Acordo de tratamento de dados #
Data de entrada em vigor: 22 de abril de 2026
Este Acordo de tratamento de dados (“DPA”) faz parte do acordo entre o cliente (“Responsável pelo tratamento”) e o EthicsPortal (“Subcontratante”) para a disponibilização da plataforma de denúncia EthicsPortal (“Serviço”).
Precisa de uma cópia assinada? Contacte legal@ethicsportal.eu para solicitar uma versão em PDF contra-assinada deste DPA para os seus registos.
1. Partes #
Responsável pelo tratamento: A organização que subscreve o EthicsPortal e determina as finalidades e os meios do tratamento de dados pessoais através do Serviço.
Subcontratante: EthicsPortal, operado por Yaroslav Shmarov, registado em ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia. Contacto: legal@ethicsportal.eu .
2. Âmbito e finalidade do tratamento #
O Subcontratante trata dados pessoais por conta do Responsável pelo tratamento exclusivamente para fornecer o Serviço, o que inclui:
- Receber e armazenar denúncias
- Permitir a comunicação segura entre denunciantes e gestores do caso
- Gerir fluxos de processos (atribuição, acompanhamento de estado, resolução)
- Gerar registos de auditoria e registos de conformidade
- Enviar notificações de email transacional aos gestores do caso e aos administradores da organização
- Processar pagamentos do Serviço
O Subcontratante não trata dados pessoais para qualquer finalidade que não seja a prestação do Serviço conforme instruído pelo Responsável pelo tratamento.
3. Tipos de dados pessoais tratados #
| Categoria de dados | Exemplos | Cifrados em repouso |
|---|---|---|
| Identidade do denunciante (opcional) | Nome, endereço de email, número de telefone | Sim (não determinística) |
| Conteúdo da denúncia | Descrição da preocupação denunciada | Sim (não determinística) |
| Conteúdo da comunicação | Mensagens entre o denunciante e o gestor do caso | Sim (não determinística) |
| Ficheiros anexados | Documentos, imagens, áudio, vídeo carregados pelos denunciantes | Armazenados com metadados removidos |
| Códigos de acesso | Códigos únicos usados pelos denunciantes para aceder às suas denúncias | Sim |
| Dados de gestores e administradores | Nome, endereço de email, função, adesão à organização | Não (dados operacionais) |
| Entradas do registo de auditoria | Datas/horas, identidade do ator, tipo de ação | Não (registos críticos para a integridade) |
| Dados técnicos | Endereços IP em hash unidirecional (não reversível) apenas para limitação de débito | Não aplicável (hash, não é dado pessoal) |
4. Categorias de titulares dos dados #
- Denunciantes — indivíduos que submetem denúncias através do portal (podem ser anónimos)
- Gestores do caso — indivíduos designados pelo Responsável pelo tratamento para receber e gerir denúncias
- Administradores da organização — indivíduos que gerem a conta e as definições do EthicsPortal do Responsável pelo tratamento
5. Duração do tratamento #
O Subcontratante trata dados pessoais durante a vigência da subscrição do Serviço pelo Responsável pelo tratamento. Após a cessação:
- O Responsável pelo tratamento pode exportar os seus dados antes do fim da subscrição.
- Os dados das denúncias são conservados de acordo com o prazo de conservação configurado pelo Responsável pelo tratamento (12, 24, 36, 48 ou 60 meses após o encerramento da denúncia) e depois eliminados permanentemente. Uma denúncia sem qualquer atividade durante 18 meses é encerrada automaticamente para que o prazo de conservação se inicie.
- Mediante pedido escrito, o Subcontratante eliminará todos os dados remanescentes do Responsável pelo tratamento no prazo de 30 dias após a cessação da subscrição, salvo se a conservação for exigida pela legislação aplicável.
6. Obrigações do Subcontratante #
6.1 Instruções de tratamento #
O Subcontratante trata dados pessoais apenas mediante instruções documentadas do Responsável pelo tratamento, salvo se a tal for obrigado pelo direito da UE ou de um Estado-Membro. Se surgir tal exigência legal, o Subcontratante informará o Responsável pelo tratamento antes do tratamento, salvo se a lei proibir tal notificação.
6.2 Confidencialidade #
Todas as pessoas autorizadas a tratar dados pessoais comprometeram-se com a confidencialidade ou estão sujeitas a uma adequada obrigação legal de confidencialidade.
6.3 Medidas de segurança #
O Subcontratante implementa e mantém as medidas técnicas e organizativas descritas na página de Segurança , incluindo:
- Cifragem não determinística em repouso para todos os dados sensíveis das denúncias
- Sem armazenamento de endereços IP brutos dos denunciantes na base de dados (hash unidirecional apenas para limitação de débito)
- Remoção automática dos metadados dos ficheiros (EXIF, GPS, dados do autor)
- Controlo de acesso baseado em funções com políticas de autorização Pundit
- Registo de atividades só com acrescentos para todas as ações
- Limitação de débito em todos os pontos de extremidade do portal público
- HTTPS/TLS para todas as ligações
- Proteção CSRF
As vulnerabilidades de segurança e as comunicações de incidentes podem ser enviadas para security@ethicsportal.eu . As questões de titulares dos dados e de natureza de EPD podem ser enviadas para privacy@ethicsportal.eu ou dpo@ethicsportal.eu .
6.4 Subcontratantes subsequentes #
O Subcontratante usa os subcontratantes subsequentes listados na Secção 8. O Subcontratante notificará o Responsável pelo tratamento com pelo menos 30 dias de antecedência face à adição ou substituição de um subcontratante subsequente. O Responsável pelo tratamento pode opor-se à alteração; se não se chegar a uma resolução, o Responsável pelo tratamento pode cessar o acordo.
6.5 Direitos dos titulares dos dados #
O Subcontratante apoia o Responsável pelo tratamento a responder a pedidos de titulares dos dados que exerçam os seus direitos ao abrigo do RGPD (acesso, retificação, apagamento, limitação, portabilidade, oposição), fornecendo as capacidades técnicas necessárias no Serviço.
6.6 Notificação de violação de dados #
Em caso de violação de dados pessoais, o Subcontratante notificará o Responsável pelo tratamento sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento da violação. A notificação incluirá:
- Uma descrição da natureza da violação
- As categorias e o número aproximado de titulares dos dados afetados
- As consequências prováveis da violação
- As medidas tomadas ou propostas para fazer face à violação
6.7 Avaliações de impacto sobre a proteção de dados #
O Subcontratante apoia o Responsável pelo tratamento nas avaliações de impacto sobre a proteção de dados e nas consultas prévias às autoridades de controlo, na medida em que as atividades de tratamento do Subcontratante exijam tal apoio.
6.8 Eliminação e devolução de dados #
Após a cessação do Serviço, o Subcontratante irá, à escolha do Responsável pelo tratamento:
- Devolver todos os dados pessoais ao Responsável pelo tratamento nos formatos de exportação disponibilizados pelo Serviço no momento da cessação, incluindo exportações de processos em PDF e anexos associados, ou
- Eliminar todos os dados pessoais e confirmar a eliminação por escrito
salvo se o direito da UE ou de um Estado-Membro exigir o armazenamento continuado.
Se o Responsável pelo tratamento razoavelmente necessitar de um formato de portabilidade adicional para migração ou revisão regulamentar, o Subcontratante avaliará o pedido de boa-fé e, quando tecnicamente exequível, fornecê-lo-á mediante pedido escrito separado.
6.9 Direitos de auditoria #
O Subcontratante disponibiliza ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações do artigo 28.º do RGPD. O Responsável pelo tratamento pode realizar auditorias, incluindo inspeções, diretamente ou através de um auditor mandatado, mediante aviso prévio razoável (pelo menos 30 dias) e durante o horário normal de expediente. O Subcontratante cooperará com tais auditorias.
6.10 Sem tratamento por IA ou LLM do conteúdo das denúncias #
O Subcontratante compromete-se a que os dados pessoais tratados ao abrigo deste DPA — incluindo o conteúdo das denúncias, a identidade do denunciante, as mensagens dos gestores, os ficheiros anexados e as entradas do registo de auditoria — não sejam transmitidos a qualquer grande modelo de linguagem, serviço de IA generativa ou classificador baseado em IA, quer seja operado pelo Subcontratante quer por um terceiro (incluindo, entre outros, OpenAI, Anthropic, Google e Mistral). O Serviço não realiza categorização, triagem, resumo, tradução ou sugestões de resposta com recurso a IA sobre dados pessoais. O Responsável pelo tratamento pode confiar neste compromisso ao avaliar as obrigações de decisão automatizada ao abrigo do Art. 22 do RGPD e ao definir o âmbito da divulgação de subcontratantes nos seus próprios avisos de privacidade e avaliações de impacto sobre a proteção de dados. Qualquer alteração a este compromisso seria uma alteração material do Serviço e seria notificada ao Responsável pelo tratamento ao abrigo da Secção 6.4 (Subcontratantes subsequentes) e da Secção 11 (Vigência e cessação).
A tradução automática estatística autoalojada que corre inteiramente em infraestrutura controlada pelo Subcontratante (nenhum dado sai da infraestrutura do Subcontratante, nenhuma chamada de inferência externa) não está abrangida por esta restrição e pode ser usada para traduzir mensagens do denunciante ou do gestor quando o Responsável pelo tratamento a tiver ativado.
Este compromisso é revisto anualmente. A data de “Última atualização” no topo deste DPA reflete a confirmação mais recente. Se o Subcontratante, a qualquer momento, pretender introduzir o tratamento por IA ou LLM de dados pessoais abrangidos por este DPA, o Subcontratante notificará o Responsável pelo tratamento em conformidade com a Secção 6.4 e a alteração só produzirá efeitos após o período de aviso aí indicado.
6.11 Chaves de cifragem geridas pelo cliente (BYOK) #
O Serviço não suporta chaves de cifragem geridas pelo cliente — quer sejam descritas como bring-your-own-key (BYOK), hold-your-own-key (HYOK) ou integração com um serviço externo de gestão de chaves (KMS). Trata-se de uma opção arquitetónica deliberada, não de uma limitação operacional, e assenta em duas garantias de confidencialidade e de ciclo de vida que o Subcontratante assume noutras partes deste DPA:
- Fronteira de chaves denunciante-gestor. Os dados pessoais abrangidos por este DPA são cifrados em repouso com chaves geridas pelo Subcontratante e mantidas dentro do Serviço. A fronteira de cifragem que protege a identidade do denunciante e o conteúdo da denúncia de partes externas é a mesma que os protege dos próprios administradores de TI do Responsável pelo tratamento. Encaminhar a custódia das chaves para o Responsável pelo tratamento deslocaria essa fronteira para o ambiente do Responsável pelo tratamento, onde os administradores do lado do Responsável pelo tratamento ficariam, em princípio, capazes de decifrar a identidade do denunciante — invertendo o modelo de confidencialidade exigido pelo Art. 16 da Diretiva 2019/1937.
- Garantia de eliminação de ponta a ponta. A eliminação baseada na conservação (Art. 5(1)(e) do RGPD) e a eliminação contratual na cessação (Secção 6.8 acima) assentam na capacidade do Subcontratante de destruir cripto e fisicamente os dados cifrados de forma independente do Responsável pelo tratamento. Uma chave detida pelo Responsável pelo tratamento criaria uma classe de falha em que o Subcontratante não poderia, por si só, garantir a eliminação completa dentro do prazo contratual.
O esquema de cifragem em repouso do Subcontratante, as propriedades de cifragem não determinística e o isolamento de chaves estão documentados na página de Segurança . Uma alteração a esta posição seria uma alteração material do Serviço e seria notificada ao Responsável pelo tratamento ao abrigo da Secção 6.4 (Subcontratantes subsequentes) e da Secção 11 (Vigência e cessação).
7. Obrigações do Responsável pelo tratamento #
O Responsável pelo tratamento é responsável por:
- Assegurar um fundamento jurídico para o tratamento de dados pessoais através do Serviço
- Fornecer os avisos de privacidade exigidos aos titulares dos dados (o EthicsPortal apresenta um aviso de privacidade no formulário de submissão do portal)
- Configurar prazos de conservação de dados adequados no Serviço
- Designar gestores e administradores autorizados
- Responder a pedidos de titulares dos dados, com o apoio do Subcontratante conforme descrito acima
8. Subcontratantes subsequentes #
Os seguintes subcontratantes subsequentes estão autorizados à data de entrada em vigor deste DPA:
| Subcontratante subsequente | Finalidade | Localização | Salvaguardas |
|---|---|---|---|
| Hetzner Online GmbH | Alojamento da aplicação, base de dados e armazenamento de anexos de ficheiros | Nuremberga, Alemanha (UE) | Dados tratados inteiramente na UE |
| Stripe Payments Europe, Ltd | Processamento de pagamentos | Irlanda (UE) | Nenhuma credencial de pagamento armazenada pelo Subcontratante; a Stripe é certificada PCI DSS Nível 1 |
| Mailjet (Sinch) | Entrega de email transacional | França (UE) | Dados tratados inteiramente na UE |
| Cloudflare, Inc. | CDN e entrega de borda para o site de marketing | Estados Unidos | As transferências, quando envolvem dados pessoais, assentam em cláusulas contratuais-tipo e em salvaguardas complementares |
| AppSignal B.V. | Monitorização de erros e do desempenho da aplicação para as interfaces de administrador e gestor | Países Baixos (UE) | Dados tratados inteiramente na UE; os endereços IP dos denunciantes nunca são registados |
| Crisp IM SARL | Chat de gestor na aplicação e apoio à verificação de identidade | França (UE) | Carregado apenas no portal do gestor; não é carregado no site de marketing nem nas páginas dirigidas aos denunciantes |
As análises de marketing (Cloudflare Web Analytics) são isentas de cookies e não tratam dados pessoais.
Sem subcontratante de IA ou LLM. Nenhum grande modelo de linguagem, serviço de IA generativa ou classificador baseado em IA é subcontratante subsequente do Subcontratante. Os dados pessoais tratados ao abrigo deste DPA não são transmitidos à OpenAI, Anthropic, Google, Mistral ou a qualquer outro fornecedor de inferência de IA. Ver a Secção 6.10.
9. Transferências internacionais de dados #
Os dados essenciais das denúncias, incluindo o conteúdo das denúncias e o armazenamento de anexos de ficheiros, são alojados na União Europeia (Hetzner, Alemanha). O processamento de pagamentos ocorre na UE (Stripe), e o email transacional é entregue a partir da UE (Mailjet, França).
Os pedidos ao site de marketing são encaminhados através da Cloudflare (CDN, Estados Unidos), que trata metadados de rede (endereços IP dos visitantes e cabeçalhos dos pedidos) para entrega de conteúdo e proteção contra DDoS. Nenhuma denúncia, dados de gestores ou dados de conta são partilhados com a Cloudflare. As transferências assentam em cláusulas contratuais-tipo e em salvaguardas complementares. O portal de denúncia e o portal do gestor não carregam a Cloudflare. A AppSignal (Países Baixos) e a Crisp (França) estão sediadas na UE; a Crisp é carregada apenas no portal do gestor.
10. Responsabilidade #
A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações de responsabilidade estabelecidas no acordo de serviço principal entre as partes. Na medida máxima permitida por lei, as reclamações decorrentes ou relacionadas com este DPA integram o mesmo limite agregado de responsabilidade aplicável ao Serviço.
11. Vigência e cessação #
Este DPA produz efeitos quando o Responsável pelo tratamento começa a usar o Serviço e mantém-se em vigor enquanto o Subcontratante tratar dados pessoais por conta do Responsável pelo tratamento. As obrigações deste DPA subsistem após a cessação na medida necessária para concluir a eliminação ou a devolução dos dados pessoais.
12. Lei aplicável #
Este DPA é regido pela lei da República da Polónia, sem consideração pelos princípios de conflitos de leis. Os tribunais competentes de Varsóvia, Polónia, têm jurisdição exclusiva sobre os litígios decorrentes deste DPA.
Contacto #
Para questões sobre este DPA ou para solicitar uma cópia assinada:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia legal@ethicsportal.eu
Última atualização: