Este Acordo de Tratamento («DPA») faz parte do acordo de serviços entre Multiuniversal UAB («Subcontratante») e o cliente («Responsável»). Aplica-se automaticamente a todos os engajamentos em que a Multiuniversal trata dados pessoais por conta do Responsável.
Para questões sobre este DPA contacte privacy@multiuniversal.com.
- Definições
- Âmbito e papéis
- Obrigações do Subcontratante
- Obrigações do Responsável
- Subcontratantes ulteriores
- Medidas de segurança
- Direitos do titular
- Violações de dados
- Transferências internacionais
- Direitos de auditoria
- Vigência e cessação
- Lei aplicável
- Calendário de tratamento
Definições
Neste DPA:
- «Responsável» significa o cliente que determina finalidades e meios do tratamento.
- «Subcontratante» significa Multiuniversal UAB, agindo segundo instruções do Responsável.
- «Dados Pessoais», «Titular», «Tratamento», «Autoridade de Controlo» e «Violação» têm o significado do RGPD.
- «RGPD» significa Regulamento (UE) 2016/679.
- «Serviços» significa serviços de infraestrutura IA, automação ou integração do Subcontratante.
- «Subcontratante ulterior» significa qualquer terceiro contratado pelo Subcontratante.
Âmbito e papéis
O Subcontratante fornece serviços de infraestrutura IA que podem envolver tratamento de dados pessoais por conta do Responsável. Neste contexto:
- O Responsável determina a base legal e propósito do tratamento.
- O Subcontratante trata dados apenas segundo instruções documentadas.
- Categorias, natureza e duração estão no Calendário de Tratamento por engajamento.
Obrigações do Subcontratante
O Subcontratante:
- Trata dados apenas segundo instruções documentadas, salvo exigência de direito UE ou estado-membro.
- Garante que pessoas autorizadas estão vinculadas por confidencialidade.
- Implementa medidas técnicas e organizacionais de segurança adequadas.
- Assiste o Responsável em obrigações de resposta a titulares.
- Assiste o Responsável no cumprimento de RGPD Art. 32–36.
- À escolha do Responsável, elimina ou devolve dados na cessação dos Serviços.
- Disponibiliza informação necessária para demonstrar conformidade e coopera com auditorias.
- Notifica imediatamente o Responsável se uma instrução violar o RGPD.
Obrigações do Responsável
O Responsável:
- Garante base legal válida sob RGPD Art. 6 para todos os dados fornecidos.
- Fornece instruções documentadas e notifica alterações.
- Garante que titulares foram informados conforme RGPD Art. 13 e 14.
- Não instrui tratamento que viole lei aplicável.
Subcontratantes ulteriores
O Subcontratante não contrata subcontratantes ulteriores sem autorização escrita prévia. Com autorização geral, notifica alterações dando 14 dias para objecção.
Qualquer subcontratante ulterior está vinculado por obrigações equivalentes. O Subcontratante permanece totalmente responsável.
A lista actual de subcontratantes aprovados é mantida em privacy@multiuniversal.com. Por defeito, inferência IA é on-premise.
Medidas de segurança
O Subcontratante implementa medidas técnicas e organizacionais adequadas ao risco:
| Medida | Implementação |
|---|---|
| Cifragem em trânsito | TLS 1.2+ para toda transmissão |
| Cifragem em repouso | Armazenamento cifrado para BD com dados pessoais |
| Controlo de acesso | Por papéis; menor privilégio; autenticação forte |
| Minimização | Apenas dados necessários |
| Tratamento IA on-premise | Inferência IA em servidores próprios — dados não saem do ambiente |
| Resposta a incidentes | Procedimentos documentados |
O Subcontratante revê e actualiza estas medidas periodicamente.
Direitos do titular
Considerando a natureza do tratamento, o Subcontratante assiste o Responsável a responder a pedidos de titulares sob Capítulo III RGPD.
Se o Subcontratante recebe pedido directo, encaminha-o ao Responsável e não responde directamente sem instrução.
Violações de dados
O Subcontratante notifica o Responsável sem demora — em qualquer caso em 48 horas — após conhecer uma Violação. A notificação inclui:
- Descrição da natureza, categorias e número aproximado de titulares e registos
- Nome e contacto do DPO
- Descrição de consequências prováveis
- Descrição de medidas tomadas
O Subcontratante coopera em mitigar efeitos. O Responsável permanece responsável pelas notificações sob RGPD Art. 33 e 34.
Transferências internacionais
A infraestrutura e pessoal do Subcontratante estão na Lituânia, estado-membro UE. Por defeito, dados não são transferidos para fora do EEE.
Se um engajamento requerer transferência para país terceiro, o Subcontratante notifica antecipadamente. Tal transferência está sujeita a salvaguardas RGPD Capítulo V.
Direitos de auditoria
O Subcontratante disponibiliza informação necessária. O Responsável pode auditar sob:
- Aviso escrito razoável de pelo menos 14 dias
- Auditoria em horas comerciais sem perturbar operações
- Auditor vinculado por confidencialidade equivalente
O Responsável suporta custos da auditoria salvo se revelar incumprimento material.
Vigência e cessação
Este DPA permanece em vigor durante o acordo. À cessação, o Subcontratante em 30 dias devolverá ou eliminará todos os dados à escolha do Responsável. Pode reter cópia até 3 anos para resolução de disputas.
Se retenção superior a 3 anos for exigida por lei UE ou estado-membro, o Subcontratante informará o Responsável.
Lei aplicável
Este DPA rege-se pela lei lituana. Disputas estão sujeitas à jurisdição exclusiva dos tribunais de Vilnius.
Se o Responsável está sujeito a leis de outro estado UE, nada limita o direito de queixa à autoridade local.
Calendário de tratamento
O seguinte calendário é completado por engajamento e faz parte deste DPA.
| Nome e endereço do Responsável | A completar por engajamento |
| Descrição de serviços | A completar por engajamento |
| Propósito do tratamento | A completar por engajamento |
| Categorias de dados pessoais | A completar por engajamento |
| Categorias de titulares | A completar por engajamento |
| Período de conservação | A completar por engajamento |
| Subcontratantes aprovados | Nenhum por defeito; listados se aplicável |
| Transferências internacionais | Nenhuma por defeito; mecanismo listado se aplicável |
Para um Calendário completado contacte privacy@multiuniversal.com.