Data Processing Agreement

Este DPA é parte integrante dos Termos de Serviço e regula o tratamento de dados pessoais que o blipee faz por conta do Cliente (Controlador) no âmbito da prestação do serviço.

Vigência: a do contrato principal.

O Cliente é o responsável pelo tratamento.

A GRNL, Lda. ("blipee"), com sede na Rua Teixeira de Pascoais, 1, Estoril, NIF 517262100, é o subcontratante.

Quando a blipee determina meios e finalidades para os seus próprios fins (por exemplo, dados de faturação ou métricas operacionais agregadas), atua como responsável autónomo — coberto pela Política de Privacidade.

A blipee trata dados pessoais apenas conforme as instruções do Cliente, expressas no contrato e na configuração da plataforma.

Instruções ad-hoc devem ser enviadas por escrito para dpa@blipee.com.

Se uma instrução violar a lei aplicável, o blipee informará o Cliente sem demora indevida.

Todo o pessoal blipee com acesso a dados pessoais está vinculado por NDA com obrigações de confidencialidade que sobrevivem à cessação do vínculo.

Acessos são auditados e seguem princípio do menor privilégio.

A lista atualizada de subprocessadores, com identidade, localização e finalidade de cada um, está disponível no Trust center e é parte integrante deste DPA.

Informamos o Cliente de qualquer alteração à lista com, pelo menos, 30 dias de antecedência, durante os quais o Cliente se pode opor por motivo razoável relacionado com proteção de dados. Não havendo oposição nesse prazo, a alteração considera-se aceite.

Garantimos contratualmente que cada subprocessador cumpre obrigações equivalentes às nossas.

Os dados pessoais são alojados na União Europeia (EEE).

Quando, excecionalmente, subprocessadores operem fora da UE/EEE, usamos as Cláusulas Contratuais-Tipo (Decisão 2021/914 da Comissão Europeia) com salvaguardas adicionais quando necessário.

Quando recebemos um pedido diretamente de um titular relativo a dados que tratamos por conta do Cliente, não respondemos diretamente e encaminhamo-lo para o Cliente sem demora injustificada.

Pedidos relativos a dados que a blipee trata como responsável autónomo seguem a Política de Privacidade.

Damos ao Cliente ferramentas para responder a pedidos (acesso, retificação, apagamento, portabilidade) através da plataforma e API.

Notificamos o Cliente de qualquer violação de dados pessoais sem demora injustificada após termos conhecimento dela, de modo a permitir-lhe cumprir os seus próprios prazos de notificação à autoridade de controlo.

A notificação inclui a natureza da violação, as categorias e o número aproximado de titulares e de registos afetados, as consequências prováveis e as medidas tomadas ou propostas.

O Cliente pode auditar o cumprimento deste DPA uma vez por ano, com pré-aviso de 30 dias.

Alternativamente, aceitamos auditorias por terceiro independente mediante NDA.

Quando o relatório SOC 2 estiver concluído, será disponibilizado sob NDA para cobrir a maioria dos pedidos de auditoria.

Após cessação do contrato: exportação dos dados em formatos padrão num prazo de 30 dias, a pedido do Cliente.

Apagamento definitivo (inclui backups) em 90 dias após cessação, salvo retenção exigida por lei.