Última atualização · 2026-05-04 · Pré-lançamento alpha (Rev. 1.0)
Acordo de Subcontratação.
Este Acordo de Subcontratação («DPA») faz parte dos termos de serviço da Conforme entre o operador («Responsável pelo Tratamento») e a Conforme («Subcontratante») e rege todas as atividades em que a Conforme trate dados pessoais por conta do operador ao abrigo do artigo 28.º do Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, «RGPD»).
Em caso de conflito entre o presente DPA e os termos de serviço, prevalece o DPA no que respeita ao tratamento de dados pessoais. Os termos em maiúsculas não definidos aqui têm o significado dado no aviso de privacidade e nos termos de serviço.
1. Funções e âmbito
Para efeitos dos artigos 4.º, n.os 7 e 8 do RGPD:
- O operador (cliente identificado na conta Conforme) actua como Responsável pelo Tratamento de todos os dados pessoais carregados, gerados ou transmitidos através do serviço Conforme em ligação com a sua actividade de Alojamento Local — incluindo, sem limitação, nomes de hóspedes, documentos de identificação, datas de estadia e dados de contacto.
- A Conforme actua como Subcontratante, seguindo as instruções documentadas do operador. Tais instruções são constituídas pelos termos de serviço, este DPA, a configuração do operador no produto (por exemplo, as autoridades às quais o operador nos indica que entreguem as declarações) e quaisquer instruções escritas adicionais que o operador nos forneça.
A Conforme tratará os dados pessoais apenas na medida do necessário para a prestação do serviço. Não os tratará para fins próprios, não os venderá ou partilhará com terceiros para os respectivos fins, nem combinará dados pessoais entre operadores para fim que não sejam estatísticas agregadas e não identificáveis.
2. Objeto e detalhes do tratamento
- Objeto
- Prestação do serviço regulatório e de inteligência operacional da Conforme ao operador, incluindo entregas a autoridades, gestão do ciclo de vida do registo (RNAL), e — no plano Pro — monitorização de listings e inteligência de mercado.
- Duração
- Vigência do contrato entre o operador e a Conforme, mais qualquer período pós-contratual exigido por lei (ver secção 8).
- Natureza e finalidade
- Receção, armazenamento, transformação e transmissão de dados de hóspedes e do operador às autoridades indicadas pelo operador; operações auxiliares de suporte e segurança; geração do registo de auditoria.
- Categorias de titulares
- Utilizadores autorizados do operador; hóspedes do operador; e (quando autorizado) informação pública sobre listings de concorrentes.
- Categorias de dados pessoais
- Dados de conta do operador (nome, email, função); dados de identificação do hóspede (nome completo, tipo e número de documento, digitalização do documento, data de nascimento, nacionalidade, morada, datas de estadia, meio de pagamento); e metadados limitados de listings públicos (títulos, descrições, preços — nunca dados de hóspedes).
- Categorias especiais
- Nenhuma sistematicamente. As digitalizações de documentos podem incluir incidentalmente templates biométricos codificados no documento. A Conforme minimiza a exposição via cifragem em repouso, restrição de acesso à duração da entrega, e aplicação da regra de retenção da secção 8.
3. Subcontratantes
O operador autoriza a Conforme a contratar os subcontratantes listados abaixo. Cada subcontratante está vinculado por contrato escrito que lhe impõe obrigações de protecção de dados substancialmente equivalentes às que o presente DPA impõe à Conforme.
| Subcontratante | Finalidade | Região | Privacidade / DPA |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Facturação da subscrição e processamento de cartões. | IE (parte do tratamento nos EUA) | Privacidade · DPA |
| Resend (e AWS SES, eu-west-1) | Entrega de emails transaccionais e de produto. AWS SES é subcontratado da Resend, configurado em eu-west-1. | EUA (painel) / UE (entrega) | Privacidade · DPA |
| Cloudflare, Inc. | DNS, CDN, WAF, mitigação DDoS. Os nós de borda para tráfego europeu estão na UE. | EUA (edge UE) | Privacidade · DPA |
| Hetzner Online GmbH | Alojamento principal da aplicação, base de dados e snapshots. | DE (Falkenstein) | Privacidade · DPA |
| Sentry (Functional Software, Inc.) | Monitorização de erros com depuração de PII. Alojado na região UE da Sentry. | DE (Frankfurt) | Privacidade · DPA |
| ScrapingBee | Páginas públicas de listings OTA para listing-health e market-intel do plano Pro. | FR (Paris) | Privacidade |
| Apify Technologies s.r.o. | Páginas públicas de listings OTA e perfis de host para o comp-set Pro. | CZ (Praga) | Privacidade · DPA |
| Migadu | Alojamento de caixas de correio do staff (p. ex. [email protected]). |
CH (Suíça — adequação UE) | Privacidade |
| Inside Airbnb | Conjunto público de dados trimestrais para benchmarks de mercado. Não é enviada PII de operadores nem hóspedes à Inside Airbnb — consumimos o seu dataset público. | EUA (dataset público) | Sobre |
3.1 Adição ou substituição de subcontratantes
A Conforme dará ao operador um pré-aviso por escrito de pelo menos 30 dias (por email para o endereço de facturação ou via banner em produto) antes de adicionar um novo subcontratante ou substituir um existente. Se o operador se opuser por motivos razoáveis de protecção de dados dentro do prazo, poderá rescindir o serviço afectado sem penalização.
4. Transferências internacionais
A infra-estrutura principal da Conforme está localizada na União Europeia. Quando um subcontratante implicar transferência de dados pessoais para fora do Espaço Económico Europeu, a Conforme baseia-se numa das seguintes salvaguardas:
- As Cláusulas Contratuais-Tipo da Comissão Europeia (Módulo Dois: Responsável a Subcontratante) de 4 de Junho de 2021 entre a Conforme e o subcontratante.
- Uma decisão de adequação aplicável da Comissão Europeia — em particular o EU–US Data Privacy Framework de 10 de Julho de 2023 para destinatários dos EUA certificados (Stripe, Cloudflare); e a decisão de adequação para a Suíça (Migadu).
5. Medidas de segurança
A Conforme aplica medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco (artigo 32.º do RGPD). As medidas actuais incluem:
- Cifragem em trânsito (TLS 1.2+) em todos os endpoints públicos e ligações com subcontratantes.
- Cifragem em repouso dos dados de identificação dos hóspedes com chave por inquilino, decifrada apenas durante a duração da entrega à autoridade.
- Controlo de acesso baseado em funções com privilégios mínimos por defeito; acesso por utilizador nominal; SSH via chave ed25519.
- Snapshots diários da VM e dumps horários da base de dados; procedimento de restauro testado.
- Logs estruturados centralizados com depuração de PII no limite Sentry.
- Análise automatizada de vulnerabilidades em cada CI; SLA de patch na secção 5.2.
- Cadeia criptográfica de auditoria por organização (cadeia de hashes SHA-256) para detectar manipulações posteriores.
5.1 Pessoal
O pessoal da Conforme com acesso a dados pessoais está sujeito a obrigações contratuais de confidencialidade e recebeu formação documentada sobre o RGPD e as políticas de segurança da informação da Conforme.
5.2 SLA de patches de segurança
- Crítico (CVSS ≥ 9.0) — 72 horas.
- Alto (CVSS 7.0–8.9) — 7 dias.
- Médio / baixo — próximo ciclo de release.
6. Notificação de violações de dados pessoais
A Conforme notificará o operador sem demora indevida e, em qualquer caso, no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que afecte os dados do operador. A notificação incluirá, na medida em que seja conhecido:
- A natureza da violação, incluindo (quando possível) as categorias e número aproximado de titulares e registos afectados.
- As consequências prováveis.
- As medidas tomadas ou propostas para enfrentar a violação e mitigar os efeitos adversos.
- Um ponto de contacto para mais informação.
7. Direitos do titular
A Conforme assistirá o operador, na medida do possível e tendo em conta a natureza do tratamento, a cumprir a sua obrigação de responder aos pedidos de titulares para exercer os direitos previstos no Capítulo III do RGPD (artigos 15.º–22.º). A Conforme responderá aos pedidos encaminhados pelo operador no prazo de 30 dias a contar da recepção.
8. Eliminação e devolução de dados
Ao terminar o contrato, o operador pode instruir a Conforme — via fluxo «Cancelar + Eliminar» do painel ou por email para [email protected] — quer para devolver todos os dados pessoais quer para eliminar todos os dados pessoais, exceptuando aqueles que a legislação da UE ou de Estado-Membro obrigue a conservar (obrigações fiscais e registrais em Portugal e Espanha, que podem requerer até 7 anos).
Na ausência de instrução explícita, a Conforme eliminará os dados pessoais no prazo máximo de 60 dias após o termo do contrato, mantendo apenas os registos sujeitos a obrigações legais.
9. Direito de auditoria
O operador pode auditar o cumprimento da Conforme com este DPA uma vez por ano civil, mediante pré-aviso por escrito de pelo menos 30 dias (com mais frequência em caso de violação de dados que afecte materialmente o operador). A auditoria pode ser conduzida pelo operador ou por um auditor externo independente sujeito a obrigações de confidencialidade. Uma certificação reconhecida (ISO 27001, SOC 2 Type II) pode satisfazer a obrigação de auditoria para a área de controlo coberta.
10. Responsabilidade
A responsabilidade de cada parte ao abrigo deste DPA rege-se pela cláusula de limitação de responsabilidade dos termos de serviço da Conforme, sem prejuízo de nenhuma disposição deste DPA limitar a responsabilidade de uma parte pela sua própria infracção do RGPD quando essa responsabilidade não possa ser limitada nos termos da lei aplicável.
11. Vigência e cessação
Este DPA entra em vigor na data anterior entre (i) a aceitação pelo operador dos termos de serviço, ou (ii) o primeiro tratamento de dados pessoais pela Conforme em nome do operador, e mantém-se em vigor até à cessação do contrato e ao cumprimento pela Conforme das suas obrigações de eliminação / devolução nos termos da secção 8.
12. Lei aplicável
Este DPA rege-se pela lei da República Portuguesa, sem prejuízo do direito do titular dos dados de intentar acções nos tribunais do Estado-Membro da UE em que tenha residência habitual, ou de apresentar reclamação junto da autoridade de controlo local (em Portugal, a Comissão Nacional de Protecção de Dados — CNPD).
Questões sobre este DPA, ou pedido de cópia assinada em papel com timbre do operador: [email protected].