Adenda sobre

Proteção de dados

1.1. Objeto do Subprocessamento

Para as atividades de processamento de dados em que a CAPSTON AI atua como processador em nome dos seus clientes, aplicam-se os seguintes compromissos:

• Natureza dos dados processados

  • Dados pessoais dos colaboradores autorizados do Cliente (nome, apelido, endereço de e-mail, palavra-passe) para se conectarem e utilizarem funcionalidades relacionadas com os plugins WordPress Boost SEO.

  • Dados pessoais de indivíduos que aparecem em páginas web digitalizadas pelas ferramentas de IA da CAPSTON AI (nome, apelido, detalhes de contacto, etc.).

  • Não são recolhidos dados pessoais sensíveis.

• Finalidade do processamento
  Prestação de serviços para indexar páginas e otimizar o seu desempenho de SEO.

• Duração do processamento
  Os dados são processados durante a vigência da relação contratual entre a CAPSTON AI e o Cliente.

1.2. Cumprimento das instruções do cliente

A CAPSTON AI garante que todo o processamento é realizado em conformidade com o RGPD e as instruções documentadas do Cliente, que correspondem ao objeto do contrato (ou seja, o pacote de serviços subscrito). Qualquer instrução adicional deve ser dada por escrito, especificando a finalidade e a operação relevantes. A implementação de tais instruções pode exigir a aceitação de uma cotação adicional por parte do Cliente.

A CAPSTON AI informará o Cliente no prazo de cinco (5) dias após tomar conhecimento de que qualquer instrução do Cliente viola as leis de proteção de dados aplicáveis. Além disso, se a CAPSTON AI for legalmente obrigada a transferir dados pessoais para um país terceiro ou uma organização internacional ao abrigo do direito da União ou de um Estado-Membro, notificará o Cliente dessa obrigação legal, a menos que tal seja proibido por lei por motivos importantes de interesse público.

1.3. Confidencialidade e segurança
Os dados pessoais são protegidos por medidas técnicas e organizacionais adequadas, incluindo encriptação em trânsito e em repouso. Estas medidas são detalhadas num documento dedicado, cuja versão mais recente é disponibilizada ao Cliente mediante pedido.

Se o Cliente considerar que as medidas da CAPSTON AI são insuficientes ao abrigo do RGPD, a CAPSTON AI implementará, por sua conta, quaisquer medidas corretivas necessárias prontamente após a notificação, de acordo com um cronograma acordado e aprovado pelo Cliente. Em caso de desacordo persistente ou não correção, o Cliente pode rescindir a sua subscrição por carta registada com aviso de receção, sem aviso prévio e sem prejuízo de outros direitos.

A CAPSTON AI é responsável apenas pelas medidas de segurança sob o seu controlo; o Cliente permanece responsável pela segurança e confidencialidade dos seus próprios sistemas de TI.

1.4. Acesso limitado
A CAPSTON AI garante que o seu pessoal autorizado a processar dados pessoais se compromete com a confidencialidade e recebe formação adequada em proteção de dados. Apenas os funcionários que necessitam de acesso a dados pessoais para desempenhar as suas funções têm esse acesso.

1.5. Privacidade por conceção e por defeito
A CAPSTON AI compromete-se a implementar os princípios de proteção de dados desde a fase de conceção e por defeito.

1.6. Gestão de incidentes
A CAPSTON AI notificará o Cliente, sem demora injustificada, de qualquer violação de dados pessoais. Uma violação de dados pessoais significa qualquer destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais, acidental ou ilegal.

Sempre que possível, no prazo de vinte e quatro (24) horas após a notificação da violação, a CAPSTON AI fornecerá ao Cliente:

• Categorias e número aproximado de titulares de dados afetados.

• Categorias e número aproximado de registos de dados pessoais em causa.

• Descrição das prováveis consequências da violação.

• Descrição das medidas tomadas ou propostas para abordar e mitigar quaisquer efeitos adversos.

1.7. Cooperação
A CAPSTON AI encaminhará ao Cliente, sem demora injustificada, qualquer pedido, reclamação ou queixa relativa às atividades sub-processadas. Enquanto controlador, o Cliente permanece responsável por responder aos pedidos dos titulares dos dados; a CAPSTON AI não responderá diretamente, mas auxiliará o Cliente conforme necessário.

Mediante pedido por escrito, a CAPSTON AI fornecerá todas as informações úteis em sua posse para ajudar o Cliente a cumprir as suas obrigações de controlador, incluindo para quaisquer avaliações de impacto necessárias. Também fornecerá ao Cliente documentos e provas para demonstrar a conformidade e para se defender contra ações de terceiros ou de autoridades de supervisão.

1.8. Subprocessadores
O Cliente reconhece e aceita que a CAPSTON AI pode contratar subcontratados (“Subprocessadores”) para tarefas de processamento específicas. Uma lista de Subprocessadores está disponível mediante pedido por escrito. A CAPSTON AI notificará o Cliente por escrito antes de adicionar ou substituir qualquer Subprocessador, detalhando as atividades de processamento, identidade, detalhes de contacto e datas do contrato. O Cliente tem quinze (15) dias a partir da receção para se opor; na ausência de objeção, a CAPSTON AI pode prosseguir.

A CAPSTON AI garante que cada Subprocessador fornece garantias suficientes de medidas técnicas e organizacionais adequadas. A CAPSTON AI permanece totalmente responsável perante o Cliente por quaisquer falhas de conformidade do Subprocessador.

1.9. Transferências para fora da UE
A utilização de Subprocessadores pela CAPSTON AI pode envolver transferências de dados pessoais para fora da UE. Tais transferências serão regidas por medidas que garantam a conformidade com o RGPD, nomeadamente:

• Uma decisão de adequação em vigor da Comissão Europeia; ou

• Cláusulas contratuais-tipo adotadas pela Comissão Europeia.
  Se necessário, a CAPSTON AI adotará salvaguardas técnicas ou organizacionais adicionais.

1.10. Responsável pela Proteção de Dados (RPD)
Após a assinatura desta Adenda, a CAPSTON AI fornecerá ao Cliente o nome e os detalhes de contacto do seu Responsável pela Proteção de Dados, se nomeado ao abrigo do Artigo 37.º do RGPD.

1.11. Registo das atividades de processamento
A CAPSTON AI mantém um registo escrito de todas as atividades de subprocessamento ao abrigo do Artigo 30.º do RGPD, incluindo:

• Nomes e detalhes de contacto do Cliente, de quaisquer Subprocessadores e, se aplicável, do RPD da CAPSTON AI;

• Lista de atividades de subprocessamento;

• Descrição geral das medidas de segurança técnicas e organizacionais;

• Detalhes de quaisquer transferências para países terceiros ou organizações internacionais e salvaguardas associadas.

1.12. Eliminação ou devolução de Dados
Após a rescisão do contrato, a CAPSTON AI, à escolha do Cliente:

• Destruirá todos os dados pessoais sub-processados;

• Devolverá todos os dados pessoais sub-processados; ou

• Devolverá os dados a um Subprocessador designado pelo Cliente.

O Cliente deve informar a CAPSTON AI por escrito no prazo de quinze (15) dias após o término do contrato; caso contrário, a CAPSTON AI destruirá os dados, a menos que a retenção seja legalmente exigida. Quaisquer dados devolvidos serão acompanhados da eliminação de todas as cópias existentes nos sistemas da CAPSTON AI, com prova de destruição mediante pedido.

1.13. Obrigações do Cliente
O Cliente, enquanto controlador, permanece totalmente responsável pela origem e legalidade dos dados pessoais e por informar os titulares dos dados. A CAPSTON AI não será responsável por violações do RGPD exclusivamente imputáveis ao Cliente.

O Cliente designará uma pessoa de contacto para todas as notificações e pedidos ao abrigo desta Adenda; caso contrário, o signatário desta Adenda será considerado a pessoa de contacto.