Entrar

Acordo de Processamento de Dados

Última atualização: 15 April 2026

Este Acordo de Processamento de Dados (“DPA”) faz parte do acordo entre a entidade identificada na conta Accsible (“Cliente”, “Controlador”) e Denizcom Ltd, operando como Accsible, registada em 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Processador”), e complementa os Termos de Utilização e a Política de Privacidade (em conjunto, o “Acordo Principal”).

Este DPA aplica-se quando e na medida em que a Accsible processa Dados Pessoais em nome do Cliente no âmbito da prestação do Serviço. Foi concebido para assegurar a conformidade com o Artigo 28 do UK GDPR, o EU GDPR (Regulamento 2016/679) e outra legislação aplicável em matéria de proteção de dados.

1. Definições

Neste DPA, salvo se o contexto exigir de outro modo:

  • “Leis de Proteção de Dados” — o UK GDPR, o EU GDPR, a Data Protection Act 2018, as Privacy and Electronic Communications Regulations 2003 e qualquer outra legislação aplicável em matéria de proteção de dados.
  • “Dados Pessoais” — qualquer informação relativa a uma pessoa singular identificada ou identificável que seja processada pela Accsible em nome do Cliente ao abrigo do Acordo Principal.
  • “Processamento” — qualquer operação realizada sobre Dados Pessoais, incluindo recolha, registo, armazenamento, recuperação, utilização, divulgação, eliminação ou destruição.
  • “Subprocessador” — qualquer terceiro nomeado pela Accsible para processar Dados Pessoais em nome do Cliente.
  • “Titular dos Dados” — a pessoa singular identificada ou identificável a quem os Dados Pessoais dizem respeito.
  • “Utilizador Final” — um visitante do website do Cliente que interage com o Widget Accsible.
  • “Incidente de Segurança” — uma violação de segurança que conduza à destruição, perda, alteração, divulgação não autorizada ou acesso, acidental ou ilícito, a Dados Pessoais.
  • “SCCs” — as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão 2021/914) ou o UK International Data Transfer Agreement (IDTA), conforme aplicável.

2. Âmbito e Detalhes do Processamento

2.1 Objeto

A Accsible fornece um widget de acessibilidade e uma plataforma SaaS. Quando o Cliente integra o Widget nos seus website(s), a Accsible processa determinados Dados Pessoais de Utilizadores Finais em nome do Cliente.

2.2 Duração

O Processamento começa quando o Cliente ativa o Widget e continua durante a vigência do Acordo Principal. Após a cessação, aplica-se a Secção 11 deste DPA.

2.3 Natureza e Finalidade do Processamento

Aspeto Detalhe
Finalidade Disponibilização e operação do widget de acessibilidade; fornecimento de análises de utilização e pontuações de acessibilidade ao Cliente através do Dashboard; processamento de feedback submetido por Utilizadores Finais.
Natureza do processamento Recolha, armazenamento, agregação, análise e eliminação de Dados Pessoais conforme necessário para prestar o Serviço.

2.4 Tipos de Dados Pessoais

  • Endereços IP (anonimizados para análises; IP completo em registos de segurança por até 90 days)
  • Tipo de navegador, versão e string do user agent
  • Tipo de dispositivo e sistema operativo
  • Páginas visitadas e carimbos de data e hora no website do Cliente
  • Preferências de acessibilidade selecionadas pelos Utilizadores Finais (armazenadas localmente no dispositivo do Utilizador Final; não transmitidas, salvo se for submetido feedback)
  • Submissões de feedback (nome e/ou email, se fornecidos voluntariamente pelo Utilizador Final)
  • Métricas agregadas de visualização de páginas

2.5 Categorias de Titulares dos Dados

  • Utilizadores Finais — visitantes do(s) website(s) do Cliente que interagem com o Widget Accsible
  • Pessoal do Cliente — indivíduos que acedem ao Dashboard Accsible em nome do Cliente

3. Obrigações do Cliente (Controlador)

O Cliente deverá:

  • Assegurar que dispõe de uma base legal para Processar Dados Pessoais e para instruir a Accsible a processá-los.
  • Fornecer todos os avisos exigidos e obter todos os consentimentos necessários dos Titulares dos Dados, conforme exigido pelas Leis de Proteção de Dados, incluindo informar os Utilizadores Finais sobre a utilização do Widget Accsible na própria política de privacidade do Cliente.
  • Assegurar que as suas instruções à Accsible cumprem as Leis de Proteção de Dados.
  • Notificar prontamente a Accsible de quaisquer alterações nas Leis de Proteção de Dados aplicáveis que possam afetar as obrigações de processamento da Accsible.

4. Obrigações da Accsible (Processador)

A Accsible deverá:

  • Processar Dados Pessoais apenas com base em instruções documentadas do Cliente (incluindo as instruções estabelecidas neste DPA e no Acordo Principal), salvo se tal for exigido pela lei aplicável — caso em que a Accsible informará o Cliente antes do processamento, salvo se estiver legalmente impedida de o fazer.
  • Assegurar que as pessoas autorizadas a processar Dados Pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
  • Implementar e manter as medidas de segurança técnicas e organizacionais descritas na Secção 5.
  • Cumprir as condições para a contratação de Subprocessadores estabelecidas na Secção 6.
  • Ajudar o Cliente, através de medidas técnicas e organizacionais adequadas, a cumprir a sua obrigação de responder a pedidos de Titulares dos Dados (Secção 7).
  • Ajudar o Cliente a assegurar o cumprimento das suas obrigações ao abrigo dos Artigos 32–36 do GDPR (segurança, notificação de violações, avaliações de impacto e consulta prévia), tendo em conta a natureza do processamento e a informação disponível para a Accsible.
  • À escolha do Cliente, eliminar ou devolver todos os Dados Pessoais após a cessação do Acordo Principal (Secção 11).
  • Disponibilizar ao Cliente toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas no Artigo 28 do GDPR, e permitir e contribuir para auditorias e inspeções (Secção 10).
  • Informar imediatamente o Cliente se, na opinião da Accsible, uma instrução do Cliente infringir as Leis de Proteção de Dados.

5. Medidas de Segurança

A Accsible implementa e mantém as seguintes medidas técnicas e organizacionais para proteger os Dados Pessoais contra processamento não autorizado ou ilícito, perda acidental, destruição ou dano:

5.1 Medidas Técnicas

  • Encriptação em trânsito usando TLS/HTTPS para todas as ligações, incluindo entrega via CDN, comunicação API e acesso ao Dashboard.
  • Hashing de palavras-passe usando algoritmos criptográficos unidirecionais com salt.
  • Cabeçalhos Content Security Policy (CSP) para mitigar ataques de cross-site scripting e de injeção.
  • Proteção DDoS via Cloudflare.
  • Monitorização de erros (Sentry) configurada para ocultar todo o texto e bloquear todos os media em replays de sessão.
  • Anonimização de endereços IP no processamento de análises.
  • Preferências de acessibilidade do Utilizador Final armazenadas no local storage do navegador (apenas no dispositivo; não transmitidas para os servidores, salvo se for submetido feedback).

5.2 Medidas Organizacionais

  • Controlos de acesso baseados em funções; acesso aos Dados Pessoais limitado ao pessoal que deles necessita para desempenhar as suas funções.
  • Obrigações de confidencialidade para todo o pessoal e contratados com acesso a Dados Pessoais.
  • Avaliações de segurança regulares e monitorização da infraestrutura.
  • Procedimentos de resposta a incidentes conforme descrito na Secção 8.
  • Políticas de retenção que asseguram que os Dados Pessoais não são conservados por mais tempo do que o necessário (ver Secção 9).

6. Subprocessadores

6.1 Autorização Geral

O Cliente concede à Accsible uma autorização geral por escrito para contratar Subprocessadores para realizar atividades específicas de processamento em nome do Cliente. A Accsible imporá a cada Subprocessador obrigações de proteção de dados não menos protetoras do que as previstas neste DPA, através de um contrato escrito.

6.2 Subprocessadores Atuais

Os seguintes Subprocessadores estão contratados na data deste DPA:

Subprocessador Finalidade Localização
Cloudflare, Inc. CDN, proteção DDoS, entrega de conteúdo para Widget e API Global (sede nos USA); processamento de dados da UE/Reino Unido ao abrigo de SCCs
Functional Software, Inc. (Sentry) Monitorização de erros e diagnósticos de desempenho USA; processamento ao abrigo de SCCs
Google LLC (Google Analytics) Análises agregadas de tráfego do website (apenas com base em consentimento) USA; processamento ao abrigo de SCCs e do EU-US Data Privacy Framework
Stripe, Inc. Processamento de pagamentos e gestão de subscrições USA; certificado PCI DSS Level 1; processamento ao abrigo de SCCs

6.3 Alterações aos Subprocessadores

A Accsible notificará o Cliente por email com pelo menos 30 days de antecedência antes de adicionar ou substituir um Subprocessador. A notificação incluirá o nome do Subprocessador, o processamento que este realizará e a sua localização.

Se o Cliente tiver uma objeção razoável a um novo Subprocessador com base em motivos de proteção de dados, o Cliente deverá notificar a Accsible por escrito no prazo de 14 days após a receção da notificação. As partes discutirão a questão de boa-fé. Se as partes não conseguirem resolver a objeção no prazo de 30 days, o Cliente poderá cessar o Serviço afetado mediante notificação por escrito, e a Accsible reembolsará quaisquer taxas pagas antecipadamente pela parte não utilizada do período de subscrição.

7. Direitos dos Titulares dos Dados

A Accsible deverá, tendo em conta a natureza do processamento, ajudar o Cliente através de medidas técnicas e organizacionais adequadas a cumprir as suas obrigações de responder a pedidos de Titulares dos Dados que exerçam os seus direitos ao abrigo das Leis de Proteção de Dados, incluindo:

  • Direito de acesso
  • Direito de retificação
  • Direito ao apagamento (“direito a ser esquecido”)
  • Direito à limitação do processamento
  • Direito à portabilidade dos dados
  • Direito de oposição

Se a Accsible receber diretamente um pedido de um Titular dos Dados relativo aos dados do Cliente, a Accsible deverá encaminhar prontamente o Titular dos Dados para o Cliente e notificar o Cliente do pedido, salvo se estiver legalmente impedida de o fazer. A Accsible não responderá diretamente a tais pedidos, salvo se instruída pelo Cliente ou se tal for exigido por lei.

8. Notificação de Incidente de Segurança

8.1 Notificação

A Accsible notificará o Cliente de qualquer Incidente de Segurança confirmado sem demora injustificada e, em qualquer caso, no prazo de 48 hours após tomar conhecimento do mesmo. A notificação será enviada para o endereço de email associado à conta do Cliente (ou para um endereço alternativo designado pelo Cliente para esse efeito).

8.2 Conteúdo da Notificação

A notificação incluirá, na medida em que a informação esteja disponível no momento:

  • Uma descrição da natureza do Incidente de Segurança, incluindo as categorias e o número aproximado de Titulares dos Dados e de registos de dados em causa.
  • O nome e os dados de contacto do ponto de contacto na Accsible.
  • Uma descrição das consequências prováveis do incidente.
  • Uma descrição das medidas tomadas ou propostas para resolver o incidente, incluindo medidas para mitigar os seus efeitos.

8.3 Obrigações Contínuas

A Accsible fornecerá mais informações à medida que estas se tornem disponíveis e cooperará com os pedidos razoáveis do Cliente para investigar, remediar e mitigar os efeitos do Incidente de Segurança. A Accsible também ajudará o Cliente a cumprir as suas próprias obrigações de notificação de violações perante autoridades de controlo e Titulares dos Dados ao abrigo dos Artigos 33 e 34 do GDPR.

8.4 Registo

A Accsible manterá um registo de todos os Incidentes de Segurança, incluindo os factos que rodeiam o incidente, os seus efeitos e a ação corretiva tomada.

9. Retenção de Dados

A Accsible conserva os Dados Pessoais processados ao abrigo deste DPA da seguinte forma:

  • Registos de segurança (endereços IP completos): Até 90 days, depois eliminados permanentemente.
  • Dados analíticos agregados: Anonimizados numa base mensal; os dados de sessão individuais não são conservados.
  • Submissões de feedback de Utilizadores Finais: Conservadas durante a vigência do Acordo Principal; eliminadas no prazo de 30 days após a cessação.
  • Dados de monitorização de erros (Sentry): Até 90 days.
  • Métricas de utilização do Widget: Agregadas e anonimizadas; não são conservados dados ao nível individual para além do processamento.

A Accsible não conservará Dados Pessoais por mais tempo do que o necessário para as finalidades de prestação do Serviço ou conforme exigido pela lei aplicável.

10. Auditorias & Conformidade

10.1 Informação

A Accsible disponibilizará ao Cliente, mediante pedido razoável, toda a informação razoavelmente necessária para demonstrar o cumprimento das suas obrigações ao abrigo deste DPA e do Artigo 28 do GDPR.

10.2 Direitos de Auditoria

O Cliente (ou um auditor independente de terceiros nomeado pelo Cliente) pode realizar uma auditoria às atividades de processamento e às medidas de segurança da Accsible, sujeita às seguintes condições:

  • O Cliente deverá fornecer um aviso por escrito de pelo menos 30 days’ de um pedido de auditoria.
  • As auditorias serão realizadas durante o horário normal de expediente (Monday–Friday, 09:00–18:00 GMT) e não deverão perturbar de forma desrazoável as operações da Accsible.
  • O Cliente não poderá realizar mais do que one audit per 12-month period, salvo se exigido por uma autoridade de controlo ou na sequência de um Incidente de Segurança confirmado.
  • O auditor ficará vinculado por obrigações de confidencialidade não menos protetoras do que as previstas no Acordo Principal.
  • A Accsible pode satisfazer um pedido de auditoria fornecendo um relatório SOC 2 Type II atual, um certificado ISO 27001 ou certificação independente equivalente, se disponível.

10.3 Cooperação

A Accsible cooperará com o Cliente e com qualquer autoridade de controlo que exija acesso às instalações ou registos da Accsible no âmbito deste DPA.

11. Devolução & Eliminação de Dados

Após a cessação ou expiração do Acordo Principal, o Cliente pode solicitar, no prazo de 30 days, que a Accsible:

  • Devolva todos os Dados Pessoais num formato estruturado, de uso corrente e legível por máquina; ou
  • Elimine todos os Dados Pessoais e confirme a eliminação por escrito.

Se o Cliente não apresentar um pedido no prazo de 30 days após a cessação, a Accsible eliminará permanentemente todos os Dados Pessoais, exceto na medida em que a conservação seja exigida pela lei aplicável (por exemplo, registos de faturação para conformidade fiscal). Quando a conservação for legalmente exigida, a Accsible isolará e protegerá os dados e limitará o processamento à finalidade imposta por lei.

12. Transferências Internacionais

A Accsible está estabelecida no United Kingdom. Quando os Dados Pessoais são transferidos para Subprocessadores localizados fora do UK ou do EEE, a Accsible assegura que existem salvaguardas adequadas, incluindo:

  • UK International Data Transfer Agreement (IDTA) ou Adenda do UK às SCCs
  • Cláusulas Contratuais-Tipo da UE (SCCs) — Decisão da Comissão 2021/914
  • Decisões de adequação do Secretário de Estado do UK ou da Comissão Europeia
  • Quando aplicável, medidas suplementares adicionais conforme recomendado pelo ICO ou pelo EDPB

Uma cópia do mecanismo de transferência relevante será disponibilizada ao Cliente mediante pedido por escrito.

13. Responsabilidade

A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações e exclusões de responsabilidade estabelecidas no Acordo Principal (Termos de Utilização), exceto que nenhuma das partes exclui ou limita a responsabilidade por violações das Leis de Proteção de Dados na medida em que tal exclusão ou limitação não seja permitida pela lei aplicável.

14. Vigência & Prevalência

14.1 Vigência

Este DPA entra em vigor na data em que o Cliente integra pela primeira vez o Widget Accsible e permanece em vigor durante a vigência do Acordo Principal e, posteriormente, até que todos os Dados Pessoais tenham sido eliminados ou devolvidos em conformidade com a Secção 11.

14.2 Prevalência

Em caso de conflito entre este DPA e o Acordo Principal, este DPA prevalecerá no que respeita ao processamento e à proteção de Dados Pessoais.

14.3 Alterações

A Accsible pode atualizar este DPA para refletir alterações nas Leis de Proteção de Dados ou nas atividades de processamento. Alterações materiais serão notificadas ao Cliente com pelo menos 30 days de antecedência por email. A utilização continuada do Serviço após a data de entrada em vigor das alterações constitui aceitação.

15. Contacto

Para questões ou pedidos relacionados com este DPA, contacte-nos em:

  • Contacto de Proteção de Dados: [email protected]
  • Incidentes de Segurança: [email protected]
  • Morada Registada: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Registo ICO: ZC114350