Acordo de Tratamento de Dados
O Data Processing Agreement (DPA) define como os dados pessoais são tratados entre o responsável pelo tratamento e o subcontratante em conformidade com o RGPD.
última atualização: 01/01/2026
O presente Acordo de Tratamento de Dados (“Acordo” ou “DPA”) faz parte integrante do acordo
entre a GlobeID Limited e o Cliente que regula a utilização dos serviços PassportScan.
1. Partes
1.1 Responsável pelo tratamento (Cliente)
A entidade jurídica que utiliza os serviços PassportScan para tratar dados pessoais no âmbito
das suas atividades de hospitalidade, alojamento ou registo de hóspedes (“Cliente”).
1.2 Subcontratante
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, Irlanda
(“GlobeID” ou “Subcontratante”).
2. Definições
Os termos com inicial maiúscula não definidos no presente documento têm o significado atribuído
pelo Regulamento Geral sobre a Proteção de Dados (RGPD).
- Dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável.
- Tratamento: qualquer operação efetuada sobre Dados pessoais conforme definido no RGPD.
- Titular dos dados: a pessoa a quem os Dados pessoais dizem respeito.
- Legislação aplicável em matéria de proteção de dados: RGPD e qualquer legislação nacional de execução.
- Subcontratante ulterior: qualquer terceiro contratado pela GlobeID para tratar Dados pessoais em nome do Cliente.
3. Objeto e duração
3.1 Objeto
O presente DPA regula o tratamento de Dados pessoais pela GlobeID em nome do Cliente
através da plataforma PassportScan e serviços relacionados.
3.2 Duração
O tratamento continuará durante o período de utilização dos Serviços pelo Cliente, salvo acordo escrito em contrário.
4. Natureza e finalidade do tratamento
4.1 Natureza do tratamento
O tratamento pode incluir recolha, registo, organização, conservação, consulta,
transmissão e eliminação de Dados pessoais.
4.2 Finalidade do tratamento
O tratamento é efetuado exclusivamente para:
- permitir o check-in e registo de hóspedes
- digitalizar e extrair dados de documentos de identificação
- transmitir dados necessários para sistemas PMS
- cumprir obrigações legais de comunicação de hóspedes (ex. polícia, imigração, autoridades estatísticas)
- suportar assinaturas digitais e fluxos de consentimento
5. Categorias de Dados pessoais e Titulares
5.1 Categorias de Dados pessoais
Dependendo da utilização dos Serviços pelo Cliente, os Dados pessoais podem incluir:
- nome completo
- data e local de nascimento
- nacionalidade e cidadania
- tipo, número, entidade emissora e data de validade do documento de identificação
- imagens dos documentos e dados MRZ (zona de leitura automática)
- informações de reserva e estadia
- assinaturas digitais e registos de consentimento
5.2 Categorias de Titulares dos dados
- hóspedes do Cliente, incluindo crianças e menores quando exigido por lei
- pessoas acompanhantes associadas a uma reserva
6. Funções e responsabilidades
6.1 Obrigações do Cliente
O Cliente:
- atua como Responsável pelo tratamento
- determina as finalidades e base legal do tratamento
- assegura a recolha lícita dos Dados pessoais
- fornece os avisos de privacidade necessários aos Titulares dos dados
- define os períodos de conservação
6.2 Obrigações da GlobeID
A GlobeID deverá:
- tratar Dados pessoais apenas com base em instruções documentadas do Cliente
- assegurar a confidencialidade dos Dados pessoais
- implementar medidas técnicas e organizativas de segurança adequadas
- assistir o Cliente no cumprimento das obrigações do RGPD
- não tratar Dados pessoais para fins próprios
7. Tratamento de dados de menores
O Cliente reconhece que o PassportScan pode tratar Dados pessoais relativos a crianças e menores quando exigido por lei durante o registo de hóspedes.
Tal tratamento:
- é efetuado exclusivamente por instruções do Cliente
- é limitado aos dados estritamente necessários para cumprimento legal
- não é utilizado para marketing, definição de perfis ou análises
8. Medidas de segurança
A GlobeID implementa medidas técnicas e organizativas adequadas nos termos do Artigo 32 do RGPD.
Estas medidas incluem, entre outras:
- encriptação em repouso de Dados pessoais sensíveis armazenados em buckets Amazon S3 encriptados
- encriptação em trânsito através de protocolos de comunicação seguros
- segregação lógica de dados de clientes por região e conta
- controlo de acesso baseado em funções e princípio do menor privilégio
- autenticação segura, registo de eventos e monitorização
- procedimentos de deteção e resposta a incidentes
Documentos de identificação sensíveis e dados extraídos são armazenados encriptados na infraestrutura regional AWS aplicável.
9. Subcontratação
9.1 Autorização geral
O Cliente concede à GlobeID autorização escrita geral para recorrer a Subcontratantes ulteriores quando necessário para a prestação, operação, segurança e manutenção dos Serviços.
Os Subcontratantes podem fornecer serviços incluindo alojamento de infraestrutura, administração de sistemas, monitorização, autenticação, registo de eventos e suporte operacional.
Todos os Subcontratantes estão contratualmente vinculados a obrigações de confidencialidade e proteção de dados não inferiores às previstas no presente Acordo.
A GlobeID permanece totalmente responsável pelos atos e omissões dos seus Subcontratantes.
9.2 Processamento OCR no dispositivo
Quando o PassportScan utiliza tecnologias OCR ou análise documental, todo o processamento sensível é efetuado localmente no dispositivo móvel do utilizador final.
Nenhum documento de identificação bruto ou dado sensível extraído é transmitido a fornecedores OCR terceiros; consequentemente estes não recebem Dados pessoais e não são considerados Subcontratantes.
9.3 Transparência
A GlobeID mantém uma lista atualizada de Subcontratantes autorizados.
O Cliente fornece por este meio autorização geral para a utilização dos Subcontratantes indicados nesse local.
A GlobeID notificará os Clientes de alterações relevantes antes da contratação de um novo Subcontratante e concederá a possibilidade de oposição quando exigido pela legislação aplicável.
10. Alojamento de dados e transferências internacionais
10.1 Infraestrutura Cloud
Os Dados pessoais são alojados na Amazon Web Services (AWS).
10.2 Residência regional dos dados
O PassportScan aplica um modelo de armazenamento regional alinhado com a localização do hotel do Cliente.
Regiões suportadas à data do presente Acordo:
| Zona geográfica | Local de armazenamento dos dados |
|---|---|
| Europa | Irlanda |
| Ásia | Singapura |
| Austrália | Sydney |
| América do Norte | North Virginia |
| América do Sul | São Paulo |
Os Dados pessoais são armazenados na região correspondente à localização operacional do Cliente salvo acordo em contrário.
10.3 Transferências transfronteiriças
Quando ocorram transferências internacionais, a GlobeID assegura salvaguardas adequadas, incluindo Cláusulas Contratuais-Tipo da UE quando necessário.
ANEXO 1 – RESUMO DO TRATAMENTO
| Item | Descrição |
|---|---|
| Objeto | Dados de identidade e check-in de hóspedes |
| Finalidade | Conformidade legal e registo de hóspedes |
| Titulares | Hóspedes, incluindo menores |
| Categorias de dados | Documentos de identificação, dados do hóspede |
| Tratamento | Recolha, armazenamento, transmissão |
| Duração | Duração contratual |
