Acordo de Tratamento de Dados Pessoais (DPA)

Nos termos do Artigo 28.º do RGPD

Última atualização: 29 de junho de 2026

Partes

Responsável pelo Tratamento (“Responsável”): [Nome do Salão], NIF [•], com sede em [•] — adiante designado “Salão”.

Subcontratante (“Subcontratante”): Modernpuzzle, Lda., NIF 513 610 480, com sede na Avenida Monsenhor Celso Tavares da Silva, Lote 19-A, 4.º M, 3500-101 Viseu — adiante designada “Modernpuzzle”.

Em conjunto, as “Partes”.

1. Objeto e enquadramento

1.1. O presente Acordo regula o tratamento de dados pessoais efetuado pela Modernpuzzle por conta do Salão, no âmbito da utilização da aplicação Reditta, e dá cumprimento ao Artigo 28.º do RGPD.

1.2. O Salão é o Responsável pelo Tratamento dos dados pessoais dos seus clientes finais. A Modernpuzzle atua como Subcontratante, tratando esses dados exclusivamente por conta e segundo as instruções do Salão.

1.3. A descrição do tratamento (natureza, finalidade, categorias de dados e de titulares e duração) consta do Anexo 1.

1.4. Em caso de conflito entre o presente Acordo e os Termos e Condições de utilização da plataforma, prevalece o presente Acordo quanto à matéria de proteção de dados.

2. Duração

O presente Acordo vigora enquanto durar a relação contratual de prestação do serviço Reditta entre as Partes, cessando automaticamente com o termo desta, sem prejuízo das obrigações que, pela sua natureza, devam subsistir (designadamente a eliminação ou devolução de dados e os deveres de confidencialidade).

3. Obrigações da Modernpuzzle (Subcontratante)

A Modernpuzzle compromete-se a:

3.1. Instruções documentadas — tratar os dados pessoais apenas mediante instruções documentadas do Salão, inclusive quanto a transferências internacionais, salvo se obrigada a fazê-lo por força do direito da União ou nacional, caso em que informa o Salão antes do tratamento, exceto se a lei o proibir por motivos de interesse público.

3.2. Confidencialidade — assegurar que as pessoas autorizadas a tratar os dados se comprometeram à confidencialidade ou estão sujeitas a obrigação legal de sigilo.

3.3. Segurança — aplicar as medidas técnicas e organizativas adequadas previstas no Artigo 32.º do RGPD, descritas no Anexo 2.

3.4. Sub-processadores — recorrer apenas aos sub-processadores autorizados no Anexo 3, nas condições da Cláusula 5.

3.5. Assistência aos direitos dos titulares — assistir o Salão, na medida do possível e através de medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de responder a pedidos de exercício de direitos dos titulares (Artigos 12.º a 23.º do RGPD). Se um titular dirigir um pedido diretamente à Modernpuzzle, esta reencaminha-o ao Salão sem demora indevida e não responde diretamente, salvo instrução do Salão.

3.6. Assistência ao cumprimento (Art. 32.º a 36.º) — assistir o Salão no cumprimento das obrigações de segurança, notificação de violações, avaliação de impacto sobre a proteção de dados (AIPD) e consulta prévia, tendo em conta a natureza do tratamento e a informação ao dispor da Modernpuzzle.

3.7. Eliminação ou devolução — no termo da prestação do serviço, eliminar ou devolver ao Salão todos os dados pessoais, à escolha do Salão, e eliminar as cópias existentes, salvo se a conservação for exigida pelo direito da União ou nacional. Os registos de consentimento e de auditoria, quando exigidos como prova de responsabilidade, são conservados pelos prazos legais aplicáveis.

3.8. Demonstração de conformidade e auditorias — disponibilizar ao Salão a informação necessária para demonstrar o cumprimento das obrigações do Artigo 28.º e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Salão ou por um auditor por este mandatado, nas condições da Cláusula 8.

4. Obrigações do Salão (Responsável)

4.1. O Salão garante que dispõe de base legal adequada para a recolha e tratamento dos dados pessoais que disponibiliza ou que são tratados através da plataforma, incluindo a obtenção dos consentimentos exigidos (designadamente para dados de saúde — Art. 9.º do RGPD — e para marketing).

4.2. O Salão é responsável pela exatidão, qualidade e licitude dos dados e das instruções que transmite à Modernpuzzle.

4.3. O Salão compromete-se a transmitir instruções lícitas. A Modernpuzzle informa o Salão se, no seu entender, uma instrução violar o RGPD ou outra legislação de proteção de dados.

5. Sub-processadores

5.1. O Salão concede à Modernpuzzle autorização geral para recorrer aos sub-processadores listados no Anexo 3.

5.2. A Modernpuzzle mantém uma lista atualizada de sub-processadores e notifica o Salão com 30 dias de antecedência de qualquer adição ou substituição, dando-lhe a oportunidade de se opor.

5.3. Caso o Salão se oponha, com fundamento razoável em matéria de proteção de dados, a um novo sub-processador, pode rescindir o contrato de utilização da Reditta sem penalização, com reembolso proporcional dos valores pagos antecipadamente e não utilizados.

5.4. A Modernpuzzle celebra com cada sub-processador um contrato que impõe obrigações de proteção de dados equivalentes às do presente Acordo, e responde perante o Salão pelo cumprimento por parte dos seus sub-processadores.

6. Transferências internacionais

6.1. As transferências de dados para fora do Espaço Económico Europeu (EEE) só ocorrem quando exista um mecanismo de transferência válido nos termos do Capítulo V do RGPD.

6.2. Para os sub-processadores fora do EEE, ou que possam efetuar processamento técnico fora do EEE (identificados no Anexo 3), a transferência assenta nas Cláusulas Contratuais-Tipo (SCC) da Comissão Europeia (Decisão de Execução (UE) 2021/914) e/ou no EU-US Data Privacy Framework, acompanhadas de Transfer Impact Assessment (TIA) e de medidas suplementares adequadas.

7. Violação de dados pessoais

7.1. A Modernpuzzle notifica o Salão sem demora indevida e, em qualquer caso, num prazo máximo de 24 horas após ter conhecimento de uma violação de dados pessoais que afete os dados tratados por conta do Salão.

7.2. A notificação inclui, na medida do possível, a informação exigida pelo Artigo 33.º, n.º 3 do RGPD: a natureza da violação, as categorias e o número aproximado de titulares e de registos afetados, as consequências prováveis e as medidas adotadas ou propostas.

7.3. A obrigação de notificar a autoridade de controlo (CNPD) e, quando aplicável, os titulares, recai sobre o Salão enquanto Responsável; a Modernpuzzle presta a assistência necessária.

8. Auditorias

8.1. Mediante pré-aviso razoável (mínimo de 30 dias, salvo exigência legal ou de autoridade), e no máximo uma vez por ano civil — exceto na sequência de um incidente de segurança ou por exigência de autoridade de controlo — o Salão pode auditar o cumprimento do presente Acordo.

8.2. A Modernpuzzle pode satisfazer o direito de auditoria disponibilizando relatórios, certificações ou documentação técnica equivalente, quando existam.

9. Responsabilidade

9.1. Cada Parte responde pelos danos causados por um tratamento que viole o RGPD, nos termos do Artigo 82.º.

9.2. A responsabilidade da Modernpuzzle ao abrigo do presente Acordo segue os limites previstos nos Termos e Condições de utilização da plataforma, na máxima extensão permitida por lei e sem prejuízo das normas imperativas de proteção de dados.

10. Lei aplicável e foro

O presente Acordo rege-se pela lei portuguesa. Para a resolução de litígios é competente o foro da comarca da sede da Modernpuzzle, com expressa renúncia a qualquer outro, salvo norma imperativa em contrário.

Assinaturas

Pelo Salão (Responsável): ______________________ Data: ___ / ___ / ______

Pela Modernpuzzle, Lda. (Subcontratante): ______________________ Data: ___ / ___ / ______

Anexo 1 — Descrição do tratamento

1.1 Categorias de titulares dos dados

1.2 Categorias de dados pessoais

Categoria Exemplos Sensibilidade
Identificação Nome próprio e apelido Padrão
Contactos Número de WhatsApp, email (quando fornecido) Padrão
Sociodemográficos Género (autodeclarado), data de nascimento aproximada Padrão
Perfil capilar Tipo de cabelo, densidade, comprimento, cor natural, cor atual Padrão
Dados de saúde Alergias, sensibilidades, condições do couro cabeludo Categoria especial — Art. 9.º RGPD
Histórico de serviços Marcações, serviços prestados, datas, profissional, estado Padrão
Comunicações Mensagens de WhatsApp entre o salão e o cliente Padrão
Metadados de utilização Timestamps de consentimento, IP no momento do consentimento, método de captura Padrão
Autenticação (colaboradores) Identificador único, email, papel, sessão Padrão

1.3 Finalidades do tratamento

# Finalidade Base legal Quem trata
1 Gestão de marcações, agenda e prestação de serviços Execução de contrato (salão↔︎cliente) Salão (Controller) / Modernpuzzle (Processor)
2 Registo de dados de saúde relevantes para a segurança do serviço Consentimento explícito — Art. 9.º, n.º 2, al. a) RGPD Salão (Controller) / Modernpuzzle (Processor)
3 Comunicação operacional via WhatsApp Execução de contrato + interesse legítimo Salão (Controller) / Modernpuzzle (Processor)
4 Marketing e promoções do salão Consentimento Salão (Controller) / Modernpuzzle (Processor)
5 Análises estatísticas e insights agregados e anonimizados Consentimento, com anonimização prévia Modernpuzzle (Controller)
6 Cumprimento de obrigações legais (faturação, contabilidade) Obrigação legal Salão (Controller)

1.4 Duração do tratamento

1.5 Operações de tratamento

Recolha, registo, organização, conservação, adaptação, recuperação, consulta, utilização, divulgação por transmissão (apenas com base legal aplicável), comparação ou interligação, limitação, apagamento e destruição.

Anexo 2 — Medidas técnicas e organizativas de segurança

A Modernpuzzle implementa as seguintes medidas, em conformidade com o Artigo 32.º do RGPD.

2.1 Encriptação

2.2 Controlo de acessos

2.3 Pseudonimização e anonimização

2.4 Cópias de segurança e recuperação

2.5 Registo, auditoria e responsabilidade

2.6 Gestão de incidentes

Procedimento documentado de resposta a incidentes: deteção (monitorização de logs e alertas), contenção (isolamento e revogação de acessos), notificação ao Salão no prazo máximo de 24 horas, análise de causa-raiz, medidas corretivas e registo interno de todas as violações, independentemente de notificação à CNPD.

2.7 Formação e organização interna

2.8 Subcontratação

Anexo 3 — Lista de sub-processadores autorizados

A presente lista descreve os sub-processadores em uso à data de assinatura. A Modernpuzzle compromete-se a notificar o Salão com 30 dias de antecedência sempre que pretenda adicionar ou substituir sub-processadores.

# Sub-processador Função Localização Mecanismo de transferência
1 Supabase Inc. Hosting da base de dados PostgreSQL, autenticação, Edge Functions, storage UE — Frankfurt Tratamento dentro do EEE — sem transferência internacional
2 Anthropic PBC Processamento de linguagem natural (classificação de intenção em conversas automatizadas) EUA SCC (Decisão 2021/914) + TIA + medidas suplementares (minimização de dados, encriptação em trânsito, ausência de identificadores diretos no input)
3 Twilio Ireland Limited Gateway de mensagens WhatsApp Business (envio e receção) e envio de OTP por SMS para autenticação Irlanda (entidade contratual), com possível processamento técnico nos EUA SCC + medidas suplementares
4 Vercel Inc. Hosting do frontend estático (landing page e aplicação web) EUA / rede de edge global SCC + medidas suplementares. Apenas conteúdo público e ficheiros estáticos; nenhum dado pessoal tratado nesta camada
5 Eupago, S.A. Processamento de pagamentos (referências Multibanco) das subscrições dos salões Portugal Tratamento dentro do EEE. Apenas dados do salão enquanto cliente da Modernpuzzle; clientes finais do salão não têm dados tratados por este sub-processador
6 InvoiceXpress Emissão de faturas certificadas (Autoridade Tributária) das subscrições dos salões Portugal Tratamento dentro do EEE. Apenas dados do salão enquanto cliente da Modernpuzzle; clientes finais do salão não têm dados tratados por este sub-processador
7 Google Ireland Limited (Google Analytics) Medição estatística de utilização da aplicação (web analytics), apenas mediante consentimento do utilizador Irlanda (entidade contratual), com processamento nos EUA (Google LLC) EU-US Data Privacy Framework (certificação da Google LLC) e/ou SCC (Decisão 2021/914) + TIA + medidas suplementares

3.1 Observações