DPA

1. Objeto e enquadramento do acordo

O presente Acordo de tratamento de dados (adiante o «DPA», de Data Processing Agreement) enquadra as condições em que a Zylior trata dados de caráter pessoal por conta dos seus clientes, no âmbito da utilização da plataforma Zylior. Inscreve-se no respeito do Regulamento (UE) 2016/679 (adiante o «RGPD»), e nomeadamente do seu artigo 28.º, relativo às relações entre responsável pelo tratamento e subcontratante.

Este DPA faz parte integrante das Condições Gerais de Utilização e de Venda celebradas entre a Zylior e o cliente. Em caso de contradição entre o presente DPA e essas condições sobre as questões de proteção de dados, prevalecem as disposições do presente DPA.

Considera-se aceite a partir do momento em que o cliente subscreve uma subscrição Zylior ou utiliza a plataforma para tratar dados pessoais relativos a terceiros (potenciais clientes, leads, contactos, clientes finais).

2. Definições

Os termos empregues no presente DPA conservam o sentido que lhes é atribuído pelo RGPD. A título indicativo:

• Dado de caráter pessoal: qualquer informação relativa a uma pessoa singular identificada ou identificável.
• Tratamento: qualquer operação aplicada a dados pessoais (recolha, registo, conservação, alteração, consulta, comunicação, eliminação, etc.).
• Responsável pelo tratamento: a entidade que determina as finalidades e os meios do tratamento. No âmbito do presente DPA, trata-se do cliente.
• Subcontratante: a entidade que trata os dados por conta do responsável pelo tratamento. No âmbito do presente DPA, trata-se da Zylior.
• Subcontratante ulterior: qualquer prestador a que a Zylior recorra para executar atividades de tratamento específicas por conta do cliente.
• Titular dos dados: a pessoa singular a que se referem os dados pessoais.
• Violação de dados: qualquer violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso não autorizado a dados pessoais.

3. Papéis e repartição das responsabilidades

No âmbito da utilização da plataforma, os papéis repartem-se da seguinte forma:

• O cliente atua na qualidade de responsável pelo tratamento dos dados pessoais que importa, recolhe ou gera através da Zylior (nomeadamente os dados de potenciais clientes, de leads, de contactos e de clientes finais no âmbito das suas campanhas de anúncios, conteúdo, leads, marcações e automatização).
• A Zylior atua na qualidade de subcontratante: trata esses dados unicamente mediante instrução documentada do cliente, tal como concretizada pela utilização das funcionalidades da plataforma e pelo presente DPA.

O cliente garante que dispõe de um fundamento jurídico válido (consentimento, interesse legítimo, execução de um contrato, etc.) para cada tratamento que implementa através da Zylior, e que cumpriu as suas próprias obrigações de informação para com os titulares dos dados.

Para as suas próprias necessidades de gestão de conta, faturação, segurança e melhoria do serviço, a Zylior atua na qualidade de responsável pelo tratamento distinto. Estes tratamentos são descritos na Política de Privacidade.

4. Natureza, finalidade e duração do tratamento

Natureza e finalidade

A Zylior trata os dados pessoais com o único objetivo de prestar os serviços da plataforma: centralização do crescimento de uma carteira de micro-SaaS, gestão das campanhas publicitárias, produção de conteúdo, geração e qualificação de leads, marcação de reuniões e automatização dos workflows, tudo impulsionado pela IA.

As operações de tratamento incluem, nomeadamente, a recolha, o registo, a organização, a estruturação, a conservação, a consulta, a utilização, a comunicação aos subcontratantes ulteriores autorizados, bem como o apagamento dos dados.

Duração

O tratamento é realizado durante toda a duração do contrato que liga o cliente à Zylior. Termina com a resolução ou a caducidade do contrato, sem prejuízo das disposições relativas à devolução e à eliminação dos dados previstas no artigo 11.

5. Categorias de dados e de titulares

Categorias de titulares dos dados

• Potenciais clientes e leads recolhidos pelo cliente através das suas campanhas;
• Contactos profissionais e clientes finais do cliente;
• Utilizadores e membros da equipa do cliente que disponham de acesso à plataforma.

Categorias de dados tratados

• Dados de identificação: apelido, nome próprio, tratamento;
• Dados de contacto: endereço de e-mail, número de telefone, morada postal;
• Dados profissionais: empresa, função, setor de atividade, dimensão da empresa;
• Dados de relação comercial: histórico de trocas, estado da lead, marcações, notas, scoring;
• Dados de ligação e técnicos: endereço IP, identificadores, registos de atividade, dados de utilização da plataforma;
• Qualquer conteúdo livremente preenchido pelo cliente nos campos da plataforma.

A Zylior não tem por vocação tratar categorias especiais de dados (dados ditos «sensíveis» na aceção do artigo 9.º do RGPD). O cliente compromete-se a não importar tais dados sem ter previamente implementado as garantias adequadas e informado a Zylior.

6. Obrigações da Zylior enquanto subcontratante

Em conformidade com o artigo 28.º do RGPD, a Zylior compromete-se a:

• tratar os dados apenas mediante instrução documentada do cliente, incluindo em matéria de transferência para fora da União Europeia, salvo obrigação legal em contrário — caso em que a Zylior informa o cliente antes do tratamento, salvo proibição legal;
• assegurar que as pessoas autorizadas a tratar os dados estão sujeitas a uma obrigação de confidencialidade adequada;
• implementar as medidas técnicas e organizativas adequadas descritas no artigo 7;
• respeitar as condições de recurso a um subcontratante ulterior definidas no artigo 8;
• auxiliar o cliente a responder aos pedidos de exercício dos direitos dos titulares dos dados (artigo 9);
• assistir o cliente no cumprimento das suas obrigações em matéria de segurança, de notificação de violação, de avaliação de impacto e de consulta prévia da autoridade de controlo;
• no termo do contrato, eliminar ou devolver os dados em conformidade com o artigo 11;
• disponibilizar ao cliente toda a informação necessária para demonstrar o cumprimento das suas obrigações e permitir as auditorias previstas no artigo 10;
• informar imediatamente o cliente se, no seu entender, uma instrução constituir uma violação do RGPD ou de outra disposição aplicável em matéria de proteção de dados.

7. Medidas de segurança

A Zylior implementa medidas técnicas e organizativas adequadas a fim de garantir um nível de segurança ajustado ao risco, em conformidade com o artigo 32.º do RGPD. Estas medidas incluem, nomeadamente, a cifragem dos dados em trânsito e em repouso, o controlo estrito dos acessos, o registo das operações, cópias de segurança regulares, a separação dos ambientes e procedimentos de gestão de incidentes.

O detalhe das medidas implementadas, bem como a organização da segurança na Zylior, está descrito na página Segurança, que faz parte integrante do presente DPA e é regularmente atualizada.

Notificação das violações de dados

Em caso de violação de dados de caráter pessoal, a Zylior notifica o cliente com a maior brevidade possível após dela ter tomado conhecimento, e o mais tardar no prazo de 48 horas. A notificação especifica, na medida do possível, a natureza da violação, as categorias e o número aproximado de titulares afetados, as consequências prováveis e as medidas tomadas ou propostas para a remediar. A Zylior presta ao cliente uma assistência razoável para lhe permitir cumprir as suas próprias obrigações de notificação junto da autoridade de controlo e, se for caso disso, dos titulares dos dados.

8. Subcontratantes ulteriores

O cliente autoriza de forma geral a Zylior a recorrer a subcontratantes ulteriores para a execução de determinadas atividades de tratamento (alojamento de infraestrutura, serviços de e-mailing, fornecedores de IA, ferramentas analíticas, etc.).

A Zylior compromete-se a:

• contratar apenas subcontratantes ulteriores que apresentem garantias suficientes quanto à implementação de medidas técnicas e organizativas adequadas;
• impor a cada subcontratante ulterior, por contrato, obrigações de proteção de dados equivalentes às do presente DPA;
• permanecer plenamente responsável perante o cliente pela execução, por parte do subcontratante ulterior, das suas obrigações;
• manter atualizada a lista dos seus subcontratantes ulteriores e informar o cliente de qualquer projeto de aditamento ou de substituição, a fim de lhe permitir formular objeções legítimas num prazo razoável.

A lista atualizada dos subcontratantes ulteriores está disponível a pedido, através do endereço hello@zylior.com.

Transferências para fora da União Europeia

Quando um tratamento implica uma transferência de dados para um país situado fora do Espaço Económico Europeu, a Zylior assegura-se de que essa transferência é enquadrada por um mecanismo reconhecido pelo RGPD: decisão de adequação da Comissão Europeia ou, na sua falta, cláusulas contratuais-tipo completadas pelas medidas suplementares necessárias.

9. Assistência e direitos dos titulares dos dados

A Zylior disponibiliza ao cliente as funcionalidades e ferramentas necessárias para lhe permitir responder aos pedidos de exercício dos seus direitos pelos titulares dos dados: direito de acesso, de retificação, de apagamento, de limitação, de oposição e de portabilidade.

Se um pedido de exercício de direitos for dirigido diretamente à Zylior, esta transmite-o ao cliente com a maior brevidade possível e não responde diretamente ao titular dos dados, salvo instrução do cliente ou obrigação legal.

Tendo em conta a natureza do tratamento, a Zylior auxilia também o cliente, na medida do possível e através de medidas técnicas e organizativas adequadas, a cumprir as suas obrigações relativas à segurança dos tratamentos, à notificação das violações, às avaliações de impacto relativas à proteção de dados e à consulta prévia da autoridade de controlo.

10. Auditoria e demonstração de conformidade

A Zylior disponibiliza ao cliente todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e no presente DPA.

Para o efeito, o cliente pode, no máximo uma vez por ano e mediante um pré-aviso razoável de, pelo menos, trinta dias, solicitar a realização de uma auditoria. Esta auditoria pode revestir a forma de:

• comunicação da documentação pertinente (políticas de segurança, relatórios de auditoria, certificações, se aplicável);
• um questionário de conformidade;
• uma auditoria no local conduzida pelo cliente ou por um terceiro independente por ele mandatado, sujeito a um compromisso de confidencialidade.

As auditorias são realizadas durante o horário de trabalho, de modo a não perturbar a atividade da Zylior, e no respeito da confidencialidade dos dados dos outros clientes. Os custos diretos de uma auditoria no local ficam a cargo do cliente, salvo se a auditoria revelar um incumprimento substancial da Zylior das suas obrigações.

11. Devolução e eliminação dos dados no termo do contrato

Na caducidade ou na resolução do contrato, e consoante a opção expressa pelo cliente, a Zylior procede:

• quer à devolução do conjunto dos dados pessoais tratados por conta do cliente, num formato estruturado e de uso corrente;
• quer à eliminação definitiva desses dados.

Na falta de instrução do cliente no prazo de trinta dias após o termo do contrato, a Zylior procede à eliminação dos dados. Esta eliminação ocorre igualmente de forma definitiva nas cópias de segurança, dentro dos limites dos ciclos técnicos de rotação das cópias de segurança.

A Zylior conserva, contudo, os dados cuja conservação seja imposta por uma obrigação legal ou regulamentar, apenas pela duração e para as finalidades previstas nessa obrigação. A pedido, a Zylior fornece ao cliente um atestado de eliminação dos dados.

12. Duração, alteração e contacto

O presente DPA produz os seus efeitos durante toda a duração do tratamento dos dados pessoais pela Zylior por conta do cliente. Pode ser atualizado para ter em conta a evolução da regulamentação, das práticas de segurança ou das funcionalidades da plataforma; a versão aplicável é a publicada no sítio no momento do tratamento em causa.

Para qualquer questão relativa ao presente DPA ou ao exercício dos direitos, o cliente pode escrever para hello@zylior.com.