Data Processing Agreement (DPA)

1. Definições

Os termos definidos abaixo têm o significado que lhes é atribuído pelo Regulamento (UE) 2016/679 (« RGPD »):

Responsável pelo tratamento: o Cliente (o estabelecimento de formação) que determina as finalidades e os meios do tratamento dos dados pessoais através do Serviço.
Subcontratante: Navescale, Lda atuando sob a designação comercial Qaptivo, que trata os dados pessoais por conta do Cliente.
Subcontratante ulterior: terceiro contratado pelo Qaptivo para executar uma parte do tratamento (Anexo 3).
Dados pessoais do Cliente: qualquer informação relativa a uma pessoa singular identificada ou identificável, tratada pelo Qaptivo no âmbito do Serviço por conta do Cliente.
Pessoa em causa: um visitante ou potencial interessado do site web do Cliente, cujos dados são tratados através do Serviço.
Serviço: a plataforma SaaS Qaptivo de chatbot IA, tal como descrita nas CGV.
CGV: as Condições gerais de venda do Qaptivo, acessíveis em qaptivo.com/pt/cgv.
Violação de dados: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso não autorizado a dados pessoais.

2. Papéis das partes

As partes reconhecem que, no âmbito do Serviço:

O Cliente atua na qualidade de responsável pelo tratamento; determina, em exclusivo, as finalidades, o âmbito e as modalidades de utilização do Serviço.
O Qaptivo atua na qualidade de subcontratante na aceção do artigo 4.º(8) do RGPD; só trata os dados pessoais mediante instruções documentadas do Cliente.

O presente DPA constitui as instruções documentadas do Cliente ao Qaptivo, bem como a configuração do Serviço efetuada pelo Cliente no seu dashboard (parâmetros do chatbot, base de conhecimento, integrações).

3. Objeto, duração, natureza e finalidade do tratamento

Os elementos previstos no artigo 28.º(3) do RGPD estão descritos no Anexo 1. A duração do tratamento corresponde à duração da subscrição do Cliente ao Serviço, acrescida de um período máximo de 30 dias para a eliminação ou restituição dos dados em conformidade com a secção 5.8.

4. Tipo de dados e categorias de pessoas em causa

Ver Anexo 1. O Cliente compromete-se a não recolher categorias especiais de dados na aceção do artigo 9.º do RGPD através do Serviço (saúde, opiniões, origem racial, religião, dados biométricos, etc.). O Serviço integra por defeito um aviso aos visitantes desaconselhando a partilha desse tipo de informações.

5. Obrigações do Qaptivo (subcontratante)

5.1 Tratamento mediante instruções documentadas

O Qaptivo só trata os dados pessoais do Cliente com base em instruções documentadas do Cliente (o presente DPA, a configuração do Serviço pelo Cliente, as CGV). Se o Qaptivo entender que uma instrução viola o RGPD ou qualquer outro direito aplicável, informa imediatamente o Cliente.

O Qaptivo não trata os dados pessoais para qualquer outra finalidade e, nomeadamente, não os utiliza para os seus próprios fins comerciais nem para treinar os seus modelos de inteligência artificial.

5.2 Confidencialidade

O Qaptivo assegura que todas as pessoas autorizadas a tratar os dados pessoais do Cliente (colaboradores, prestadores de serviços, dirigentes) estão vinculadas a uma obrigação contratual de confidencialidade ou a uma obrigação legal apropriada de confidencialidade. O acesso é limitado ao estritamente necessário (princípio do «need-to-know»).

5.3 Medidas técnicas e organizacionais de segurança

O Qaptivo aplica as medidas técnicas e organizacionais descritas no Anexo 2, em conformidade com o artigo 32.º do RGPD, tendo em conta o estado da arte, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

5.4 Subcontratantes ulteriores

O Cliente concede pelo presente uma autorização geral ao Qaptivo para contratar os subcontratantes ulteriores listados no Anexo 3. O Qaptivo compromete-se a:

Celebrar com cada subcontratante ulterior um contrato que imponha as mesmas obrigações de proteção de dados que as previstas no presente DPA, nomeadamente em matéria de medidas de segurança.
Notificar por email o Cliente de qualquer adição ou substituição de subcontratante ulterior, com um pré-aviso razoável de pelo menos 30 dias antes da contratação do novo subcontratante.
Permitir que o Cliente se oponha à alteração de subcontratante ulterior nesse prazo. Em caso de oposição motivada e razoável, o Qaptivo esforçar-se-á por propor uma solução alternativa; caso contrário, o Cliente poderá rescindir a subscrição sem custos nem penalidade, com reembolso proporcional.
Permanecer plenamente responsável perante o Cliente pela execução das obrigações do subcontratante ulterior.

5.5 Assistência aos direitos das pessoas em causa

O Qaptivo coloca à disposição do Cliente as funcionalidades técnicas necessárias (exportação, eliminação, acesso) para responder aos pedidos de exercício dos direitos das pessoas em causa (artigos 12.º a 23.º do RGPD: acesso, retificação, apagamento, limitação, portabilidade, oposição). Em caso de pedido específico não coberto pelas funcionalidades do Serviço, o Qaptivo assiste o Cliente num prazo razoável não superior a 15 dias úteis.

5.6 Assistência às avaliações de impacto (AIPD)

O Qaptivo assiste o Cliente, na medida do razoável e tendo em conta as informações de que dispõe, na realização de avaliações de impacto sobre a proteção de dados (artigo 35.º do RGPD) e nas consultas prévias junto da autoridade de controlo (artigo 36.º do RGPD).

5.7 Notificação de violações de dados

O Qaptivo notifica o Cliente de qualquer violação de dados pessoais de que tenha conhecimento, sem demora injustificada e o mais tardar 72 horas após dela tomar conhecimento. A notificação especifica, na medida do possível:

A natureza da violação, as categorias e o número aproximado de pessoas em causa e de registos afetados;
O nome e os contactos do ponto de contacto;
As consequências prováveis da violação;
As medidas adotadas ou propostas para remediar a violação e atenuar os seus efeitos negativos.

5.8 Eliminação ou restituição no fim do contrato

Após a cessação do Serviço (rescisão, expiração, fim do período experimental não convertido em subscrição), o Qaptivo procede à eliminação de todos os dados pessoais do Cliente num prazo máximo de 30 dias, salvo se o direito da União ou de um Estado-Membro exigir a sua conservação. Mediante pedido escrito do Cliente formulado antes da cessação, o Qaptivo restitui os dados num formato estruturado e correntemente utilizado (exportação CSV/JSON) antes da eliminação.

As cópias de segurança que contenham dados pessoais são automaticamente eliminadas num prazo adicional máximo de 30 dias.

5.9 Auditoria e inspeções

O Qaptivo coloca à disposição do Cliente, mediante pedido escrito, todas as informações necessárias para demonstrar o cumprimento das obrigações do presente DPA. O Cliente poderá, uma vez por ano, a expensas suas, realizar uma auditoria (ou mandatar um terceiro independente vinculado à confidencialidade) com um pré-aviso razoável de pelo menos 30 dias, em condições que não perturbem o funcionamento normal do Qaptivo. O Qaptivo poderá satisfazer esta obrigação fornecendo atestações, certificações ou relatórios de auditoria independentes pertinentes.

6. Obrigações do Cliente (responsável pelo tratamento)

O Cliente garante que:

Dispõe de uma base legal válida (artigo 6.º do RGPD) para cada tratamento realizado através do Serviço;
Informa as pessoas em causa do tratamento dos seus dados em conformidade com os artigos 13.º e 14.º do RGPD (política de privacidade acessível, menção no widget);
Configura o Serviço de modo a respeitar os princípios da minimização e da exatidão dos dados;
Abstém-se de recolher através do Serviço categorias especiais de dados (artigo 9.º) ou dados relativos a condenações penais (artigo 10.º);
Responde diretamente aos pedidos das pessoas em causa de que é responsável pelo tratamento, recorrendo, sendo caso disso, à assistência prevista na secção 5.5;
Notifica às autoridades de controlo competentes as violações de dados que lhe são notificadas pelo Qaptivo, quando a notificação for exigida pelo artigo 33.º do RGPD.

7. Transferências internacionais de dados

Alguns subcontratantes ulteriores (Anexo 3) estão estabelecidos fora da União Europeia. Qualquer transferência para um país terceiro é enquadrada por um dos seguintes mecanismos:

Uma decisão de adequação da Comissão Europeia (artigo 45.º do RGPD), nomeadamente o EU-US Data Privacy Framework para os subcontratantes americanos certificados;
Subsidiariamente, as Cláusulas Contratuais-Tipo (CCT) adotadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914) — módulo 3 (subcontratante UE → subcontratante ulterior fora da UE), consideradas celebradas entre o Cliente (por intermédio do Qaptivo) e o subcontratante ulterior em causa;
Qualquer medida adicional de proteção, sendo caso disso (cifragem, pseudonimização), avaliada em função da natureza dos dados e da jurisdição de destino.

Pela aceitação do presente DPA, o Cliente autoriza o Qaptivo a celebrar e executar essas CCT em seu nome e por sua conta perante os subcontratantes ulteriores em causa.

8. Responsabilidade

A responsabilidade de cada parte ao abrigo do presente DPA é regida pelas disposições de limitação de responsabilidade previstas na secção 11 das CGV, sem prejuízo das disposições imperativas do RGPD relativas aos direitos das pessoas em causa e aos poderes das autoridades de controlo.

9. Confidencialidade

Cada parte trata as informações relativas ao presente DPA e à sua execução como confidenciais, salvo se a sua divulgação for exigida por lei ou por uma autoridade competente, ou se a outra parte tiver expressamente consentido na sua divulgação.

10. Duração e rescisão

O presente DPA produz efeitos a partir da data de aceitação das CGV pelo Cliente e mantém-se em vigor enquanto o Qaptivo tratar dados pessoais por conta do Cliente. A sua rescisão segue a das CGV e desencadeia as obrigações de eliminação / restituição previstas na secção 5.8.

11. Alterações do DPA

O Qaptivo reserva-se o direito de alterar o presente DPA para refletir a evolução do direito aplicável, dos subcontratantes ulteriores ou das medidas técnicas e organizacionais. Qualquer alteração substancial é notificada ao Cliente por email com um pré-aviso de pelo menos 30 dias antes da sua entrada em vigor. A continuação da utilização do Serviço após a data de entrada em vigor vale como aceitação da nova versão. Caso não aceite, o Cliente pode rescindir sem custos com reembolso proporcional.

O histórico das versões do DPA está disponível mediante pedido em [email protected].

12. Hierarquia dos documentos

Em caso de contradição entre o presente DPA e as CGV ou qualquer outro acordo entre as partes, as disposições do presente DPA prevalecem em tudo o que respeita ao tratamento de dados pessoais. Em todo o demais, aplicam-se as CGV.

13. Direito aplicável e jurisdição

O presente DPA é regido pelo direito português, sem prejuízo das disposições imperativas do RGPD e dos direitos das pessoas em causa de recorrerem à autoridade de controlo ou à jurisdição do seu local de residência habitual. Qualquer litígio entre as partes relativo ao presente DPA é submetido à competência exclusiva dos tribunais de Lisboa (Portugal).

14. Contactos

Subcontratante: Navescale, Lda — Praça Duque de Saldanha 1, 2.º andar, 1050-094 Lisboa, Portugal — NIF 518556719
Contacto RGPD / DPO: [email protected]
Autoridade de controlo competente: Comissão Nacional de Proteção de Dados (CNPD), Portugal — www.cnpd.pt

Anexo 1 — Descrição do tratamento

Objeto	Fornecimento de um serviço SaaS de chatbot IA para o envolvimento e a captação de potenciais interessados no site web do Cliente.
Duração	Duração da subscrição do Cliente + 30 dias para a eliminação / restituição.
Natureza do tratamento	Alojamento, processamento em tempo real, pesquisa semântica vetorial, geração automatizada de respostas, scoring automatizado de interesse comercial, notificação por email, exportação de dados.
Finalidade	Responder às questões dos potenciais interessados 24/7, captar pedidos de informação, qualificar os leads para as equipas de admissões do Cliente.
Tipo de dados pessoais	Identidade: nome próprio, email, número de telefone (quando comunicados voluntariamente pelo visitante) Conversas: mensagens textuais trocadas com o chatbot Dados técnicos: endereço IP (rate limiting e segurança apenas), user-agent, idioma detetado Dados de navegação: URL da página visitada, parâmetros UTM, referrer (apenas se o Cliente tiver ativado o tracking de origem) Pontuação de qualificação comercial (0 a 100) calculada automaticamente
Categorias especiais (art. 9.º)	Nenhuma. O Cliente compromete-se a não recolher categorias especiais através do Serviço.
Categorias de pessoas em causa	Visitantes e potenciais interessados do site web do Cliente, maioritariamente pessoas singulares maiores (candidatos a uma formação, pais de alunos, profissionais em reconversão).
Frequência do tratamento	Contínua, em tempo real.
Local principal do tratamento	Alemanha (Frankfurt, infraestrutura Hetzner) com subcontratações pontuais nas jurisdições listadas no Anexo 3.

Anexo 2 — Medidas técnicas e organizacionais

Em aplicação do artigo 32.º do RGPD, o Qaptivo aplica as seguintes medidas:

Segurança técnica

Cifragem em trânsito: TLS 1.2 mínimo (TLS 1.3 por defeito) em todas as comunicações HTTP, API, dashboard e widget.
Cifragem dos segredos: palavras-passe dos utilizadores com hash bcrypt (cost factor 12); chaves API e tokens OAuth cifrados em repouso.
Isolamento multi-tenant: cada escola Cliente («tenant») é isolada logicamente por um identificador único aplicado a todas as consultas em base de dados; não é possível qualquer fuga de dados entre Clientes.
Controlo de acesso: autenticação JWT para o dashboard com expiração de 24 horas; autenticação por chave API pública para o widget (limitada aos endpoints públicos).
Limitação de débito (rate limiting): proteção dos endpoints públicos contra abusos e ataques de negação de serviço.
Cópias de segurança: cópias diárias automatizadas da base de dados, conservação de 30 dias, restauração testada.
Vigilância e registo: monitorização de erros aplicacionais através do Sentry com filtragem ativa dos dados pessoais (PII scrubbing); registos de acesso às infraestruturas conservados durante 30 dias.
Atualizações de segurança: revisão regular das dependências de software, aplicação dos correções críticas em 7 dias.
Proteção anti-bots: Cloudflare Turnstile em modo invisível nos endpoints públicos.

Segurança organizacional

Acesso do pessoal: segundo o princípio do «need-to-know», cada acesso aos dados de produção é registado e revogável.
Confidencialidade: todos os colaboradores e prestadores de serviços que acedem aos sistemas de produção estão vinculados por uma cláusula de confidencialidade.
Resposta a incidentes: procedimento interno formalizado, notificação em 72 horas em conformidade com a secção 5.7 do presente DPA.
Continuidade da atividade: infraestrutura cloud com redundância, plano de recuperação documentado.
Sensibilização: formação interna sobre os princípios do RGPD e as boas práticas de segurança.

Privacy by design

O widget não coloca qualquer cookie nem identificador local enquanto o visitante não tiver aberto o chat (isenção ePrivacy).
Aviso integrado no widget convidando os visitantes a não partilharem dados sensíveis.
Eliminação automática das conversas no termo do prazo de conservação (12 meses).
Possibilidade de exportar ou eliminar um lead mediante pedido, a partir do dashboard do Cliente.

Anexo 3 — Lista dos subcontratantes ulteriores

Lista atualizada à data de 5 de maio de 2026. Qualquer evolução é notificada por email com um pré-aviso de 30 dias em conformidade com a secção 5.4.

Subcontratante	País	Finalidade	Garantia de transferência
Hetzner Online GmbH	Alemanha (Frankfurt)	Alojamento de servidor, base de dados, ficheiros	UE — sem transferência
Anthropic, PBC	Estados Unidos	Processamento IA das conversas (modelo Claude)	EU-US Data Privacy Framework + CCT 2021/914
OpenAI, L.L.C.	Estados Unidos	Geração de embeddings vetoriais para a pesquisa semântica	EU-US Data Privacy Framework + CCT 2021/914
Cloudflare, Inc.	Estados Unidos	Browser Rendering (scraping do site do Cliente) + Turnstile (proteção anti-bots)	EU-US Data Privacy Framework + CCT 2021/914
Stripe Payments Europe, Ltd.	Irlanda / Estados Unidos	Processamento de pagamentos e faturação Qaptivo (apenas dados do Cliente, não dos potenciais interessados)	UE + EU-US DPF
Sendinblue SAS (Brevo)	França	Envio de emails transacionais (notificações de leads, relatórios semanais)	UE — sem transferência
Giphy, Inc.	Estados Unidos	Pesquisa e exibição de GIFs nas respostas (apenas se ativado pelo Cliente)	EU-US Data Privacy Framework + CCT 2021/914
Functional Software, Inc. (Sentry.io)	Estados Unidos	Monitorização de erros aplicacionais com filtragem das PII	EU-US Data Privacy Framework + CCT 2021/914

Nota: o DataFast (analytics do site marketing qaptivo.com) não é um subcontratante dos dados do Cliente: não tem qualquer acesso ao widget chatbot nem ao dashboard.