Acordo de subcontratação (DPA)

Última atualização: 14 de julho de 2026

Acordo de subcontratação (DPA)

nos termos do art. 28.º, n.º 3 do Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados, RGPD)

entre

o utilizador do serviço Aegis, incluindo a extensão Chrome e a demo do site (a seguir, o «Responsável»)

e

Kaino GmbH
Grabenweg 68, 4.º andar E5_2
6020 Innsbruck, Áustria
N.º de IVA (UID): ATU77867578 · N.º de registo comercial (FN): 573644w
E-mail: aegis@kaino.io
(a seguir, o «Subcontratante»)

(a seguir, em conjunto, as «Partes»)

§ 1 Objeto e duração do tratamento

1.1 Objeto

Este acordo regula os direitos e as obrigações das Partes relacionados com o tratamento de dados pessoais pelo Subcontratante por conta do Responsável. Concretiza as obrigações das Partes em matéria de proteção de dados decorrentes da utilização do serviço Aegis, incluindo todos os planos (FREE, PLUS, PRO e ENTERPRISE), bem como a demo do site disponibilizada na página de produto («Try It»).

O Subcontratante trata os dados pessoais exclusivamente por conta e mediante instruções documentadas do Responsável (art. 28.º, n.º 3, alínea a) do RGPD), salvo se estiver obrigado ao tratamento pelo direito da União ou pelo direito do Estado-Membro a que está sujeito. Nesse caso, o Subcontratante informa o Responsável dessa exigência legal antes do tratamento, salvo se o direito aplicável proibir tal informação por motivos importantes de interesse público.

1.2 Duração

Para os subscritores, este acordo entra em vigor com a celebração da subscrição (Aegis PLUS ou Aegis PRO) e cessa automaticamente com a cessação da subscrição, independentemente do motivo. Para a utilização da demo do site, este acordo entra em vigor com o carregamento de um documento e cessa com a conclusão do respetivo tratamento. As obrigações decorrentes dos §§ 5, 7, 8 e 10 subsistem para além do termo do acordo, estando o direito de auditoria previsto no § 8 limitado a 60 dias após o termo do acordo.

§ 2 Natureza e finalidade do tratamento

2.1 Finalidade

Reconhecimento e pseudonimização de dados pessoais em documentos do Responsável mediante um tratamento assistido por IA, antes de esses documentos serem transmitidos a plataformas de chat de IA (como o ChatGPT, o Claude ou o Gemini).

2.2 Natureza do tratamento

2.3 Nenhum armazenamento

Os conteúdos dos documentos não são armazenados pelo Subcontratante após o tratamento. O tratamento é realizado exclusivamente em memória (In-Memory-Processing). Após a devolução do resultado, todos os dados dos documentos são imediatamente eliminados.

2.4 Nenhum treino de modelos

Os conteúdos dos documentos não são utilizados para treinar ou melhorar modelos de IA, nem pelo Subcontratante nem pelos subcontratantes ulteriores mencionados no § 6.1.

§ 3 Tipos de dados pessoais e categorias de titulares dos dados

3.1 Tipos de dados pessoais

Os documentos do Responsável podem conter, em particular, as seguintes categorias de dados pessoais:

Categorias especiais de dados pessoais (art. 9.º do RGPD): O Responsável é responsável por assegurar que o tratamento de categorias especiais de dados pessoais (p. ex., dados de saúde, dados biométricos) só ocorre quando existe um fundamento jurídico nos termos do art. 9.º, n.º 2 do RGPD. O Subcontratante não pode determinar tecnicamente, de forma antecipada, a presença de tais dados.

3.2 Categorias de titulares dos dados

Consoante os documentos do Responsável, podem ser afetados:

§ 4 Obrigações do Responsável

O Responsável é o único responsável pela licitude do tratamento de dados pessoais. Garante, em particular:

  1. que dispõe de um fundamento jurídico adequado para a transmissão de dados pessoais de terceiros ao Subcontratante (p. ex., art. 6.º, n.º 1, alínea f) do RGPD: interesse legítimo na pseudonimização);
  2. que informou os titulares dos dados sobre o tratamento, na medida em que tal seja exigível e juridicamente necessário (art. 13.º e 14.º do RGPD);
  3. que avaliou autonomamente os riscos para os direitos e liberdades dos titulares dos dados antes da transmissão;
  4. que as instruções dadas ao Subcontratante estão em conformidade com o RGPD.

§ 5 Obrigações do Subcontratante

5.1 Vinculação às instruções

O Subcontratante trata os dados pessoais exclusivamente mediante instruções documentadas do Responsável (inclusive no que respeita às transferências de dados pessoais para países terceiros ou organizações internacionais), salvo se estiver obrigado ao tratamento pelo direito da União ou pelo direito do Estado-Membro a que está sujeito (art. 28.º, n.º 3, alínea a) do RGPD).

A utilização do serviço Aegis em conformidade com os termos de utilização em vigor constitui a instrução documentada do Responsável. Instruções individuais adicionais requerem forma escrita (basta o e-mail), dirigidas a aegis@kaino.io.

5.2 Confidencialidade

O Subcontratante garante que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a uma obrigação legal de sigilo adequada (art. 28.º, n.º 3, alínea b) do RGPD).

5.3 Medidas técnicas e organizativas

O Subcontratante adota todas as medidas técnicas e organizativas exigidas pelo art. 32.º do RGPD para garantir um nível de proteção adequado ao risco. As medidas estão descritas no anexo 1 (no final deste acordo).

5.4 Assistência ao Responsável

O Subcontratante presta assistência ao Responsável, tendo em conta a natureza do tratamento:

  1. no cumprimento da obrigação de dar resposta aos pedidos de exercício dos direitos dos titulares dos dados previstos no capítulo III do RGPD (art. 28.º, n.º 3, alínea e) do RGPD);
  2. no cumprimento das obrigações previstas nos art. 32.º a 36.º do RGPD (segurança do tratamento, notificação de violações de dados pessoais, avaliação de impacto sobre a proteção de dados, consulta prévia) (art. 28.º, n.º 3, alínea f) do RGPD).

5.5 Notificação de violações de dados pessoais

O Subcontratante informa o Responsável sem demora injustificada após ter conhecimento de uma violação de dados pessoais (art. 33.º, n.º 2 do RGPD). A notificação contém, no mínimo:

A notificação é enviada por e-mail para o endereço de e-mail do Responsável registado na subscrição. Para os utilizadores da demo do site cujo endereço de e-mail não seja conhecido do Subcontratante, a notificação é feita por publicação no site do Subcontratante.

5.6 Informação sobre instruções ilícitas

O Subcontratante informa imediatamente o Responsável se considerar que uma instrução viola o RGPD ou outras disposições em matéria de proteção de dados (art. 28.º, n.º 3, segundo parágrafo do RGPD).

§ 6 Subcontratantes ulteriores

6.1 Subcontratantes ulteriores autorizados

O Responsável concede pelo presente ao Subcontratante uma autorização geral por escrito para recorrer aos seguintes subcontratantes ulteriores (art. 28.º, n.º 2 do RGPD):

Subcontratante ulteriorFinalidadeLocalização
OVHCloud SAS, Roubaix, FrançaPseudonimização assistida por IA e processamento OCR de conteúdos de documentos (Zero Data Retention)UE (França)
Scaleway SAS, Paris, FrançaPseudonimização assistida por IA e processamento OCR de conteúdos de documentos (Zero Data Retention)UE (França)
Hetzner Online GmbH, Gunzenhausen, AlemanhaAlojamento de servidores e infraestrutura da API (aegis.kaino.io), alojamento do site e processamento dos carregamentos de documentos da demoAlemanha

O Subcontratante celebrou com todos os subcontratantes ulteriores contratos nos termos do art. 28.º, n.º 4 do RGPD, que lhes impõem as mesmas obrigações de proteção de dados que as estabelecidas neste acordo.

6.2 Alterações de subcontratantes ulteriores

O Subcontratante informa previamente o Responsável de qualquer adição ou substituição prevista de subcontratantes ulteriores e dá ao Responsável a possibilidade de se opor a essas alterações (art. 28.º, n.º 2 do RGPD).

A informação é prestada mediante a atualização da lista de subcontratantes ulteriores no site do Subcontratante (política de privacidade, secção 12), bem como por e-mail ao Responsável, com pelo menos 30 dias de antecedência relativamente à alteração prevista.

Se o Responsável apresentar uma oposição fundamentada no prazo de 30 dias a contar da notificação, as Partes procuram alcançar uma solução por mútuo acordo. Se não for possível chegar a acordo, o Responsável tem um direito de resolução extraordinária da subscrição.

6.3 Nenhuma transferência para países terceiros

Todo o processamento de documentos ocorre exclusivamente dentro da UE/do EEE. O Subcontratante não transmite conteúdos de documentos para países terceiros.

§ 7 Apagamento e devolução de dados

7.1 Durante o tratamento

Os conteúdos dos documentos são eliminados imediata e automaticamente após a conclusão da pseudonimização. Não há qualquer armazenamento permanente de conteúdos de documentos.

7.2 Após o termo do acordo

O Subcontratante apaga, no prazo de 30 dias após a cessação da subscrição, todos os dados pessoais relacionados com a subcontratação, salvo se a sua conservação for exigida pelo direito da União ou do Estado-Membro (art. 28.º, n.º 3, alínea g) do RGPD).

Uma vez que não há armazenamento permanente de conteúdos de documentos, o apagamento limita-se a:

§ 8 Direitos de controlo e auditoria

8.1 Direito de auditoria do Responsável

O Subcontratante disponibiliza ao Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º do RGPD e permite e contribui para auditorias (incluindo inspeções) conduzidas pelo Responsável ou por um auditor por este mandatado (art. 28.º, n.º 3, alínea h) do RGPD).

8.2 Realização

As auditorias são realizadas nas seguintes condições:

  1. Anúncio por escrito com, pelo menos, 30 dias de antecedência (basta o e-mail)
  2. Realização durante o horário comercial habitual
  3. O auditor está vinculado à confidencialidade
  4. A auditoria não pode prejudicar de forma desproporcionada a atividade do Subcontratante
  5. No máximo, uma auditoria por ano civil, salvo se um motivo concreto exigir uma auditoria adicional

8.3 Comprovação

O Subcontratante também pode demonstrar o cumprimento das suas obrigações mediante a apresentação de um certificado atual, de um relatório de auditoria ou de um extrato deste, emitido por um auditor independente.

§ 9 Responsabilidade

A responsabilidade das Partes rege-se pelo art. 82.º do RGPD. Quanto ao demais, aplicam-se as disposições gerais de responsabilidade dos termos de utilização do Aegis.

§ 10 Disposições finais

10.1 Prevalência

Em caso de contradição entre este DPA e outros acordos entre as Partes (incluindo os termos de utilização), este DPA prevalece no que respeita à proteção de dados pessoais.

10.2 Alterações

As alterações a este acordo requerem forma de texto. As alterações substanciais são comunicadas ao Responsável com, pelo menos, 30 dias de antecedência relativamente à sua entrada em vigor. Se o Responsável não se opuser no prazo de 30 dias a contar da notificação, a alteração considera-se aceite.

10.3 Direito aplicável e foro

Este acordo rege-se pelo direito austríaco. O foro competente é Innsbruck, Áustria, na medida em que a lei o permita.

10.4 Cláusula de salvaguarda

Se alguma disposição deste acordo for inválida ou inexequível, as restantes disposições não são afetadas. A disposição inválida é substituída por uma disposição válida que mais se aproxime da finalidade económica.

Anexo 1: Medidas técnicas e organizativas (art. 32.º do RGPD)

A Kaino GmbH não opera centros de dados próprios. As medidas de segurança física (controlo de acesso, alimentação elétrica, proteção contra incêndios, climatização) são garantidas pelos fornecedores de infraestrutura Hetzner Online GmbH (Alemanha, ISO 27001), OVHCloud SAS (França, ISO 27001) e Scaleway SAS (França, ISO 27001). Quanto às suas medidas técnicas e organizativas, remetemos para:

A Kaino GmbH é responsável pelas seguintes medidas do lado da aplicação:

1. Tratamento transitório (característica de segurança essencial)

Os conteúdos dos documentos são tratados exclusivamente em memória (In-Memory-Processing) e imediatamente descartados após a devolução do resultado. Não há qualquer armazenamento permanente de conteúdos de documentos. Este princípio de arquitetura elimina riscos essenciais da conservação de dados: em caso de falha do sistema, não se perdem dados de documentos, porque nenhum está armazenado. O princípio de Zero Data Retention aplica-se de forma contínua ao longo de toda a cadeia de tratamento, incluindo os subcontratantes ulteriores OVHCloud e Scaleway.

Minimização dos dados através de pré-processamento baseado em regras: Antes da transmissão para o tratamento assistido por IA, a Kaino GmbH realiza do lado do servidor um pré-processamento baseado em regras, no qual os dados pessoais já reconhecidos (p. ex., nomes, endereços de e-mail, números de telefone) são substituídos por marcadores de posição. Os conteúdos transmitidos aos modelos de IA estão, portanto, já parcialmente pseudonimizados, reduzindo-se assim a quantidade de dados pessoais tratados pelos subcontratantes ulteriores ao mínimo tecnicamente necessário.

2. Confidencialidade (art. 32.º, n.º 1, alínea b) do RGPD)

MedidaImplementação
Controlo de acesso ao sistemaAcesso à API exclusivamente com uma chave de produto válida; nenhum acesso anónimo
Controlo de acesso aos dadosAcesso aos servidores limitado a um círculo de pessoas estritamente restrito; acesso por SSH com autenticação por chave; autenticação de dois fatores (2FA) para todos os sistemas; princípio do privilégio mínimo
Controlo de separaçãoSeparação de clientes através de chaves de produto individuais; nenhum tratamento de dados entre clientes
Obrigação de confidencialidadeTodas as pessoas com acesso a dados pessoais estão vinculadas à confidencialidade (§ 5.2 deste acordo)

3. Integridade (art. 32.º, n.º 1, alínea b) do RGPD)

MedidaImplementação
Controlo de transmissãoTransmissão exclusivamente encriptada (HTTPS/TLS); nenhuma ligação não encriptada
Controlo de introduçãoRegisto dos acessos à API (registos de acesso ao servidor, conservação de 30 dias)

4. Disponibilidade e resiliência (art. 32.º, n.º 1, alíneas b) e c) do RGPD)

A disponibilidade e a resiliência são garantidas pelos fornecedores de infraestrutura (alimentação elétrica redundante, ligação de rede, climatização). Uma vez que não há armazenamento permanente de conteúdos de documentos, não são necessários procedimentos de cópia de segurança e recuperação para os dados de documentos.

5. Encriptação e pseudonimização (art. 32.º, n.º 1, alínea a) do RGPD)

MedidaImplementação
Encriptação do transporteHTTPS/TLS para toda a comunicação com a API
Encriptação do armazenamentoEncryption-at-Rest para os dados principais do cliente (endereço de e-mail, nome, nome da empresa)
PseudonimizaçãoFunção essencial do serviço: substituição de dados pessoais por marcadores de posição

6. Verificação (art. 32.º, n.º 1, alínea d) do RGPD)

MedidaImplementação
Verificação periódicaAvaliação anual da eficácia das medidas técnicas e organizativas
Verificação por ocorrência ou alteraçãoVerificação das medidas técnicas e organizativas em caso de alterações na infraestrutura, incidentes de segurança e alterações dos subcontratantes ulteriores
Controlo das subcontrataçõesAcordos de subcontratação celebrados com todos os subcontratantes ulteriores; verificação em caso de alterações contratuais ou mudança de fornecedor

Kaino GmbH