Acordo de subcontratação (DPA)
Última atualização: 14 de julho de 2026
Acordo de subcontratação (DPA)
nos termos do art. 28.º, n.º 3 do Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados, RGPD)
entre
o utilizador do serviço Aegis, incluindo a extensão Chrome e a demo do site (a seguir, o «Responsável»)
e
Kaino GmbH
Grabenweg 68, 4.º andar E5_2
6020 Innsbruck, Áustria
N.º de IVA (UID): ATU77867578 · N.º de registo comercial (FN): 573644w
E-mail: aegis@kaino.io
(a seguir, o «Subcontratante»)
(a seguir, em conjunto, as «Partes»)
§ 1 Objeto e duração do tratamento
1.1 Objeto
Este acordo regula os direitos e as obrigações das Partes relacionados com o tratamento de dados pessoais pelo Subcontratante por conta do Responsável. Concretiza as obrigações das Partes em matéria de proteção de dados decorrentes da utilização do serviço Aegis, incluindo todos os planos (FREE, PLUS, PRO e ENTERPRISE), bem como a demo do site disponibilizada na página de produto («Try It»).
O Subcontratante trata os dados pessoais exclusivamente por conta e mediante instruções documentadas do Responsável (art. 28.º, n.º 3, alínea a) do RGPD), salvo se estiver obrigado ao tratamento pelo direito da União ou pelo direito do Estado-Membro a que está sujeito. Nesse caso, o Subcontratante informa o Responsável dessa exigência legal antes do tratamento, salvo se o direito aplicável proibir tal informação por motivos importantes de interesse público.
1.2 Duração
Para os subscritores, este acordo entra em vigor com a celebração da subscrição (Aegis PLUS ou Aegis PRO) e cessa automaticamente com a cessação da subscrição, independentemente do motivo. Para a utilização da demo do site, este acordo entra em vigor com o carregamento de um documento e cessa com a conclusão do respetivo tratamento. As obrigações decorrentes dos §§ 5, 7, 8 e 10 subsistem para além do termo do acordo, estando o direito de auditoria previsto no § 8 limitado a 60 dias após o termo do acordo.
§ 2 Natureza e finalidade do tratamento
2.1 Finalidade
Reconhecimento e pseudonimização de dados pessoais em documentos do Responsável mediante um tratamento assistido por IA, antes de esses documentos serem transmitidos a plataformas de chat de IA (como o ChatGPT, o Claude ou o Gemini).
2.2 Natureza do tratamento
- Receção de conteúdos de documentos encriptados (HTTPS/TLS)
- Reconhecimento de dados pessoais assistido por IA (Named Entity Recognition)
- Processamento OCR de ficheiros de imagem (PNG, JPEG, TIFF)
- Remoção de metadados incorporados em ficheiros de imagem
- Substituição dos dados pessoais reconhecidos por marcadores de posição
- Devolução ao Responsável do texto pseudonimizado e da correspondência dos marcadores de posição
2.3 Nenhum armazenamento
Os conteúdos dos documentos não são armazenados pelo Subcontratante após o tratamento. O tratamento é realizado exclusivamente em memória (In-Memory-Processing). Após a devolução do resultado, todos os dados dos documentos são imediatamente eliminados.
2.4 Nenhum treino de modelos
Os conteúdos dos documentos não são utilizados para treinar ou melhorar modelos de IA, nem pelo Subcontratante nem pelos subcontratantes ulteriores mencionados no § 6.1.
§ 3 Tipos de dados pessoais e categorias de titulares dos dados
3.1 Tipos de dados pessoais
Os documentos do Responsável podem conter, em particular, as seguintes categorias de dados pessoais:
- Nomes (nome próprio e apelido, títulos académicos)
- Dados de contacto (endereços de e-mail, números de telefone, moradas)
- Números de identificação (números da segurança social, números de documentos de identidade)
- Informações financeiras (números de cartão de crédito, dados bancários)
- Datas de nascimento
- Endereços IP
- Outros dados pessoais contidos nos documentos
Categorias especiais de dados pessoais (art. 9.º do RGPD): O Responsável é responsável por assegurar que o tratamento de categorias especiais de dados pessoais (p. ex., dados de saúde, dados biométricos) só ocorre quando existe um fundamento jurídico nos termos do art. 9.º, n.º 2 do RGPD. O Subcontratante não pode determinar tecnicamente, de forma antecipada, a presença de tais dados.
3.2 Categorias de titulares dos dados
Consoante os documentos do Responsável, podem ser afetados:
- Colaboradores e candidatos do Responsável
- Clientes e parceiros de negócio do Responsável
- Pacientes, mandantes, clientes
- Outras pessoas singulares mencionadas nos documentos
§ 4 Obrigações do Responsável
O Responsável é o único responsável pela licitude do tratamento de dados pessoais. Garante, em particular:
- que dispõe de um fundamento jurídico adequado para a transmissão de dados pessoais de terceiros ao Subcontratante (p. ex., art. 6.º, n.º 1, alínea f) do RGPD: interesse legítimo na pseudonimização);
- que informou os titulares dos dados sobre o tratamento, na medida em que tal seja exigível e juridicamente necessário (art. 13.º e 14.º do RGPD);
- que avaliou autonomamente os riscos para os direitos e liberdades dos titulares dos dados antes da transmissão;
- que as instruções dadas ao Subcontratante estão em conformidade com o RGPD.
§ 5 Obrigações do Subcontratante
5.1 Vinculação às instruções
O Subcontratante trata os dados pessoais exclusivamente mediante instruções documentadas do Responsável (inclusive no que respeita às transferências de dados pessoais para países terceiros ou organizações internacionais), salvo se estiver obrigado ao tratamento pelo direito da União ou pelo direito do Estado-Membro a que está sujeito (art. 28.º, n.º 3, alínea a) do RGPD).
A utilização do serviço Aegis em conformidade com os termos de utilização em vigor constitui a instrução documentada do Responsável. Instruções individuais adicionais requerem forma escrita (basta o e-mail), dirigidas a aegis@kaino.io.
5.2 Confidencialidade
O Subcontratante garante que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a uma obrigação legal de sigilo adequada (art. 28.º, n.º 3, alínea b) do RGPD).
5.3 Medidas técnicas e organizativas
O Subcontratante adota todas as medidas técnicas e organizativas exigidas pelo art. 32.º do RGPD para garantir um nível de proteção adequado ao risco. As medidas estão descritas no anexo 1 (no final deste acordo).
5.4 Assistência ao Responsável
O Subcontratante presta assistência ao Responsável, tendo em conta a natureza do tratamento:
- no cumprimento da obrigação de dar resposta aos pedidos de exercício dos direitos dos titulares dos dados previstos no capítulo III do RGPD (art. 28.º, n.º 3, alínea e) do RGPD);
- no cumprimento das obrigações previstas nos art. 32.º a 36.º do RGPD (segurança do tratamento, notificação de violações de dados pessoais, avaliação de impacto sobre a proteção de dados, consulta prévia) (art. 28.º, n.º 3, alínea f) do RGPD).
5.5 Notificação de violações de dados pessoais
O Subcontratante informa o Responsável sem demora injustificada após ter conhecimento de uma violação de dados pessoais (art. 33.º, n.º 2 do RGPD). A notificação contém, no mínimo:
- uma descrição da natureza da violação;
- as categorias e o número aproximado de titulares dos dados e de registos de dados afetados;
- uma descrição das consequências prováveis;
- uma descrição das medidas adotadas ou propostas.
A notificação é enviada por e-mail para o endereço de e-mail do Responsável registado na subscrição. Para os utilizadores da demo do site cujo endereço de e-mail não seja conhecido do Subcontratante, a notificação é feita por publicação no site do Subcontratante.
5.6 Informação sobre instruções ilícitas
O Subcontratante informa imediatamente o Responsável se considerar que uma instrução viola o RGPD ou outras disposições em matéria de proteção de dados (art. 28.º, n.º 3, segundo parágrafo do RGPD).
§ 6 Subcontratantes ulteriores
6.1 Subcontratantes ulteriores autorizados
O Responsável concede pelo presente ao Subcontratante uma autorização geral por escrito para recorrer aos seguintes subcontratantes ulteriores (art. 28.º, n.º 2 do RGPD):
| Subcontratante ulterior | Finalidade | Localização |
|---|---|---|
| OVHCloud SAS, Roubaix, França | Pseudonimização assistida por IA e processamento OCR de conteúdos de documentos (Zero Data Retention) | UE (França) |
| Scaleway SAS, Paris, França | Pseudonimização assistida por IA e processamento OCR de conteúdos de documentos (Zero Data Retention) | UE (França) |
| Hetzner Online GmbH, Gunzenhausen, Alemanha | Alojamento de servidores e infraestrutura da API (aegis.kaino.io), alojamento do site e processamento dos carregamentos de documentos da demo | Alemanha |
O Subcontratante celebrou com todos os subcontratantes ulteriores contratos nos termos do art. 28.º, n.º 4 do RGPD, que lhes impõem as mesmas obrigações de proteção de dados que as estabelecidas neste acordo.
6.2 Alterações de subcontratantes ulteriores
O Subcontratante informa previamente o Responsável de qualquer adição ou substituição prevista de subcontratantes ulteriores e dá ao Responsável a possibilidade de se opor a essas alterações (art. 28.º, n.º 2 do RGPD).
A informação é prestada mediante a atualização da lista de subcontratantes ulteriores no site do Subcontratante (política de privacidade, secção 12), bem como por e-mail ao Responsável, com pelo menos 30 dias de antecedência relativamente à alteração prevista.
Se o Responsável apresentar uma oposição fundamentada no prazo de 30 dias a contar da notificação, as Partes procuram alcançar uma solução por mútuo acordo. Se não for possível chegar a acordo, o Responsável tem um direito de resolução extraordinária da subscrição.
6.3 Nenhuma transferência para países terceiros
Todo o processamento de documentos ocorre exclusivamente dentro da UE/do EEE. O Subcontratante não transmite conteúdos de documentos para países terceiros.
§ 7 Apagamento e devolução de dados
7.1 Durante o tratamento
Os conteúdos dos documentos são eliminados imediata e automaticamente após a conclusão da pseudonimização. Não há qualquer armazenamento permanente de conteúdos de documentos.
7.2 Após o termo do acordo
O Subcontratante apaga, no prazo de 30 dias após a cessação da subscrição, todos os dados pessoais relacionados com a subcontratação, salvo se a sua conservação for exigida pelo direito da União ou do Estado-Membro (art. 28.º, n.º 3, alínea g) do RGPD).
Uma vez que não há armazenamento permanente de conteúdos de documentos, o apagamento limita-se a:
- Dados principais do cliente (endereço de e-mail, nome, nome da empresa): anonimização irreversível no prazo de 30 dias após a cessação da subscrição
- Estatísticas de utilização: anonimização no prazo de 30 dias após a cessação da subscrição
- Registos de acesso ao servidor: eliminação automática após 30 dias
§ 8 Direitos de controlo e auditoria
8.1 Direito de auditoria do Responsável
O Subcontratante disponibiliza ao Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º do RGPD e permite e contribui para auditorias (incluindo inspeções) conduzidas pelo Responsável ou por um auditor por este mandatado (art. 28.º, n.º 3, alínea h) do RGPD).
8.2 Realização
As auditorias são realizadas nas seguintes condições:
- Anúncio por escrito com, pelo menos, 30 dias de antecedência (basta o e-mail)
- Realização durante o horário comercial habitual
- O auditor está vinculado à confidencialidade
- A auditoria não pode prejudicar de forma desproporcionada a atividade do Subcontratante
- No máximo, uma auditoria por ano civil, salvo se um motivo concreto exigir uma auditoria adicional
8.3 Comprovação
O Subcontratante também pode demonstrar o cumprimento das suas obrigações mediante a apresentação de um certificado atual, de um relatório de auditoria ou de um extrato deste, emitido por um auditor independente.
§ 9 Responsabilidade
A responsabilidade das Partes rege-se pelo art. 82.º do RGPD. Quanto ao demais, aplicam-se as disposições gerais de responsabilidade dos termos de utilização do Aegis.
§ 10 Disposições finais
10.1 Prevalência
Em caso de contradição entre este DPA e outros acordos entre as Partes (incluindo os termos de utilização), este DPA prevalece no que respeita à proteção de dados pessoais.
10.2 Alterações
As alterações a este acordo requerem forma de texto. As alterações substanciais são comunicadas ao Responsável com, pelo menos, 30 dias de antecedência relativamente à sua entrada em vigor. Se o Responsável não se opuser no prazo de 30 dias a contar da notificação, a alteração considera-se aceite.
10.3 Direito aplicável e foro
Este acordo rege-se pelo direito austríaco. O foro competente é Innsbruck, Áustria, na medida em que a lei o permita.
10.4 Cláusula de salvaguarda
Se alguma disposição deste acordo for inválida ou inexequível, as restantes disposições não são afetadas. A disposição inválida é substituída por uma disposição válida que mais se aproxime da finalidade económica.
Anexo 1: Medidas técnicas e organizativas (art. 32.º do RGPD)
A Kaino GmbH não opera centros de dados próprios. As medidas de segurança física (controlo de acesso, alimentação elétrica, proteção contra incêndios, climatização) são garantidas pelos fornecedores de infraestrutura Hetzner Online GmbH (Alemanha, ISO 27001), OVHCloud SAS (França, ISO 27001) e Scaleway SAS (França, ISO 27001). Quanto às suas medidas técnicas e organizativas, remetemos para:
- Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
- OVHCloud SAS: ovhcloud.com/de/personal-data-protection
- Scaleway SAS: scaleway.com/en/privacy-policy
A Kaino GmbH é responsável pelas seguintes medidas do lado da aplicação:
1. Tratamento transitório (característica de segurança essencial)
Os conteúdos dos documentos são tratados exclusivamente em memória (In-Memory-Processing) e imediatamente descartados após a devolução do resultado. Não há qualquer armazenamento permanente de conteúdos de documentos. Este princípio de arquitetura elimina riscos essenciais da conservação de dados: em caso de falha do sistema, não se perdem dados de documentos, porque nenhum está armazenado. O princípio de Zero Data Retention aplica-se de forma contínua ao longo de toda a cadeia de tratamento, incluindo os subcontratantes ulteriores OVHCloud e Scaleway.
Minimização dos dados através de pré-processamento baseado em regras: Antes da transmissão para o tratamento assistido por IA, a Kaino GmbH realiza do lado do servidor um pré-processamento baseado em regras, no qual os dados pessoais já reconhecidos (p. ex., nomes, endereços de e-mail, números de telefone) são substituídos por marcadores de posição. Os conteúdos transmitidos aos modelos de IA estão, portanto, já parcialmente pseudonimizados, reduzindo-se assim a quantidade de dados pessoais tratados pelos subcontratantes ulteriores ao mínimo tecnicamente necessário.
2. Confidencialidade (art. 32.º, n.º 1, alínea b) do RGPD)
| Medida | Implementação |
|---|---|
| Controlo de acesso ao sistema | Acesso à API exclusivamente com uma chave de produto válida; nenhum acesso anónimo |
| Controlo de acesso aos dados | Acesso aos servidores limitado a um círculo de pessoas estritamente restrito; acesso por SSH com autenticação por chave; autenticação de dois fatores (2FA) para todos os sistemas; princípio do privilégio mínimo |
| Controlo de separação | Separação de clientes através de chaves de produto individuais; nenhum tratamento de dados entre clientes |
| Obrigação de confidencialidade | Todas as pessoas com acesso a dados pessoais estão vinculadas à confidencialidade (§ 5.2 deste acordo) |
3. Integridade (art. 32.º, n.º 1, alínea b) do RGPD)
| Medida | Implementação |
|---|---|
| Controlo de transmissão | Transmissão exclusivamente encriptada (HTTPS/TLS); nenhuma ligação não encriptada |
| Controlo de introdução | Registo dos acessos à API (registos de acesso ao servidor, conservação de 30 dias) |
4. Disponibilidade e resiliência (art. 32.º, n.º 1, alíneas b) e c) do RGPD)
A disponibilidade e a resiliência são garantidas pelos fornecedores de infraestrutura (alimentação elétrica redundante, ligação de rede, climatização). Uma vez que não há armazenamento permanente de conteúdos de documentos, não são necessários procedimentos de cópia de segurança e recuperação para os dados de documentos.
5. Encriptação e pseudonimização (art. 32.º, n.º 1, alínea a) do RGPD)
| Medida | Implementação |
|---|---|
| Encriptação do transporte | HTTPS/TLS para toda a comunicação com a API |
| Encriptação do armazenamento | Encryption-at-Rest para os dados principais do cliente (endereço de e-mail, nome, nome da empresa) |
| Pseudonimização | Função essencial do serviço: substituição de dados pessoais por marcadores de posição |
6. Verificação (art. 32.º, n.º 1, alínea d) do RGPD)
| Medida | Implementação |
|---|---|
| Verificação periódica | Avaliação anual da eficácia das medidas técnicas e organizativas |
| Verificação por ocorrência ou alteração | Verificação das medidas técnicas e organizativas em caso de alterações na infraestrutura, incidentes de segurança e alterações dos subcontratantes ulteriores |
| Controlo das subcontratações | Acordos de subcontratação celebrados com todos os subcontratantes ulteriores; verificação em caso de alterações contratuais ou mudança de fornecedor |
Kaino GmbH