Contrato de Subcontratação
Celebrado nos termos do artigo 28.º, n.º 3, do RGPD. Constitui parte integrante dos Termos de Serviço e aplica-se automaticamente a todos os clientes do WorkAist Cloud.
Em vigor desde: 2026-07-10
Este documento é publicado em vários idiomas. Em caso de divergência, a versão inglesa é a versão vinculativa.
1. Partes e papéis
Este Contrato de Subcontratação («DPA») é celebrado entre o cliente identificado na conta WorkAist (o «Responsável») e a ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (o «Subcontratante»).
Relativamente aos Dados do Cliente tratados no WorkAist Cloud, o Responsável determina as finalidades e os meios do tratamento, e o Subcontratante trata os dados por conta do Responsável. Sendo o Responsável, ele próprio, subcontratante de um terceiro, o Responsável garante que tem poderes para celebrar este DPA e que as instruções que dá refletem as instruções desse terceiro.
Este DPA não se aplica ao WorkAist Self-Hosted, no qual os Dados do Cliente não chegam aos sistemas do Subcontratante, nem a dados relativamente aos quais o Subcontratante seja, ele próprio, o responsável pelo tratamento, os quais se regem pela Política de Privacidade.
2. Ordem de prevalência
Sempre que este DPA seja incompatível com os Termos de Serviço, este DPA prevalece nas matérias de proteção de dados. Sempre que seja incompatível com uma proposta comercial negociada individualmente ou com um contrato de subcontratação assinado, prevalece esse documento.
3. Objeto, duração, natureza e finalidade
O objeto é a prestação do WorkAist Cloud. A natureza e a finalidade do tratamento consistem no alojamento, armazenamento, transmissão e tratamento automatizado dos Dados do Cliente, para que os agentes, conectores e processos configurados pelo Responsável possam funcionar, juntamente com as atividades de suporte, segurança, medição e faturação necessárias à prestação do Serviço.
O tratamento decorre enquanto estiver em vigor o contrato do Responsável relativo ao WorkAist Cloud, acrescido dos prazos de eliminação previstos na cláusula 11.
4. Categorias de titulares dos dados e de dados pessoais
O Responsável decide o que carrega. Tipicamente, o tratamento incide sobre:
| Categorias de titulares dos dados | Categorias de dados pessoais |
|---|---|
| Colaboradores e utilizadores autorizados do Responsável | Nome, email profissional, função, dados de autenticação, entradas de registos de auditoria |
| Clientes, leads e contactos do Responsável | Nome, email, número de telefone, empresa, correspondência, registos de CRM, qualquer identificador que o Responsável opte por sincronizar |
| Fornecedores e parceiros do Responsável | Dados de contacto, dados contratuais e de faturação |
| Qualquer titular de dados que conste de documentos ou mensagens tratados pelo Responsável | Quaisquer dados pessoais contidos em ficheiros, emails, transcrições, imagens ou mensagens que o Responsável submeta ao Serviço |
As categorias especiais de dados pessoais nos termos do artigo 9.º do RGPD e os dados pessoais relativos a condenações e infrações penais nos termos do artigo 10.º do RGPD não podem ser tratados no Serviço, salvo se as partes tiverem previamente acordado, por escrito, salvaguardas adicionais.
Origem dos dados
Os Dados do Cliente chegam ao Serviço porque o Responsável liga sistemas externos, carrega ficheiros ou instrui os seus agentes a obtê-los. Só o Responsável seleciona essas fontes e determina o que é importado.
O Responsável garante que dispõe de fundamento jurídico nos termos do artigo 6.º do RGPD — e, quando aplicável, do artigo 9.º — para recolher esses dados pessoais e para os transferir para o Subcontratante, e que qualquer informação ou consentimento exigido no sistema de origem está implementado. O Subcontratante não tem acesso aos sistemas de origem do Responsável, não os seleciona e não verifica, nem tem forma de verificar, se cumprem a legislação de proteção de dados. Determinar isso é obrigação do Responsável, na sua qualidade de responsável pelo tratamento.
5. Tratamento segundo instruções documentadas
O Subcontratante trata os Dados do Cliente apenas segundo as instruções documentadas do Responsável, incluindo no que respeita a transferências para países terceiros, salvo se for obrigado a fazê-lo de outro modo pelo direito da União ou de um Estado-Membro a que o Subcontratante esteja sujeito. Nesse caso, o Subcontratante informa o Responsável dessa exigência jurídica antes do tratamento, salvo se a lei o proibir por motivos importantes de interesse público.
Os Termos de Serviço, este DPA e a configuração e utilização do Serviço pelo Responsável constituem as instruções documentadas completas do Responsável. Qualquer instrução adicional deve ser feita por escrito e, se exigir um esforço além da funcionalidade padrão do Serviço, pode ficar sujeita a um encargo razoável acordado previamente.
O Subcontratante informa o Responsável sem demora injustificada caso, na sua opinião, uma instrução viole o RGPD ou outra legislação de proteção de dados da União ou de um Estado-Membro.
6. Confidencialidade
O Subcontratante assegura que as pessoas autorizadas a tratar os Dados do Cliente assumiram um compromisso de confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade, e que o acesso é limitado a quem dele necessite para a execução do contrato.
7. Segurança do tratamento
Tendo em conta o estado da técnica, os custos de implementação, e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco para os direitos e liberdades das pessoas singulares, o Subcontratante implementa as seguintes medidas técnicas e organizativas nos termos do artigo 32.º do RGPD.
Anexo II — Medidas técnicas e organizativas
| Medida | Implementação |
|---|---|
| Cifragem em trânsito | Todo o tráfego de e para o Serviço é servido através de TLS com certificados renovados automaticamente. O tráfego interno entre serviços não sai da rede do anfitrião. |
| Cifragem de segredos | As credenciais dos clientes e os segredos dos conectores são cifrados em repouso com AES-256-GCM sob uma chave mantida fora da base de dados da aplicação. |
| Pseudonimização | Os registos de telemetria e de medição identificam inquilinos e agentes por identificador, e não por nome ou email, sempre que o identificador seja suficiente. |
| Confidencialidade — controlo de acesso | Controlo de acesso baseado em funções por espaço de trabalho. Cada agente está limitado ao seu próprio prefixo de armazenamento e ao seu próprio esquema de base de dados; o acesso entre inquilinos é recusado ao nível dos dados, não apenas na interface. |
| Confidencialidade — equipa | Acesso administrativo segundo o princípio do menor privilégio, concedido individualmente e revisto sempre que haja mudança de função. Todas as ações administrativas são registadas num registo de auditoria apenas de escrita. |
| Integridade | Validação de entradas e consultas parametrizadas em todo o sistema. Cada alteração através da API de operações regista uma entrada de auditoria identificando o autor. |
| Disponibilidade e resiliência | Alojamento gerido num centro de dados de classe Tier III na Alemanha. Cópias de segurança diárias automatizadas da base de dados, mantidas cifradas e separadas da produção. |
| Restauro | Procedimento de restauro documentado a partir da cópia de segurança mais recente; o restauro é exercitado no âmbito de alterações à infraestrutura. |
| Testes e avaliação | Análise de vulnerabilidades de dependências em integração contínua, revisão de código antes da integração (merge), e revisão periódica destas medidas, pelo menos anualmente e sempre que haja alteração material do Serviço. |
| Minimização de dados desde a conceção | Os conectores sincronizam apenas os campos que o Responsável ativa. O Responsável pode eliminar qualquer tabela sincronizada a qualquer momento. |
O Subcontratante pode atualizar estas medidas à medida que a tecnologia evolui, desde que o nível de proteção não seja reduzido. A versão atual é sempre a publicada nesta página.
8. Subcontratantes
O Responsável concede ao Subcontratante autorização geral por escrito para recorrer a subcontratantes. O Subcontratante impõe, por contrato, a cada subcontratante obrigações de proteção de dados não menos protetoras do que as previstas neste DPA, e permanece integralmente responsável perante o Responsável pelo desempenho do subcontratante.
Anexo III — Subcontratantes autorizados
Os seguintes subcontratantes são utilizados para todos os clientes do WorkAist Cloud, por fazerem parte da infraestrutura em que o Serviço é executado.
| Subcontratante | Finalidade | Localização | Salvaguarda de transferência |
|---|---|---|---|
| Hetzner Online GmbH | Alojamento dos servidores da aplicação, da base de dados e das cópias de segurança | Alemanha (UE) | Não aplicável |
| Cloudflare, Inc. | DNS, proxy inverso, terminação TLS, proteção contra DDoS | Rede global de edge, incluindo a UE | CCT; Quadro de Proteção de Dados UE-EUA |
| Stripe Payments Europe, Ltd. | Processamento de pagamentos e subscrições | Irlanda (UE) | CCT para transferências de grupo subsequentes; Quadro de Proteção de Dados UE-EUA |
| Resend, Inc. | Entrega de email transacional | Estados Unidos | CCT |
Fornecedores de modelos
Os fornecedores de modelos de linguagem de grande dimensão são tratados de forma diferente, por ser o Responsável quem os escolhe.
- Se o Responsável fornecer as suas próprias credenciais de fornecedor, esse fornecedor é contratado pelo Responsável, segundo as instruções do Responsável e ao abrigo do próprio acordo do Responsável com ele. Não é um subcontratante do Subcontratante. O Subcontratante limita-se a transmitir o pedido utilizando as credenciais fornecidas e não dá qualquer garantia quanto à segurança, localização de tratamento, práticas de treino ou conformidade desse fornecedor.
- Se o Responsável utilizar a faturação de tokens gerida pelo Subcontratante, é o Subcontratante quem seleciona o fornecedor, sendo este um subcontratante do Subcontratante. O fornecedor atualmente contratado nessa qualidade é a Anthropic PBC (Estados Unidos), para inferência de modelos de linguagem de grande dimensão, ao abrigo de Cláusulas Contratuais-Tipo e contratualmente impedido de treinar com os dados que lhe são enviados.
O Responsável pode ver, a qualquer momento dentro do Serviço, que fornecedor de modelo cada um dos seus agentes utiliza, e pode alterá-lo.
Alterações aos subcontratantes
O Subcontratante avisa o Responsável com, pelo menos, 30 dias de antecedência, por email, antes de acrescentar ou substituir um subcontratante. O Responsável pode opor-se, com fundamento razoável de proteção de dados, dentro desses 30 dias. Se as partes não conseguirem resolver a objeção, o Responsável pode cessar a parte afetada do Serviço sem penalização e receber o reembolso pro rata das tarifas pré-pagas.
9. Assistência no exercício dos direitos dos titulares dos dados
Tendo em conta a natureza do tratamento, o Subcontratante assiste o Responsável, através de medidas técnicas e organizativas adequadas, na medida do possível, no cumprimento da obrigação do Responsável de responder a pedidos de exercício dos direitos do titular dos dados nos termos do Capítulo III do RGPD.
O Serviço dá ao Responsável acesso direto aos Dados do Cliente, para que este possa, por si próprio, localizar, exportar, corrigir e eliminar dados pessoais. Quando um pedido exija, ainda assim, a intervenção do Subcontratante, este responde sem demora injustificada e, em qualquer caso, no prazo de 10 dias úteis. Se um titular dos dados contactar diretamente o Subcontratante sobre Dados do Cliente, o Subcontratante não responde quanto ao mérito; encaminha o pedido para o Responsável sem demora injustificada.
10. Assistência nos termos dos artigos 32.º a 36.º
O Subcontratante assiste o Responsável em assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação de que dispõe — designadamente quanto à segurança do tratamento, à notificação de violações de dados pessoais, à comunicação aos titulares dos dados, às avaliações de impacto sobre a proteção de dados e à consulta prévia.
Violação de dados pessoais
O Subcontratante notifica o Responsável sem demora injustificada e, em qualquer caso, no prazo de 48 horas, após ter tomado conhecimento de uma violação de dados pessoais que afete os Dados do Cliente. A notificação descreve a natureza da violação, as categorias e o número aproximado de titulares dos dados e de registos em causa, as consequências prováveis, as medidas tomadas ou propostas, e um ponto de contacto. Quando a informação não estiver toda disponível de uma só vez, é fornecida por fases, sem demora injustificada adicional. O Subcontratante não notifica uma autoridade de controlo nem os titulares dos dados em nome do Responsável, salvo se for instruído a fazê-lo.
11. Eliminação e devolução dos Dados do Cliente
À escolha do Responsável, o Subcontratante elimina ou devolve todos os Dados do Cliente após o termo da prestação de serviços relacionados com o tratamento, e elimina as cópias existentes, salvo se o direito da União ou de um Estado-Membro exigir a conservação dos dados pessoais.
- Durante 30 dias após o termo do contrato, o Responsável pode exportar os Dados do Cliente a partir do Serviço, ou solicitar a sua devolução num formato estruturado, de uso corrente e de leitura automática.
- O Subcontratante elimina os Dados do Cliente dos sistemas em produção no prazo de 30 dias após o encerramento desse período de exportação.
- As cópias de segurança cifradas que contenham Dados do Cliente são substituídas na sua rotação normal e, em qualquer caso, no prazo de 90 dias após a eliminação nos sistemas em produção.
- Mediante pedido escrito, o Subcontratante confirma a eliminação por escrito.
12. Auditorias e informação
O Subcontratante disponibiliza ao Responsável todas as informações necessárias para demonstrar o cumprimento do artigo 28.º do RGPD, e permite e contribui para auditorias, incluindo inspeções, realizadas pelo Responsável ou por outro auditor por este mandatado.
Na prática, o Subcontratante disponibiliza primeiro a sua documentação atual sobre medidas técnicas e organizativas, a sua lista de subcontratantes e respostas escritas a um questionário de segurança. Caso tal não seja suficiente para demonstrar o cumprimento, o Responsável pode realizar uma auditoria presencial ou remota, mediante aviso escrito com 30 dias de antecedência, no máximo uma vez por ano civil, salvo se tiver ocorrido uma violação de dados pessoais ou tal for exigido por uma autoridade de controlo. As auditorias realizam-se durante o horário de expediente, não devem perturbar indevidamente as operações do Subcontratante e estão sujeitas a confidencialidade. O Responsável suporta os seus próprios custos de auditoria; o Subcontratante suporta os seus, salvo se a auditoria revelar uma violação material deste DPA.
13. Transferências internacionais
O Subcontratante armazena os Dados do Cliente em repouso na Alemanha. As transferências para subcontratantes fora do Espaço Económico Europeu, conforme indicado no Anexo III, ocorrem ao abrigo das Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão de Execução (UE) 2021/914), Módulo Três, aplicável quando o Subcontratante atua como subcontratante que recorre a um subsubcontratante, complementadas, quando adequado, por salvaguardas adicionais, e — quando o destinatário está certificado — ao abrigo da decisão de adequação relativa ao Quadro de Proteção de Dados UE-EUA.
Ao celebrar este DPA, o Responsável mandata o Subcontratante para celebrar essas Cláusulas Contratuais-Tipo com cada subcontratante em nome e por conta do Responsável.
14. Responsabilidade
A responsabilidade ao abrigo deste DPA rege-se pela limitação de responsabilidade prevista nos Termos de Serviço, sem prejuízo de que nada limita a responsabilidade de qualquer das partes perante um titular dos dados nos termos do artigo 82.º do RGPD ou perante uma autoridade de controlo.
15. Prazo, lei aplicável e contacto
Este DPA produz efeitos quando tem início o contrato do Responsável relativo ao WorkAist Cloud e mantém-se em vigor enquanto o Subcontratante tratar Dados do Cliente. Rege-se pela lei portuguesa, tendo os tribunais de Lisboa competência exclusiva, sem prejuízo do artigo 79.º do RGPD.
Contacto para todas as questões ao abrigo deste DPA: [email protected].