Este DPA aplica-se quando tratamos dados pessoais por conta de um cliente empresarial ("Cliente") no âmbito da prestação do Serviço, e integra os Terms of Service. Reflete o art. 28.º do RGPD e cláusulas equivalentes (UK GDPR, LGPD, etc.). Para o disponibilizarmos assinado, contacte privacy@enengin.com.
O Cliente é o Responsável pelo Tratamento (Controller); nós somos o Subcontratante (Processor). Quando recorremos a terceiros para prestar o Serviço, estes atuam como subprocessadores. Os detalhes do tratamento (Anexo I) e as medidas de segurança (Anexo II) fazem parte deste DPA.
Tratamos dados pessoais apenas com base nas instruções documentadas do Cliente (incluindo a configuração do Serviço), salvo obrigação legal — caso em que informaremos o Cliente, salvo proibição legal. Informamos o Cliente se considerarmos que uma instrução viola a legislação de proteção de dados.
Garantimos que as pessoas autorizadas a tratar dados pessoais estão sujeitas a deveres de confidencialidade e recebem formação adequada.
Implementamos medidas técnicas e organizativas adequadas ao risco (Anexo II e Security Policy), incluindo encriptação, isolamento por tenant, controlo de acessos, registos e resiliência.
O Cliente autoriza, de forma geral, o recurso aos subprocessadores listados em /subprocessors. Informaremos com antecedência razoável alterações (adição/substituição), permitindo objeção fundamentada. Impomos aos subprocessadores obrigações de proteção de dados equivalentes às deste DPA.
Tendo em conta a natureza do tratamento, prestamos assistência razoável ao Cliente para responder a pedidos de exercício de direitos (acesso, retificação, apagamento, portabilidade, oposição, limitação), através de funcionalidades do Serviço ou apoio dedicado.
Apoiamos o Cliente no cumprimento das obrigações dos arts. 32.º a 36.º do RGPD (segurança, notificação de violações, avaliações de impacto, consulta prévia), na medida adequada à informação disponível.
Notificamos o Cliente sem demora injustificada após tomarmos conhecimento de uma violação de dados pessoais que afete os seus dados, fornecendo a informação razoavelmente disponível para o Cliente cumprir as suas obrigações de notificação.
No termo da prestação, e à escolha do Cliente, eliminamos ou devolvemos os dados pessoais e eliminamos as cópias existentes, salvo obrigação legal de conservação. Os dados em backups expiram conforme a Data Retention Policy.
Disponibilizamos informação razoável para demonstrar conformidade e permitimos auditorias (incluindo inspeções) conduzidas pelo Cliente ou por auditor mandatado, com aviso prévio razoável e sujeitas a confidencialidade, podendo ser satisfeitas por relatórios/certificações aplicáveis.
Quando transferimos dados para fora do EEE/UK, aplicamos mecanismos válidos: decisões de adequação, Cláusulas Contratuais-Tipo (SCCs) (e UK Addendum/IDTA quando aplicável), EU-US Data Privacy Framework quando aplicável, e medidas suplementares. Ver Data Residency Policy.
A responsabilidade ao abrigo deste DPA está sujeita aos limites acordados nos Terms of Service ou no contrato enterprise aplicável, na medida permitida por lei.
| Objeto e duração | Prestação do Serviço durante a vigência do contrato. |
| Natureza e finalidade | Alojamento, processamento de IA, automações, CRM, analytics e funcionalidades configuradas pelo Cliente. |
| Categorias de titulares | Utilizadores, colaboradores, clientes e contactos do Cliente. |
| Categorias de dados | Identificação e contacto, dados profissionais, conteúdos/prompts, dados de uso e técnicos; dados sensíveis apenas se o Cliente os introduzir. |
Encriptação em trânsito e em repouso; isolamento lógico por tenant; RBAC e MFA; gestão de segredos; registos e monitorização; backups e disaster recovery; gestão de vulnerabilidades; segregação de ambientes; least privilege; resposta a incidentes. Detalhe na Security Policy.