Acordo de Tratamento de Dados (DPA)
Este Acordo de Tratamento de Dados, também conhecido como DPA, faz parte dos Termos e Condições do AgendaSmart. O objetivo é explicar, de forma clara, como são tratados os dados pessoais dos clientes finais das lojas que utilizam a plataforma.
Neste acordo, a Loja ou Estabelecimento aderente atua como Responsável pelo Tratamento, pois decide que dados recolhe dos seus clientes e para que finalidade. O AgendaSmart atua como Subcontratante, tratando esses dados apenas para prestar o serviço de agendamento online, nos termos do artigo 28.º do RGPD.
1. Objeto e instruções de tratamento
O AgendaSmart disponibiliza uma ferramenta online para gestão de marcações. No âmbito deste serviço, podemos tratar dados dos clientes finais das lojas, como nome, email, número de telemóvel, data e hora da marcação, serviço escolhido, profissional selecionado e eventuais notas associadas à reserva.
Estes dados podem ser introduzidos diretamente pela Loja ou pelos seus próprios clientes através da página pública de marcações.
O AgendaSmart compromete-se a tratar estes dados apenas de acordo com as instruções documentadas da Loja, não os utilizando para qualquer outra finalidade que não esteja relacionada com a prestação do serviço contratado.
2. Confidencialidade e segurança
O AgendaSmart compromete-se a garantir que qualquer pessoa autorizada a aceder a dados pessoais fica sujeita a deveres de confidencialidade, seja por obrigação legal ou contratual.
São aplicadas medidas técnicas e organizativas adequadas para reduzir os riscos associados ao tratamento dos dados, incluindo:
- Separação rigorosa dos dados entre diferentes lojas ao nível da base de dados, através de Row Level Security no Supabase;
- Utilização de HTTPS/TLS para proteger os dados em trânsito;
- Controlo de acessos por perfil de utilizador, distinguindo entre dono da loja e colaboradores;
- Utilização de tokens seguros, com hash e prazo de validade, para ações sensíveis como cancelamentos e remarcações;
- Mecanismos de segurança, backups e redundância assegurados pelos fornecedores de infraestrutura utilizados, quando aplicável.
3. Sub-subcontratantes
Para conseguir prestar o serviço, o AgendaSmart recorre a fornecedores tecnológicos especializados. A Loja autoriza a utilização destes fornecedores enquanto forem necessários para o funcionamento da plataforma.
- Vercel, Inc. — alojamento da aplicação e execução de funções serverless;
- Supabase, Inc. — base de dados, autenticação e armazenamento;
- Resend — envio de emails transacionais, como confirmações, cancelamentos, remarcações e convites;
- Ifthenpay, Lda. — poderá ser utilizado no futuro para processamento de pagamentos, caso sejam disponibilizados planos pagos.
O AgendaSmart procura trabalhar com fornecedores que ofereçam garantias adequadas de segurança, fiabilidade e conformidade com o RGPD.
4. Apoio à Loja e comunicação de incidentes
Sempre que razoavelmente possível, o AgendaSmart prestará apoio à Loja no cumprimento das suas obrigações enquanto Responsável pelo Tratamento, nomeadamente na resposta a pedidos dos titulares dos dados.
Isto pode incluir pedidos de acesso, retificação, eliminação ou limitação do tratamento apresentados por clientes finais da Loja.
Em caso de incidente de segurança que resulte numa violação acidental ou ilícita de dados pessoais, o AgendaSmart notificará a Loja sem demora injustificada após tomar conhecimento da situação.
Sempre que possível, essa comunicação será feita num prazo estimado de 24 a 48 horas, disponibilizando a informação necessária para que a Loja possa avaliar o impacto e, se aplicável, cumprir a obrigação de comunicação à CNPD no prazo legal de 72 horas.
5. Destino dos dados no fim do contrato
Quando a prestação do serviço terminar por cancelamento definitivo da conta, o AgendaSmart procederá à eliminação ou anonimização dos dados dos Utilizadores Finais associados à respetiva Loja no prazo máximo de 30 dias.
Esta eliminação não se aplica a dados que tenham de ser conservados por obrigação legal, fiscal ou para defesa de direitos.