, gravações de áudio capturadas através dos Serviços
• Dados do dispositivo: identificadores de dispositivo, endereços IP, informações do sistema operacional
• Dados de resposta de formulário/pesquisa: quaisquer dados inseridos em formulários criados pelo Controlador

Catégorias de Titulares de Dados

• Os funcionários, contratados e agentes do Controlador
• Os clientes e usuários finais do Controlador
• Individuals whose data is collected during inspeção de campos or surveys
• Quaisquer outras pessoas cujos Dados Pessoais sejam carregados pelo Responsável pelo Tratamento ou pelos seus Utilizadores

4. Obrigações do Subcontratante

4.1 Instruções de Tratamento

O Subcontratante tratará os dados pessoais apenas mediante instruções documentadas do Responsável pelo Tratamento, incluindo no que respeita a transferências internacionais, salvo se tal for exigido pela legislação da UE ou de um Estado-Membro. O Subcontratante informará o Responsável de qualquer exigência legal deste tipo antes do tratamento, salvo proibição legal.

4.2 Confidencialidade

Todo o pessoal do Subcontratante com acesso a dados pessoais está vinculado por compromissos escritos de confidencialidade e sujeito a dever de sigilo.

4.3 Medidas de Segurança

O Subcontratante aplica medidas técnicas e organizacionais adequadas nos termos do artigo 32 do RGPD, incluindo:

• Encriptação dos Dados Pessoais em trânsito com TLS 1.2 ou superior
• Encriptação dos Dados Pessoais em repouso com AES-256 ou equivalente
• Controlos de acesso baseados em funções para garantir que apenas o pessoal autorizado acede aos Dados Pessoais
• Testes regulares de segurança e avaliações de vulnerabilidade
• Registo e monitorização do acesso a dados pessoais
• Práticas de desenvolvimento seguro para a plataforma
• Procedimentos de continuidade de negócios e recuperação de desastres, incluindo backups regulares

4.4 Direitos do Titular dos Dados

O Processador auxiliara o Controlador no cumprimento das obrigacoes de responder a solicitacoes de direitos dos Titulares de Dados nos termos do Capitulo III do RGPD (Artigos 15-22), incluindo direitos de acesso, retificacao, apagamento, restricao, portabilidade e oposicao.

4.5 AIPDs

O Processador prestara assistencia razoavel com avaliacoes de impacto sobre a protecao de dados (AIPDs) e consultas previas com Autoridades de Supervisão conforme exigido pelos Artigos 35 e 36 do RGPD.

5. Notificação de Violação de Dados Pessoais

Em caso de violação de dados pessoais, o Subcontratante deverá:

• Notificar o Responsável sem demora indevida e, em qualquer caso, no prazo de 72 horas após tomar conhecimento da violação, em conformidade com os artigos 33.º e 34.º do RGPD, proporcionando ao Responsável tempo suficiente para cumprir a sua própria obrigação de notificação em 72 horas
• Fornecer a natureza da violação, as categorias e o número aproximado de Titulares dos Dados e de registos afetados, as consequências prováveis e as medidas tomadas ou propostas
• Cooperar com o Responsável e tomar medidas razoáveis para auxiliar na investigação, mitigação e remediação
• Não notificar diretamente terceiros (incluindo Titulares dos Dados ou Autoridades de Controlo) sem instrução prévia por escrito do Responsável, salvo exigência legal
• Documentar todas as violações de Dados Pessoais em conformidade com o artigo 33.º, n.º 5 do RGPD

6. Transferências Internacionais de Dados

O Subcontratante não transferirá dados pessoais para fora do EEE, exceto se:

• A Comissão Europeia emitiu uma decisão de adequação para o país de destino (incluindo transferências para os EUA ao abrigo do EU-U.S. Data Privacy Framework quando o destinatário está certificado).
• Estão em vigor salvaguardas adequadas nos termos do artigo 46 do RGPD, como as Cláusulas Contratuais-Tipo (CCT).
• Aplica-se uma derrogação ao abrigo do artigo 49 do RGPD e a mesma foi documentada.

O Subcontratante informará o Responsável de qualquer Subsubcontratante localizado fora do EEE e do mecanismo de garantia utilizado. As informações sobre Subsubcontratantes atuais constam da Secção 8 e também podem ser obtidas contactando info@mapalyze.com.

7. Auditorias e Inspeções

O Subcontratante disponibilizará todas as informações necessárias para demonstrar a conformidade com o artigo 28 do RGPD e permitir auditorias, sujeito a:

• Pelo menos 30 dias de aviso prévio por escrito para qualquer pedido de auditoria.
• Auditorias realizadas durante o horário normal de funcionamento, sem perturbar de forma irrazoável as operações.
• Os custos da auditoria são suportados pelo Responsável pelo Tratamento, exceto se a auditoria revelar uma violação matérial do Subcontratante.
• Os resultados da auditoria são tratados como Informação Confidencial do Subcontratante.

8. Subcontratantes

O Responsável concede autorização geral por escrito para contratar Subsubcontratantes, sujeita às seguintes condições:

• Uma lista atualizada de Subsubcontratantes é mantida nesta Secção e disponibilizada a pedido em info@mapalyze.com, incluindo nome, localização e função
• Aviso prévio de pelo menos 15 dias sobre quaisquer alterações previstas aos Subsubcontratantes, dando ao Responsável a oportunidade de objetar
• Discussão de boa-fé de qualquer objeção razoável no prazo de 15 dias; se não resolvida, o Responsável pode rescindir os Serviços afetados
• As mesmas obrigações de proteção de dados impostas a cada Subsubcontratante por contrato (artigo 28.º, n.º 4 do RGPD)
• O Subcontratante permanece totalmente responsável pelos atos e omissões dos Subsubcontratantes

8.1 Subsubcontratantes Atuais

À data da última atualização, o Mapalyze envolve os seguintes Subsubcontratantes para prestar os Serviços. São impostas por contrato a cada Subsubcontratante obrigações de proteção de dados equivalentes às do presente DPA.

• Paddle.com Market Ltd — Reino Unido — Comerciante Registado (Merchant of Record) para subscrições pagas (processamento de pagamentos, cálculo de impostos, faturação, tratamento de reembolsos). Dados tratados: nome do cliente, e-mail de faturação, morada de faturação, endereço IP, histórico de compras, tokens de pagamento. Mecanismo de transferência: decisão de adequação do Reino Unido, adotada pela Comissão Europeia a 28 de junho de 2021 ao abrigo do artigo 45.º do RGPD.
• Supabase Inc. — União Europeia (região UE, Estocolmo — eu-north-1) — Base de dados, autenticação, armazenamento e alojamento de funções edge para a aplicação Mapalyze. Dados tratados: todos os Dados Pessoais carregados pelo Responsável e pelos seus Utilizadores, incluindo dados de conta, dados de campo, dados geoespaciais, multimédia e identificadores de autenticação. Mecanismo de transferência: alojamento no EEE, sem necessidade de transferência internacional.
• Vercel Inc. — Estados Unidos — Alojamento da aplicação web e compute serverless para a app Mapalyze (app.mapalyze.com). Dados tratados: dados de sessão de utilizadores autenticados, endereços IP, metadados de pedidos, telemetria de utilização. Mecanismo de transferência: Cláusulas Contratuais-Tipo (Módulo 2) ao abrigo do artigo 46.º do RGPD e EU-U.S. Data Privacy Framework quando aplicável; a Vercel está certificada DPF.
• Hostinger International Ltd — União Europeia (Lituânia) — Alojamento estático do website público de marketing do Mapalyze (mapalyze.com). Dados tratados: endereços IP dos visitantes, identificadores de navegador, registos de acesso HTTP. Mecanismo de transferência: alojamento no EEE, sem necessidade de transferência internacional.
• Resend, Inc. — Estados Unidos — Entrega de e-mail transacional (e-mails de autenticação, faturas, notificações). Dados tratados: endereço de e-mail do destinatário, nome, conteúdo e metadados do e-mail. Mecanismo de transferência: Cláusulas Contratuais-Tipo (Módulo 2) ao abrigo do artigo 46.º do RGPD.
• Google LLC — Estados Unidos — Analítica web do website público de marketing (mapalyze.com) através do Google Analytics 4 (GA4). Dados tratados: endereço IP (anonimizado quando possível por truncamento), identificadores de navegador e dispositivo, URL de referência, páginas visitadas, eventos de interação. A recolha está condicionada a um banner de consentimento de cookies e apenas ocorre se o visitante prestar consentimento de analítica. Mecanismo de transferência: Cláusulas Contratuais-Tipo (Módulo 2) ao abrigo do artigo 46.º do RGPD e EU-U.S. Data Privacy Framework (Google LLC está certificada DPF).
• Functional Software, Inc. (Sentry) — Estados Unidos — Seguimento de erros, monitorização de desempenho e estado de versões da aplicação Mapalyze. Dados tratados: stack traces de erros, identificadores de utilizador, informações do dispositivo, metadados de navegador e sistema operativo, endereços IP. Mecanismo de transferência: Cláusulas Contratuais-Tipo (Módulo 2) ao abrigo do artigo 46.º do RGPD.
• HERE Global B.V. — Países Baixos (União Europeia) — Serviços de geocodificação, geocodificação inversa, routing e cartografia. Dados tratados: consultas de pesquisa de moradas, coordenadas GPS submetidas para geocodificação, endereços IP. Mecanismo de transferência: alojamento no EEE (principal); Cláusulas Contratuais-Tipo quando o suporte operacional envolva transferências para entidades do grupo HERE fora do EEE.
• MapTiler AG — Suíça — Telhas vetoriais de mapa, estilos de mapa e tile server. Dados tratados: pedidos de telhas (coordenadas e nível de zoom), endereços IP. Mecanismo de transferência: decisão de adequação da Suíça, adotada pela Comissão Europeia ao abrigo do artigo 45.º do RGPD.

Esta lista reflete os compromissos atuais e pode evoluir. O Responsável pode solicitar a qualquer momento uma lista atualizada e completa de Subsubcontratantes, escrevendo para info@mapalyze.com. Alterações substanciais são notificadas com, pelo menos, 15 dias de antecedência.

9. Rescisão e Devolução de Dados

Com a cessação do Contrato, o Subcontratante deverá, à escolha do Responsável pelo Tratamento, devolver todos os dados pessoais num formato estruturado e de uso corrente, ou eliminar de forma segura todos os dados pessoais na sua posse. O Responsável dispõe de 30 dias após a cessação para exportar os dados antes da eliminação. O Subcontratante fornecerá confirmação escrita da eliminação mediante pedido.

O Subcontratante manterá registos das atividades de tratamento conforme exigido pelo artigo 30 do RGPD e cooperará com a Autoridade de Controlo (AEPD) conforme exigido pelo artigo 31 do RGPD.