Entrar

Acordo de Processamento de Dados

Última atualização: 15 April 2026

Este Acordo de Processamento de Dados (“DPA”) faz parte do acordo entre a entidade identificada na conta Accsible (“Cliente”, “Controlador”) e Denizcom Ltd, operando sob o nome comercial Accsible, registrada em 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Processador”), e complementa os Termos de Uso e a Política de Privacidade (em conjunto, o “Acordo Principal”).

Este DPA se aplica quando e na medida em que a Accsible processa Dados Pessoais em nome do Cliente no curso da prestação do Serviço. Ele foi elaborado para garantir a conformidade com o Artigo 28 do UK GDPR, do EU GDPR (Regulamento 2016/679) e de outras legislações de proteção de dados aplicáveis.

1. Definições

Neste DPA, salvo se o contexto exigir o contrário:

  • “Leis de Proteção de Dados” — o UK GDPR, o EU GDPR, a Data Protection Act 2018, as Privacy and Electronic Communications Regulations 2003 e qualquer outra legislação de proteção de dados aplicável.
  • “Dados Pessoais” — qualquer informação relativa a uma pessoa singular identificada ou identificável que seja processada pela Accsible em nome do Cliente nos termos do Acordo Principal.
  • “Processamento” — qualquer operação realizada sobre Dados Pessoais, incluindo coleta, registro, armazenamento, recuperação, uso, divulgação, apagamento ou destruição.
  • “Subprocessador” — qualquer terceiro nomeado pela Accsible para processar Dados Pessoais em nome do Cliente.
  • “Titular dos Dados” — a pessoa singular identificada ou identificável a quem os Dados Pessoais se referem.
  • “Usuário Final” — um visitante do site do Cliente que interage com o Widget Accsible.
  • “Incidente de Segurança” — uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada de, ou acesso a, Dados Pessoais, acidental ou ilícita.
  • “SCCs” — as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão 2021/914) ou o UK International Data Transfer Agreement (IDTA), conforme aplicável.

2. Escopo & Detalhes do Processamento

2.1 Objeto

A Accsible fornece um widget de acessibilidade e uma plataforma SaaS. Quando o Cliente integra o Widget em seu(s) site(s), a Accsible processa determinados Dados Pessoais de Usuários Finais em nome do Cliente.

2.2 Duração

O processamento começa quando o Cliente ativa o Widget e continua durante a vigência do Acordo Principal. Após a rescisão, aplica-se a Seção 11 deste DPA.

2.3 Natureza e Finalidade do Processamento

Aspecto Detalhe
Finalidade Fornecer e operar o widget de acessibilidade; disponibilizar análises de uso e pontuações de acessibilidade ao Cliente por meio do Dashboard; processar feedback enviado pelos Usuários Finais.
Natureza do processamento Coleta, armazenamento, agregação, análise e exclusão de Dados Pessoais conforme necessário para fornecer o Serviço.

2.4 Tipos de Dados Pessoais

  • Endereços IP (anonimizados para análises; IP completo em logs de segurança por até 90 dias)
  • Tipo de navegador, versão e string de user agent
  • Tipo de dispositivo e sistema operacional
  • Páginas visitadas e carimbos de data/hora no site do Cliente
  • Preferências de acessibilidade selecionadas pelos Usuários Finais (armazenadas localmente no dispositivo do Usuário Final; não transmitidas, a menos que seja enviado feedback)
  • Envios de feedback (nome e/ou e-mail, se fornecidos voluntariamente pelo Usuário Final)
  • Métricas agregadas de visualização de páginas

2.5 Categorias de Titulares dos Dados

  • Usuários Finais — visitantes do(s) site(s) do Cliente que interagem com o Widget Accsible
  • Pessoal do Cliente — indivíduos que acessam o Dashboard Accsible em nome do Cliente

3. Obrigações do Cliente (Controlador)

O Cliente deverá:

  • Garantir que possui uma base legal para o Processamento de Dados Pessoais e para instruir a Accsible a processá-los.
  • Fornecer todos os avisos exigidos e obter todos os consentimentos necessários dos Titulares dos Dados, conforme exigido pelas Leis de Proteção de Dados, incluindo informar os Usuários Finais sobre o uso do Widget Accsible na própria política de privacidade do Cliente.
  • Garantir que suas instruções à Accsible estejam em conformidade com as Leis de Proteção de Dados.
  • Notificar prontamente a Accsible sobre quaisquer alterações nas Leis de Proteção de Dados aplicáveis que possam afetar as obrigações de processamento da Accsible.

4. Obrigações da Accsible (Processador)

A Accsible deverá:

  • Processar Dados Pessoais apenas com base em instruções documentadas do Cliente (incluindo as instruções estabelecidas neste DPA e no Acordo Principal), a menos que seja obrigada a fazê-lo por lei aplicável — caso em que a Accsible informará o Cliente antes do processamento, a menos que seja legalmente proibida de fazê-lo.
  • Garantir que as pessoas autorizadas a processar Dados Pessoais tenham assumido compromissos de confidencialidade ou estejam sujeitas a uma obrigação estatutária apropriada de confidencialidade.
  • Implementar e manter as medidas de segurança técnicas e organizacionais descritas na Seção 5.
  • Cumprir as condições para contratação de Subprocessadores estabelecidas na Seção 6.
  • Ajudar o Cliente, por meio de medidas técnicas e organizacionais adequadas, a cumprir sua obrigação de responder a solicitações de Titulares dos Dados (Seção 7).
  • Ajudar o Cliente a garantir a conformidade com suas obrigações nos termos dos Artigos 32–36 do GDPR (segurança, notificação de violação, avaliações de impacto e consulta prévia), levando em conta a natureza do processamento e as informações disponíveis para a Accsible.
  • À escolha do Cliente, excluir ou devolver todos os Dados Pessoais após a rescisão do Acordo Principal (Seção 11).
  • Disponibilizar ao Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas no Artigo 28 do GDPR e permitir e contribuir para auditorias e inspeções (Seção 10).
  • Informar imediatamente o Cliente se, na opinião da Accsible, uma instrução do Cliente violar as Leis de Proteção de Dados.

5. Medidas de Segurança

A Accsible implementa e mantém as seguintes medidas técnicas e organizacionais para proteger os Dados Pessoais contra processamento não autorizado ou ilícito, perda acidental, destruição ou dano:

5.1 Medidas Técnicas

  • Criptografia em trânsito usando TLS/HTTPS para todas as conexões, incluindo entrega via CDN, comunicação de API e acesso ao Dashboard.
  • Hash de senhas usando algoritmos criptográficos unidirecionais com salt.
  • Cabeçalhos de Content Security Policy (CSP) para mitigar ataques de cross-site scripting e injeção.
  • Proteção DDoS via Cloudflare.
  • Monitoramento de erros (Sentry) configurado para mascarar todo o texto e bloquear toda mídia em reproduções de sessão.
  • Anonimização de endereços IP no processamento de análises.
  • Preferências de acessibilidade do Usuário Final armazenadas no armazenamento local do navegador (apenas no dispositivo; não transmitidas aos servidores, a menos que seja enviado feedback).

5.2 Medidas Organizacionais

  • Controles de acesso baseados em função; acesso a Dados Pessoais limitado ao pessoal que necessita deles para desempenhar suas funções.
  • Obrigações de confidencialidade para todos os funcionários e contratados com acesso a Dados Pessoais.
  • Avaliações de segurança regulares e monitoramento da infraestrutura.
  • Procedimentos de resposta a incidentes conforme descrito na Seção 8.
  • Políticas de retenção que garantem que os Dados Pessoais não sejam mantidos por mais tempo do que o necessário (ver Seção 9).

6. Subprocessadores

6.1 Autorização Geral

O Cliente concede à Accsible uma autorização geral por escrito para contratar Subprocessadores para realizar atividades específicas de processamento em nome do Cliente. A Accsible imporá obrigações de proteção de dados não menos protetivas do que as deste DPA a cada Subprocessador por meio de um contrato escrito.

6.2 Subprocessadores Atuais

Os seguintes Subprocessadores estão contratados na data deste DPA:

Subprocessador Finalidade Localização
Cloudflare, Inc. CDN, proteção DDoS, entrega de conteúdo para o Widget e API Global (sede nos EUA); processamento de dados da UE/Reino Unido sob SCCs
Functional Software, Inc. (Sentry) Monitoramento de erros e diagnósticos de desempenho EUA; processamento sob SCCs
Google LLC (Google Analytics) Análises agregadas de tráfego de sites (apenas com base em consentimento) EUA; processamento sob SCCs e EU-US Data Privacy Framework
Stripe, Inc. Processamento de pagamentos e gestão de assinaturas EUA; certificada PCI DSS Nível 1; processamento sob SCCs

6.3 Alterações em Subprocessadores

A Accsible notificará o Cliente por e-mail com pelo menos 30 dias de antecedência antes de adicionar ou substituir um Subprocessador. A notificação incluirá o nome do Subprocessador, o processamento que ele realizará e sua localização.

Se o Cliente tiver uma objeção razoável a um novo Subprocessador com base em motivos de proteção de dados, o Cliente deverá notificar a Accsible por escrito dentro de 14 dias após o recebimento da notificação. As partes discutirão a preocupação de boa-fé. Se as partes não conseguirem resolver a objeção em 30 dias, o Cliente poderá rescindir o Serviço afetado mediante notificação por escrito, e a Accsible reembolsará quaisquer taxas pagas antecipadamente pela parte não utilizada do período de assinatura.

7. Direitos dos Titulares dos Dados

A Accsible, levando em conta a natureza do processamento, auxiliará o Cliente por meio de medidas técnicas e organizacionais adequadas a cumprir suas obrigações de responder a solicitações de Titulares dos Dados que exerçam seus direitos sob as Leis de Proteção de Dados, incluindo:

  • Direito de acesso
  • Direito de retificação
  • Direito ao apagamento (“direito a ser esquecido”)
  • Direito à restrição de processamento
  • Direito à portabilidade de dados
  • Direito de oposição

Se a Accsible receber diretamente uma solicitação de um Titular dos Dados relativa aos dados do Cliente, a Accsible redirecionará prontamente o Titular dos Dados ao Cliente e notificará o Cliente sobre a solicitação, a menos que seja legalmente proibida de fazê-lo. A Accsible não responderá diretamente a tais solicitações, a menos que seja instruída pelo Cliente ou exigido por lei.

8. Notificação de Incidente de Segurança

8.1 Notificação

A Accsible notificará o Cliente sobre qualquer Incidente de Segurança confirmado sem demora injustificada e, em qualquer caso, dentro de 48 horas após tomar conhecimento do mesmo. A notificação será enviada para o endereço de e-mail associado à conta do Cliente (ou um endereço alternativo designado pelo Cliente para esse fim).

8.2 Conteúdo da Notificação

A notificação incluirá, na medida em que estiver disponível no momento:

  • Uma descrição da natureza do Incidente de Segurança, incluindo as categorias e o número aproximado de Titulares dos Dados e registros de dados afetados.
  • O nome e os dados de contato do ponto de contato na Accsible.
  • Uma descrição das prováveis consequências do incidente.
  • Uma descrição das medidas tomadas ou propostas para lidar com o incidente, incluindo medidas para mitigar seus efeitos.

8.3 Obrigações Contínuas

A Accsible fornecerá informações adicionais à medida que se tornarem disponíveis e cooperará com as solicitações razoáveis do Cliente para investigar, remediar e mitigar os efeitos do Incidente de Segurança. A Accsible também auxiliará o Cliente a cumprir suas próprias obrigações de notificação de violação às autoridades de supervisão e aos Titulares dos Dados nos termos dos Artigos 33 e 34 do GDPR.

8.4 Registo

A Accsible manterá um registro de todos os Incidentes de Segurança, incluindo os fatos relacionados ao incidente, seus efeitos e as medidas corretivas adotadas.

9. Retenção de Dados

A Accsible retém os Dados Pessoais processados sob este DPA da seguinte forma:

  • Logs de segurança (endereços IP completos): Até 90 dias, depois excluídos permanentemente.
  • Dados de análises agregadas: Anonimizados mensalmente; dados de sessão individual não são retidos.
  • Envios de feedback de Usuários Finais: Retidos durante a vigência do Acordo Principal; excluídos em até 30 dias após a rescisão.
  • Dados de monitoramento de erros (Sentry): Até 90 dias.
  • Métricas de uso do Widget: Agregadas e anonimizadas; nenhum dado em nível individual é retido após o processamento.

A Accsible não reterá Dados Pessoais por mais tempo do que o necessário para as finalidades de prestação do Serviço ou conforme exigido pela lei aplicável.

10. Auditorias & Conformidade

10.1 Informações

A Accsible disponibilizará ao Cliente, mediante solicitação razoável, todas as informações razoavelmente necessárias para demonstrar a conformidade com suas obrigações sob este DPA e o Artigo 28 do GDPR.

10.2 Direitos de Auditoria

O Cliente (ou um auditor terceirizado independente nomeado pelo Cliente) pode realizar uma auditoria das atividades de processamento e das medidas de segurança da Accsible, sujeita às seguintes condições:

  • O Cliente deverá fornecer pelo menos 30 dias’ de aviso prévio por escrito de uma solicitação de auditoria.
  • As auditorias serão realizadas durante o horário comercial normal (segunda–sexta, 09:00–18:00 GMT) e não deverão interromper de forma irrazoável as operações da Accsible.
  • O Cliente poderá realizar no máximo uma auditoria por período de 12 meses, a menos que seja exigido por uma autoridade de supervisão ou após um Incidente de Segurança confirmado.
  • O auditor estará vinculado a obrigações de confidencialidade não menos protetivas do que aquelas do Acordo Principal.
  • A Accsible poderá satisfazer uma solicitação de auditoria fornecendo um relatório SOC 2 Tipo II atual, certificado ISO 27001 ou certificação independente equivalente, se disponível.

10.3 Cooperação

A Accsible cooperará com o Cliente e qualquer autoridade de supervisão que exija acesso às instalações ou registros da Accsible em conexão com este DPA.

11. Devolução & Exclusão de Dados

Após a rescisão ou expiração do Acordo Principal, o Cliente poderá solicitar, dentro de 30 dias, que a Accsible:

  • Devolva todos os Dados Pessoais em um formato estruturado, de uso comum e legível por máquina; ou
  • Exclua todos os Dados Pessoais e confirme a exclusão por escrito.

Se o Cliente não fizer uma solicitação dentro de 30 dias após a rescisão, a Accsible excluirá permanentemente todos os Dados Pessoais, exceto na medida em que a retenção seja exigida por lei aplicável (por exemplo, registros de faturamento para conformidade fiscal). Quando a retenção for legalmente exigida, a Accsible isolará e protegerá os dados e limitará o processamento à finalidade determinada por lei.

12. Transferências Internacionais

A Accsible está estabelecida no Reino Unido. Quando os Dados Pessoais são transferidos para Subprocessadores localizados fora do Reino Unido ou do EEE, a Accsible garante que salvaguardas apropriadas estejam em vigor, incluindo:

  • UK International Data Transfer Agreement (IDTA) ou UK Addendum às SCCs
  • Cláusulas Contratuais Padrão da UE (SCCs) — Decisão da Comissão 2021/914
  • Decisões de adequação do Secretary of State do Reino Unido ou da Comissão Europeia
  • Quando aplicável, medidas suplementares adicionais conforme recomendado pelo ICO ou EDPB

Uma cópia do mecanismo de transferência relevante será disponibilizada ao Cliente mediante solicitação por escrito.

13. Responsabilidade

A responsabilidade de cada parte sob este DPA está sujeita às limitações e exclusões de responsabilidade estabelecidas no Acordo Principal (Termos de Uso), exceto que nenhuma das partes exclui ou limita a responsabilidade por violações das Leis de Proteção de Dados na medida em que tal exclusão ou limitação não seja permitida pela lei aplicável.

14. Vigência & Prevalência

14.1 Vigência

Este DPA entra em vigor na data em que o Cliente integra pela primeira vez o Widget Accsible e permanece em vigor durante a vigência do Acordo Principal e, posteriormente, até que todos os Dados Pessoais tenham sido excluídos ou devolvidos de acordo com a Seção 11.

14.2 Prevalência

Em caso de conflito entre este DPA e o Acordo Principal, este DPA prevalecerá no que diz respeito ao processamento e à proteção de Dados Pessoais.

14.3 Alterações

A Accsible poderá atualizar este DPA para refletir alterações nas Leis de Proteção de Dados ou nas atividades de processamento. Alterações materiais serão notificadas ao Cliente com pelo menos 30 dias de antecedência por e-mail. O uso contínuo do Serviço após a data de entrada em vigor das alterações constitui aceitação.

15. Contato

Para dúvidas ou solicitações relacionadas a este DPA, entre em contato conosco em:

  • Contato de Proteção de Dados: [email protected]
  • Incidentes de Segurança: [email protected]
  • Sede Registrada: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Registro no ICO: ZC114350