Este acordo descreve a forma como tratamos os dados pessoais em nome dos nossos clientes e em conformidade com a legislação de proteção de dados aplicável, incluindo o GDPR e a Lei de Proteção de Dados Pessoais (Lei n.º 58/2019).
1. Papéis das partes
Este Acordo de Tratamento de Dados (DPA) faz parte dos Termos de Serviço. Rege o tratamento realizado pela estrangeirOS enquanto subcontratante que atua segundo instruções documentadas de um responsável pelo tratamento. Na maioria dos casos, o utilizador (ou o advogado mandatado para o seu processo) atua como responsável pelo tratamento dos dados pessoais, e a estrangeirOS trata esses dados em seu nome para disponibilizar a Plataforma. Sempre que a estrangeirOS determina as finalidades e os meios do tratamento para as suas próprias operações, atua como responsável pelo tratamento autónomo ao abrigo da Política de Privacidade.
2. Objeto e duração
O objeto do tratamento é o funcionamento da Plataforma e a preparação, a gestão e a apresentação de candidaturas de imigração. O tratamento decorre durante a duração do processo e da conta em causa e, posteriormente, apenas pelos períodos exigidos pela legislação aplicável, findos os quais os dados são eliminados ou devolvidos conforme estabelecido abaixo.
3. Natureza e finalidade do tratamento
Tratamos dados pessoais para criar e operar contas, organizar e verificar documentos, coordenar com o advogado atribuído, comunicar sobre os processos, processar pagamentos e cumprir obrigações legais. As operações de tratamento incluem a recolha, a conservação, a organização, a estruturação, a consulta, a transmissão a autoridades como a AIMA quando instruída, e o apagamento.
4. Categorias de dados pessoais
Os dados tratados podem incluir dados de identificação e de contacto, informação sobre nacionalidade e residência, informação financeira e o conteúdo dos documentos carregados. Esses documentos podem conter categorias especiais de dados pessoais (tais como dados que revelem o estado de saúde ou dados constantes de certificados de registo criminal), tratados apenas na medida do necessário para a finalidade de imigração e com base num fundamento jurídico adequado.
5. Categorias de titulares dos dados
Os titulares dos dados são os utilizadores da plataforma (candidatos) e, quando relevante para uma candidatura, os seus familiares ou dependentes cujos dados são fornecidos pelo adulto responsável para efeitos do processo (por exemplo, no reagrupamento familiar).
6. As nossas obrigações enquanto subcontratante
Quando atua como subcontratante, a estrangeirOS irá: tratar os dados pessoais apenas segundo instruções documentadas; assegurar que as pessoas autorizadas a tratar os dados estão vinculadas a um dever de confidencialidade; implementar medidas técnicas e organizativas de segurança adequadas; respeitar as condições para a contratação de subcontratantes ulteriores; auxiliar o responsável pelo tratamento no cumprimento das suas obrigações; e eliminar ou devolver os dados no termo do serviço, conforme descrito abaixo.
7. Medidas de segurança
Implementamos medidas adequadas ao risco, incluindo a cifragem dos dados em trânsito e em repouso, controlos de acesso rigorosos e permissões baseadas em funções, registo de auditoria, segmentação da rede e revisão periódica das nossas salvaguardas. As medidas são mantidas em revisão para ter em conta o estado da técnica e a sensibilidade dos dados de imigração.
8. Subcontratantes ulteriores
Recorremos a subcontratantes ulteriores cuidadosamente selecionados para ajudar a prestar o serviço — por exemplo, alojamento seguro em nuvem na EU, prestadores de serviços de pagamento como a SIBS e envio de correio eletrónico. Cada subcontratante ulterior está vinculado por um contrato escrito que impõe obrigações de proteção de dados equivalentes às previstas neste DPA. Continuamos responsáveis pelo desempenho dos nossos subcontratantes ulteriores e informaremos o responsável pelo tratamento das alterações previstas, dando-lhe a oportunidade de se opor.
9. Auxílio no exercício de direitos e na conformidade
Tendo em conta a natureza do tratamento, auxiliamos o responsável pelo tratamento com medidas adequadas para responder aos pedidos dos titulares dos dados (acesso, retificação, apagamento, limitação, portabilidade e oposição) e para cumprir as obrigações relativas à segurança, à notificação de violações e às avaliações de impacto sobre a proteção de dados.
10. Violações de dados pessoais
Mantemos procedimentos para detetar, investigar e responder a violações de dados pessoais. Notificaremos o responsável pelo tratamento sem demora injustificada após termos conhecimento de uma violação que afete os seus dados, fornecendo as informações necessárias para cumprir quaisquer deveres de notificação à autoridade de controlo (a CNPD) e às pessoas afetadas ao abrigo do GDPR.
11. Transferências internacionais
Os dados pessoais são alojados na EU. Não transferiremos dados pessoais para fora da EU ou do EEA, salvo se estiver em vigor uma salvaguarda adequada reconhecida ao abrigo do GDPR, tal como uma decisão de adequação ou Cláusulas Contratuais-Tipo (Standard Contractual Clauses), e documentaremos essas transferências mediante pedido.
12. Devolução e eliminação dos dados
No termo do serviço, e à escolha do responsável pelo tratamento, devolveremos ou eliminaremos os dados pessoais que tratamos em seu nome, salvo se a conservação for exigida por lei. Quando a conservação for legalmente exigida, os dados permanecem protegidos por este DPA e são tratados exclusivamente para a finalidade que exige a conservação.
13. Auditorias
Disponibilizamos ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento deste DPA e permitimos e contribuímos para auditorias razoáveis, incluindo inspeções, conduzidas pelo responsável pelo tratamento ou por um auditor por ele mandatado, sujeitas a condições razoáveis de confidencialidade e segurança.
14. Contacto
Para questões sobre este DPA ou para apresentar um pedido relativo ao tratamento, contacte o nosso Encarregado de Proteção de Dados através de [email protected].