Rectangle

Acordo de Tratamento de Dados

O Data Processing Agreement (DPA) define como os dados pessoais são tratados entre o responsável pelo tratamento e o subcontratante em conformidade com o RGPD.

Versão: 2.0
Última atualização: 23/02/2026

 

1. Partes

O presente Acordo de Tratamento de Dados (“DPA”) faz parte integrante do Contrato de Serviços celebrado entre:

Responsável pelo Tratamento: O cliente do setor hoteleiro que utiliza o PassportScan Cloud

Subcontratante:
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
Irlanda
NIF IVA: IE 3342103WH

O Subcontratante presta os serviços PassportScan Cloud ao Responsável pelo Tratamento.

 

2. Finalidade

O presente DPA regula o tratamento de Dados Pessoais pelo Subcontratante por conta do Responsável pelo Tratamento, em conformidade com:

  • Regulamento (UE) 2016/679 (RGPD)
  • Legislação local aplicável em matéria de proteção de dados

O Subcontratante tratará os Dados Pessoais exclusivamente com base em instruções documentadas do Responsável pelo Tratamento.

 

3. Natureza e finalidade do tratamento

O PassportScan Cloud permite:

  • Registo digital de hóspedes
  • Digitalização de documentos de identificação e extração OCR
  • Recolha de consentimentos
  • Exportação regulamentar
  • Integração com PMS
  • Compra de créditos e ativação de conta

O processamento de pagamentos é assegurado exclusivamente pela Stripe.

O Subcontratante não determina as finalidades do tratamento.

 

4. Categorias de titulares dos dados

  • Hóspedes do hotel
  • Hóspedes menores (quando legalmente exigido)
  • Titulares de reserva
  • Utilizadores membros do staff do hotel
  • Contactos de faturação

 

5. Categorias de Dados Pessoais

Dados de Identificação

  • Nome próprio e apelido
  • Data e local de nascimento
  • Nacionalidade
  • Número do documento de identificação
  • Tipo de documento
  • Data de validade
  • Imagens do documento (se ativado)
  • Imagens de assinatura
  • Metadados de consentimento

Dados Técnicos

  • Endereço IP
  • Metadados de autenticação
  • Metadados do dispositivo
  • Registos (logs)

Metadados de Pagamento

  • ID da transação
  • Estado do pagamento
  • Montante
  • Moeda
  • Email de faturação (quando aplicável)

O Subcontratante não armazena nem trata:

  • Números completos de cartões de pagamento
  • Códigos CVV
  • Datas de validade dos cartões

Os dados de cartões de pagamento são tratados exclusivamente pela Stripe.

 

6. Obrigações do Subcontratante

O Subcontratante compromete-se a:

  • Tratar os Dados Pessoais apenas com base em instruções documentadas
  • Assegurar a confidencialidade
  • Implementar medidas técnicas e organizativas adequadas
  • Auxiliar no exercício dos direitos dos titulares dos dados
  • Notificar violações de dados pessoais sem demora injustificada
  • Apagar ou devolver os Dados Pessoais após a cessação do contrato

 

7. Medidas técnicas e organizativas

O Subcontratante implementa:

  • Infraestrutura alojada em AWS
  • Implementação Multi-AZ
  • Encriptação ao nível da aplicação / campo (Modelo B)
  • Encriptação AES-256 em repouso
  • Encriptação TLS 1.2+ em trânsito
  • Controlo de acessos baseado em funções
  • Suporte para MFA
  • Registo e monitorização
  • Testes de intrusão independentes

 

8. Subcontratantes ulteriores

O Responsável pelo Tratamento autoriza o Subcontratante a recorrer a subcontratantes conforme listado no Registo Público de Subcontratantes.

As categorias atuais incluem:

  • Amazon Web Services (AWS) – Infraestrutura Cloud
  • Clerk – Autenticação
  • Datadog – Monitorização
  • Google Workspace – Operações internas
  • Stripe – Processamento de pagamentos

O Subcontratante assegura que os subcontratantes estão vinculados a obrigações equivalentes ao RGPD.

 

9. Segurança do tratamento (Artigo 32.º RGPD)

O Subcontratante garante medidas de segurança adequadas considerando:

  • O estado da técnica
  • Os custos de implementação
  • A natureza, âmbito, contexto e finalidades do tratamento
  • O risco para os direitos e liberdades das pessoas singulares

As medidas incluem encriptação, controlo de acessos, resiliência e capacidade de resposta a incidentes.

 

10. Residência dos dados e transferências internacionais

10.1 Infraestrutura principal

A infraestrutura principal da plataforma, incluindo serviços aplicacionais e bases de dados primárias, está alojada exclusivamente em:

Amazon Web Services (AWS) – eu-west-1 (Irlanda, União Europeia).

Não está configurada qualquer replicação entre regiões das bases de dados principais.

10.2 Armazenamento regional de imagens de documentos

Quando a funcionalidade de armazenamento de imagens de documentos estiver ativada pelo Responsável pelo Tratamento, o armazenamento de objetos (Amazon S3) pode ser provisionado na região AWS correspondente à jurisdição operacional do hotel.

Essas regiões podem incluir localizações fora do Espaço Económico Europeu (EEE), nomeadamente:

  • Ásia-Pacífico
  • África
  • América do Norte
  • América do Sul
  • Austrália

A regionalização permite:

  • Conformidade com requisitos de localização de dados
  • Otimização da latência
  • Alinhamento jurisdicional

10.3 Garantias para transferências internacionais

Quando os Dados Pessoais forem tratados fora do EEE, as transferências são regidas por:

  • AWS Data Processing Addendum
  • Cláusulas Contratuais-Tipo (SCC), quando aplicável
  • Encriptação em repouso (AES-256)
  • Encriptação em trânsito (TLS 1.2+)

O Subcontratante assegura garantias adequadas nos termos do Capítulo V do RGPD.

 

11. Auditoria e inspeção

O Subcontratante disponibiliza as informações necessárias para demonstrar conformidade e pode fornecer:

  • Documentação de segurança
  • Resumo de testes de intrusão
  • Certificações (quando aplicável)

As auditorias podem ser realizadas mediante aviso prévio razoável.

 

12. Violação de dados pessoais

O Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.

A notificação incluirá:

  • Natureza da violação
  • Categorias de dados afetados
  • Medidas de mitigação adotadas

 

13. Cessação

Após a cessação dos serviços:

  • Os Dados Pessoais serão eliminados no prazo de 30 dias, salvo obrigação legal em contrário
  • Os acessos serão revogados
  • Aplicam-se as políticas de eliminação de cópias de segurança

 

14. Lei aplicável e jurisdição

O presente Acordo de Tratamento de Dados e qualquer litígio ou reclamação dele decorrente ou com ele relacionado (incluindo litígios ou reclamações de natureza extracontratual) serão regidos e interpretados de acordo com a legislação espanhola. Os tribunais de Espanha terão competência exclusiva para dirimir qualquer litígio decorrente do presente DPA ou com ele relacionado, salvo disposição imperativa em contrário da legislação aplicável em matéria de proteção de dados.

Passportscan