Acordo de Processamento de Dados (DPA)
Última atualização: 24 de fevereiro de 2026
Em conformidade com oArtigo 28.º do Regulamento (UE) 2016/679 (GDPR).
Quem precisa deste DPA? Este Acordo de Processamento de Dados aplica-se a clientes empresariais ("Responsáveis pelo Tratamento") que utilizam o Veluvanto para processar dados pessoais dos seus próprios clientes, colaboradores ou outros indivíduos no decurso das suas atividades comerciais. Se utiliza o Veluvanto exclusivamente para uso pessoal, aplica-se aPolítica de Privacidadepadrão.
Ao utilizar o Veluvanto como cliente empresarial, concorda com os termos deste DPA. Para obter um DPA assinado ou um DPA empresarial personalizado, contactelegal@veluvanto.com.
1. Partes e Definições
Este Acordo de Processamento de Dados ("DPA") é celebrado entre:
- Responsável pelo Tratamento:O cliente empresarial ou organização que aceitou os termos do VeluvantoTermos de Serviçodo Veluvanto e utiliza o Veluvanto para processar dados pessoais em nome da sua empresa ("você").
- Subcontratante:Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 ("Veluvanto", "nós", "nos").
Os termos não definidos no presente documento têm o significado que lhes é atribuído no RGPD (Regulamento (UE) 2016/679).
2. Objeto e Natureza do Tratamento
A Veluvanto trata dados pessoais em nome do Responsável pelo Tratamento com a finalidade de fornecer serviços de gestão documental, incluindo:
- Armazenamento e indexação de documentos carregados pelo Responsável pelo Tratamento
- Análise, categorização e extração de metadados de documentos com recurso a AI
- Pesquisa semântica e de texto integral nos documentos
- Respostas do assistente de chat de AI com base no conteúdo dos documentos
- Tradução e resumo de documentos
- Lembretes automáticos com base no conteúdo dos documentos
- Quaisquer outras funcionalidades descritas na documentação do serviço Veluvanto
3. Categorias de Dados Pessoais Tratados
legal.dpa.section3.prose
Categorias especiais de dados:O Responsável pelo Tratamento não deve carregar documentos que contenham categorias especiais de dados pessoais (dados de saúde, origem racial ou étnica, etc.), conforme definido no Artigo 9.º do RGPD, a menos que tenha obtido o consentimento prévio por escrito da Veluvanto e disponha de uma base jurídica adequada para esse tratamento. Contactelegal@veluvanto.compara acordos específicos.
4. Categorias de Titulares dos Dados
Os titulares dos dados cujos dados pessoais podem ser tratados incluem: clientes, fornecedores, parceiros comerciais, colaboradores, prestadores de serviços do Responsável pelo Tratamento ou quaisquer outras pessoas singulares cujos dados pessoais constem dos documentos carregados no Veluvanto.
5. Duração do Tratamento
O tratamento prossegue durante a vigência do contrato de prestação de serviços do Veluvanto. Após a cessação do contrato, os dados são tratados conforme descrito na Secção 12 (Devolução e Eliminação de Dados).
6. Obrigações do Subcontratante (Veluvanto)
A Veluvanto (enquanto Subcontratante) deve:
- Tratar os dados pessoais apenas com base em instruções documentadas do Responsável pelo Tratamento (os Termos de Serviço e este DPA constituem tais instruções)
- Assegurar que as pessoas autorizadas a tratar os dados pessoais estão sujeitas a obrigações de confidencialidade
- Implementar medidas de segurança técnicas e organizativas adequadas (Artigo 32.º do RGPD)
- Não contratar outros subcontratantes sem autorização prévia, específica ou geral, do Responsável pelo Tratamento (ver Secção 9 para a lista atual de subcontratantes autorizados)
- Prestar assistência ao Responsável pelo Tratamento no cumprimento dos pedidos de direitos dos titulares dos dados (Artigos 15.º a 22.º do RGPD)
- Prestar assistência ao Responsável pelo Tratamento no que respeita às obrigações de segurança, notificação de violações, DPIAs e consultas às autoridades de controlo
- Eliminar ou devolver todos os dados pessoais após a cessação do serviço (ver Secção 12)
- Disponibilizar ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento do Artigo 28.º do RGPD
- Notificar o Responsável pelo Tratamento de qualquer violação de dados pessoais sem demora injustificada (no prazo de 72 horas após tomar conhecimento da mesma)
7. Obrigações do Responsável pelo Tratamento
O Responsável pelo Tratamento deve:
- Garantir a existência de uma base jurídica válida para o tratamento dos dados pessoais carregados no Veluvanto
- Fornecer as informações necessárias aos titulares dos dados sobre o tratamento (incluindo a utilização do Veluvanto como subcontratante)
- Garantir que os dados pessoais fornecidos ao Veluvanto são exatos e pertinentes
- Não instruir a Veluvanto a tratar dados pessoais de forma a violar o RGPD ou a legislação aplicável
- Cumprir as suas próprias obrigações enquanto Responsável pelo Tratamento nos termos do RGPD
8. Medidas de Segurança Técnicas e Organizativas
A Veluvanto implementa as seguintes medidas de segurança para proteger os dados pessoais:
8.1 Encriptação
- Dados em trânsito: encriptação TLS 1.2+ para todas as transferências de dados
- Dados em repouso: encriptação AES-256 para dados e documentos armazenados
8.2 Controlo de Acesso
- Controlo de acesso baseado em funções (RBAC) para todos os acessos ao sistema
- Autenticação multifator obrigatória para acesso administrativo
- Princípio do menor privilégio aplicado a todo o pessoal
- Registos de acesso mantidos para todas as consultas de dados
8.3 Segurança da Infraestrutura
- Documentos e dados armazenados no armazenamento de objetos B2 da Backblaze em centros de dados da UE (Amesterdão, Países Baixos); a Backblaze possui certificação SOC 2 Tipo II
- Servidores de aplicação alojados na infraestrutura da Hetzner Online GmbH em centros de dados da UE (Alemanha/Finlândia); a Hetzner possui certificação ISO/IEC 27001:2022 (SOCOTEC, válida de 2025 a 2028)
- Avaliações de segurança e testes de intrusão regulares
- Procedimentos de gestão de vulnerabilidades e de aplicação de atualizações (patches)
- Proteção contra DDoS e monitorização de segurança de rede
8.4 Medidas Organizativas
- Acordos de confidencialidade do pessoal e formação em proteção de dados
- Procedimentos de resposta a incidentes e plano de resposta a violações de dados
- Princípios de minimização de dados aplicados em todo o serviço
9. Subcontratantes Adicionais
Ao aceitar este DPA, o Responsável pelo Tratamento concede autorização geral para que a Veluvanto contrate as seguintes categorias de subcontratantes adicionais:
| Subcontratante | Finalidade | Localização |
|---|---|---|
| Google LLC | Fornecedor de identidade (autenticação OAuth) | EUA (SCC) |
| Microsoft Corporation | Fornecedor de identidade (autenticação OAuth) | UE/EUA (aplica-se o Aditamento de Proteção de Dados da Microsoft) |
| Paddle.com Market Ltd. | Processamento de pagamentos (comerciante de registo) | Reino Unido (Decisão de Adequação do Reino Unido) |
| Google LLC (Vertex AI) | Inferência de modelos de AI (modelos Gemini) para processamento de documentos, pesquisa semântica e chat de AI | UE (região europe-west do Google Cloud; sem transferência para fora do EEE; aplica-se o Aditamento de Tratamento de Dados do Google Cloud; os dados da API não são utilizados para treino de modelos por predefinição) |
| Backblaze, Inc. | Armazenamento primário de objetos para documentos e cópias de segurança (B2 Cloud Storage) | UE (Amesterdão, Países Baixos; certificação SOC 2 Tipo II) |
| IDrive, Inc. | Armazenamento de objetos para recuperação de desastres | UE (Frankfurt, Alemanha) |
| Hetzner Online GmbH | Infraestrutura na nuvem e servidores de aplicação | UE (Alemanha / Finlândia; certificação ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Rede de entrega de conteúdos, proteção contra DDoS e segurança de rede (trata metadados de pedidos HTTP: endereços IP, strings de user-agent, carimbos de data/hora dos pedidos) | EUA (SCC) |
A Veluvanto notificará o Responsável pelo Tratamento de quaisquer alterações planeadas aos subcontratantes adicionais, atualizando esta lista com um aviso prévio mínimo de 14 dias (via email ou atualização do website). O Responsável pelo Tratamento pode opor-se aos novos subcontratantes no prazo de 14 dias a contar da notificação. Caso a Veluvanto não consiga acolher a objeção, o Responsável pelo Tratamento poderá cessar o serviço.
Todos os subcontratantes adicionais estão vinculados por acordos de tratamento de dados que contêm obrigações de proteção de dados equivalentes às do presente DPA.
10. Transferências Internacionais de Dados
Sempre que os dados pessoais sejam transferidos para subtratatantes fora do EEE, tais transferências são protegidas por Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão de Execução da Comissão (UE) 2021/914) ou por outras salvaguardas adequadas ao abrigo do Artigo 46.º do RGPD. O Responsável pelo Tratamento pode solicitar cópias destas salvaguardas alegal@veluvanto.com.
11. Assistência com os Direitos dos Titulares dos Dados
A Veluvanto assistirá o Responsável pelo Tratamento no cumprimento dos pedidos de direitos dos titulares dos dados ao abrigo dos Artigos 15.º a 22.º do RGPD. Sempre que seja tecnicamente viável, o Responsável pelo Tratamento pode satisfazer muitos destes direitos diretamente através da aplicação Veluvanto (por exemplo, exportação de dados, eliminação de conta).
Para pedidos que exijam o envolvimento direto do Veluvanto, contacteprivacy@veluvanto.com. A Veluvanto responderá no prazo de 5 dias úteis e prestará assistência num prazo que permita ao Responsável pelo Tratamento cumprir os prazos de resposta do RGPD.
12. Devolução e Eliminação de Dados
Após a cessação do serviço ou a pedido do Responsável pelo Tratamento:
- Exportação de Dados:O Responsável pelo Tratamento pode exportar todos os documentos e dados através da função de exportação da aplicação a qualquer momento durante a prestação do serviço
- Eliminação após cessação:No prazo de 30 dias após a eliminação da conta ou cessação do serviço, a Veluvanto eliminará permanentemente todos os dados pessoais, incluindo documentos, metadados e conteúdos gerados por AI, a menos que a retenção seja exigida pela legislação aplicável
- Confirmação:Mediante pedido, a Veluvanto fornecerá uma confirmação por escrito da eliminação
Os registos de faturação e os registos de auditoria legalmente exigidos podem ser conservados conforme exigido pela legislação contabilística checa (Lei n.º 563/1991 Coll.) por um período de até 10 anos.
13. Direitos de Auditoria
A Veluvanto disponibilizará todas as informações necessárias para demonstrar o cumprimento deste DPA. O Responsável pelo Tratamento pode solicitar uma auditoria às atividades de tratamento de dados da Veluvanto através de:
- Solicitação de documentação sobre as medidas de segurança e relatórios de conformidade
- Solicitação de relatórios de auditoria de terceiros (certificação ISO 27001, SOC 2, etc.), quando disponíveis
- Realização de auditorias ou inspeções mediante marcação prévia (com aviso prévio mínimo de 30 dias, a expensas do Responsável pelo Tratamento e sujeita a obrigações razoáveis de confidencialidade)
14. Notificação de Violação de Dados
Em caso de violação de dados pessoais que afete os dados do Responsável pelo Tratamento, a Veluvanto notificará o Responsável pelo Tratamento sem demora injustificada e no prazo de 72 horas após tomar conhecimento da violação. A notificação incluirá as informações disponíveis sobre: a natureza da violação, as categorias e o número aproximado de titulares de dados afetados, as consequências prováveis e as medidas adotadas ou propostas. Serão fornecidas informações adicionais à medida que estiverem disponíveis.
15. Lei Aplicável
Este DPA é regido pelas leis da República Checa e pelo direito aplicável da UE, incluindo o RGPD. Quaisquer litígios serão resolvidos de acordo com as disposições relativas à lei aplicável constantes dos Termos de Serviço da Veluvanto.
16. DPA Assinado
Se a sua organização necessitar de um DPA assinado e executado separadamente (por exemplo, para requisitos de conformidade empresarial), contacte-nos através delegal@veluvanto.com. Forneceremos uma cópia assinada num prazo razoável.
17. Contacto
Para todas as questões relacionadas com o DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
Email: legal@veluvanto.com
Privacidade: privacy@veluvanto.com