← Trust & Compliance Center
ENP Ecosystem · Global Compliance Framework v1.0

Data Processing Agreement (DPA)

Versão 1.0 · Última atualização: 8 de junho de 2026 · Documento assinável para clientes empresariais

EasyNet ProEnenginCloudinTec

Este DPA aplica-se quando tratamos dados pessoais por conta de um cliente empresarial ("Cliente") no âmbito da prestação do Serviço, e integra os Terms of Service. Reflete o art. 28.º do RGPD e cláusulas equivalentes (UK GDPR, LGPD, etc.). Para o disponibilizarmos assinado, contacte privacy@enengin.com.

1. Papéis

O Cliente é o Responsável pelo Tratamento (Controller); nós somos o Subcontratante (Processor). Quando recorremos a terceiros para prestar o Serviço, estes atuam como subprocessadores. Os detalhes do tratamento (Anexo I) e as medidas de segurança (Anexo II) fazem parte deste DPA.

2. Tratamento sob instruções

Tratamos dados pessoais apenas com base nas instruções documentadas do Cliente (incluindo a configuração do Serviço), salvo obrigação legal — caso em que informaremos o Cliente, salvo proibição legal. Informamos o Cliente se considerarmos que uma instrução viola a legislação de proteção de dados.

3. Confidencialidade

Garantimos que as pessoas autorizadas a tratar dados pessoais estão sujeitas a deveres de confidencialidade e recebem formação adequada.

4. Segurança

Implementamos medidas técnicas e organizativas adequadas ao risco (Anexo II e Security Policy), incluindo encriptação, isolamento por tenant, controlo de acessos, registos e resiliência.

5. Subprocessadores

O Cliente autoriza, de forma geral, o recurso aos subprocessadores listados em /subprocessors. Informaremos com antecedência razoável alterações (adição/substituição), permitindo objeção fundamentada. Impomos aos subprocessadores obrigações de proteção de dados equivalentes às deste DPA.

6. Apoio aos direitos dos titulares

Tendo em conta a natureza do tratamento, prestamos assistência razoável ao Cliente para responder a pedidos de exercício de direitos (acesso, retificação, apagamento, portabilidade, oposição, limitação), através de funcionalidades do Serviço ou apoio dedicado.

7. Apoio a obrigações de compliance

Apoiamos o Cliente no cumprimento das obrigações dos arts. 32.º a 36.º do RGPD (segurança, notificação de violações, avaliações de impacto, consulta prévia), na medida adequada à informação disponível.

8. Notificação de violações

Notificamos o Cliente sem demora injustificada após tomarmos conhecimento de uma violação de dados pessoais que afete os seus dados, fornecendo a informação razoavelmente disponível para o Cliente cumprir as suas obrigações de notificação.

9. Devolução e eliminação

No termo da prestação, e à escolha do Cliente, eliminamos ou devolvemos os dados pessoais e eliminamos as cópias existentes, salvo obrigação legal de conservação. Os dados em backups expiram conforme a Data Retention Policy.

10. Auditorias

Disponibilizamos informação razoável para demonstrar conformidade e permitimos auditorias (incluindo inspeções) conduzidas pelo Cliente ou por auditor mandatado, com aviso prévio razoável e sujeitas a confidencialidade, podendo ser satisfeitas por relatórios/certificações aplicáveis.

11. Transferências internacionais

Quando transferimos dados para fora do EEE/UK, aplicamos mecanismos válidos: decisões de adequação, Cláusulas Contratuais-Tipo (SCCs) (e UK Addendum/IDTA quando aplicável), EU-US Data Privacy Framework quando aplicável, e medidas suplementares. Ver Data Residency Policy.

12. Responsabilidade

A responsabilidade ao abrigo deste DPA está sujeita aos limites acordados nos Terms of Service ou no contrato enterprise aplicável, na medida permitida por lei.

Anexo I — Detalhes do tratamento

Objeto e duraçãoPrestação do Serviço durante a vigência do contrato.
Natureza e finalidadeAlojamento, processamento de IA, automações, CRM, analytics e funcionalidades configuradas pelo Cliente.
Categorias de titularesUtilizadores, colaboradores, clientes e contactos do Cliente.
Categorias de dadosIdentificação e contacto, dados profissionais, conteúdos/prompts, dados de uso e técnicos; dados sensíveis apenas se o Cliente os introduzir.

Anexo II — Medidas técnicas e organizativas

Encriptação em trânsito e em repouso; isolamento lógico por tenant; RBAC e MFA; gestão de segredos; registos e monitorização; backups e disaster recovery; gestão de vulnerabilidades; segregação de ambientes; least privilege; resposta a incidentes. Detalhe na Security Policy.