Acordo de Tratamento de Dados
Ultima atualizacao: maio de 2026
Este Acordo de Tratamento de Dados ("ATD") faz parte integrante do contrato celebrado entre si ("Responsavel pelo Tratamento", "Estudio") e a Belle ("Subcontratante") para a utilizacao da plataforma Belle, nos termos do Artigo 28.o do RGPD.
1. Ambito do Tratamento
Objeto: Prestacao de servicos de gestao de marcacoes, comunicacao com clientes e reservas online.
Duracao: Pelo periodo de vigencia da subscricao do Estudio, acrescido do prazo de eliminacao de 30 dias.
Natureza e finalidade: Armazenamento, consulta e tratamento de dados pessoais para marcacao de consultas, notificacoes automaticas e gestao do estudio.
Categorias de titulares dos dados: Clientes do estudio (pessoas que efetuam marcacoes), colaboradores do estudio.
Tipos de dados pessoais: Nome, numero de telefone, endereco de e-mail, historico de marcacoes, data de nascimento (opcional).
2. Obrigacoes do Subcontratante (Art. 28.o, n.o 3)
2.1 Instrucoes Documentadas
O Subcontratante trata os dados pessoais apenas mediante instrucoes documentadas do Responsavel pelo Tratamento, incluindo no que respeita a transferencias para paises terceiros, salvo quando obrigado por lei.
2.2 Confidencialidade
O Subcontratante assegura que as pessoas autorizadas a tratar dados pessoais assumiram um compromisso de confidencialidade ou estao sujeitas a adequadas obrigacoes legais de confidencialidade.
2.3 Medidas de Seguranca (Art. 32.o)
O Subcontratante implementa medidas tecnicas e organizativas adequadas, incluindo:
- Hashing de palavras-passe com Argon2id (64 MB de custo de memoria)
- TLS 1.3 para todos os dados em transito
- Seguranca ao nivel da linha (row-level security) isolando os dados de cada estudio na base de dados
- Autenticacao JWT com tokens de curta duracao e tokens de atualizacao rotativos
- Content Security Policy rigorosa e limitacao de taxa de pedidos
- Registo de auditoria de todas as modificacoes de dados
2.4 Subcontratantes Ulteriores
O Responsavel pelo Tratamento concede autorizacao geral por escrito para que o Subcontratante recorra a subcontratantes ulteriores. O Subcontratante informa o Responsavel pelo Tratamento de quaisquer alteracoes previstas, facultando-lhe a oportunidade de se opor. Subcontratantes ulteriores atuais:
| Subcontratante | Finalidade | Localizacao | Garantias |
|---|---|---|---|
| Railway | Alojamento, PostgreSQL, Redis | UE | Residencia de dados na UE |
| Cloudflare | CDN, DNS, armazenamento de objetos R2 | Global | Clausulas Contratuais Tipo |
| Resend | Envio de e-mails transacionais | EUA | Clausulas Contratuais Tipo |
| Twilio | Envio de SMS e WhatsApp | EUA | Clausulas Contratuais Tipo |
Cada subcontratante ulterior esta vinculado a obrigacoes de protecao de dados equivalentes as previstas neste ATD.
2.5 Direitos dos Titulares dos Dados
O Subcontratante auxilia o Responsavel pelo Tratamento na resposta a pedidos dos titulares dos dados (acesso, retificacao, apagamento, portabilidade, limitacao, oposicao), disponibilizando:
- Exportacao de dados de clientes (formato JSON) a partir do painel de gestao
- Anonimizacao de clientes (quando o apagamento e solicitado mas os registos devem ser conservados)
- Exportacao completa dos dados do estudio para proprietarios
2.6 Assistencia em Materia de Seguranca e Violacoes de Dados
O Subcontratante auxilia o Responsavel pelo Tratamento no cumprimento das obrigacoes previstas nos Artigos 32.o a 36.o, incluindo a notificacao de violacoes de dados. O Subcontratante notifica o Responsavel pelo Tratamento sem demora injustificada apos tomar conhecimento de uma violacao de dados pessoais.
2.7 Eliminacao e Devolucao
Apos a cessacao do servico, o Subcontratante elimina todos os dados pessoais no prazo de 30 dias (periodo de carencia para eliminacao), salvo quando a conservacao seja exigida por lei. O Responsavel pelo Tratamento pode exportar todos os dados antes de iniciar a eliminacao.
2.8 Auditoria
O Subcontratante coloca a disposicao do Responsavel pelo Tratamento todas as informacoes necessarias para demonstrar o cumprimento do Artigo 28.o e permite a realizacao de auditorias pelo Responsavel pelo Tratamento ou por um auditor por este mandatado. O Subcontratante informa imediatamente o Responsavel pelo Tratamento caso uma instrucao viole o RGPD.
3. Obrigacoes do Responsavel pelo Tratamento
- Assegurar a existencia de uma base juridica valida para todo o tratamento
- Obter os consentimentos necessarios dos titulares dos dados, quando exigido
- Fornecer instrucoes de tratamento em conformidade com o RGPD
- Informar o Subcontratante sobre quaisquer requisitos de avaliacao de impacto sobre a protecao de dados
4. Lei Aplicavel
Este ATD e regido pela legislacao portuguesa e pelo RGPD. A autoridade de controlo competente e a CNPD (Comissao Nacional de Protecao de Dados).