Jabpick
Início

Data Processing Agreement (DPA)

Contrato de subcontratação de tratamento de dados pessoais, em conformidade com o art. 28.º do RGPD. Aplicável a clientes empresariais que tratam dados pessoais através do Jabpick.

Última atualização: 23 de abril de 2026

1. Objeto e âmbito

O presente DPA é celebrado entre o Cliente (responsável pelo tratamento) e o Jabpick, operado por Data Script Swiss (subcontratante), e regula o tratamento de dados pessoais efetuado pelo Jabpick em nome do Cliente no âmbito da prestação do Serviço, em conformidade com o Regulamento (UE) 2016/679 (RGPD).

Este DPA integra-se nos Termos e Condições gerais do Jabpick. Em caso de conflito, prevalece o presente DPA quanto a matérias de proteção de dados.

2. Definições

"Dados pessoais", "titular dos dados", "tratamento", "responsável pelo tratamento" e "subcontratante" têm o significado atribuído pelo RGPD.

Tratamento efetuado pelo Jabpick:

  • Natureza e finalidade: armazenamento e processamento dos dados do Cliente necessários à prestação do Serviço (autenticação, geração de carrosséis, histórico, faturação).
  • Tipo de dados: dados de identificação (nome, email), dados de perfil editorial, conteúdos submetidos (texto, imagens, links), logs técnicos.
  • Categorias de titulares: colaboradores, clientes ou contactos do Cliente que sejam utilizadores do Serviço.
  • Duração: enquanto o contrato de subscrição estiver ativo + prazos de retenção descritos na Política de Privacidade.

3. Funções das partes

  • O Cliente é o responsável pelo tratamento: determina as finalidades e os meios e garante a existência de base legal para o tratamento dos dados que submete ao Serviço.
  • O Jabpick é o subcontratante: trata os dados pessoais exclusivamente em nome e segundo instruções do Cliente, conforme cláusula 4.

4. Instruções do responsável

O Jabpick trata os dados pessoais apenas de acordo com instruções documentadas do Cliente, incluídas no contrato de subscrição, neste DPA e, adicionalmente, nas instruções que o Cliente venha a emitir por escrito.

Se considerarmos que uma instrução viola o RGPD ou outra legislação aplicável, informaremos o Cliente de imediato.

5. Sub-processadores

O Cliente autoriza de forma geral o recurso aos sub-processadores listados na Política de Privacidade. Qualquer alteração (adição ou substituição) é comunicada com pelo menos 15 dias de antecedência.

O Cliente pode opor-se fundamentadamente à alteração dentro desse prazo. Caso a oposição impeça a prestação do Serviço, qualquer das partes pode cessar o contrato por justa causa.

O Jabpick celebra com cada sub-processador contrato escrito que impõe obrigações de proteção de dados no mínimo equivalentes às deste DPA.

6. Transferências internacionais

Transferências para países fora do EEE ocorrem apenas quando está em vigor um mecanismo de transferência válido, nomeadamente:

  • Decisão de adequação da Comissão Europeia;
  • Cláusulas Contratuais Tipo (SCC) adotadas pela Comissão;
  • Regras Vinculativas para Empresas (BCR) aplicáveis; e/ou
  • Avaliação de impacto de transferência (TIA) com medidas suplementares quando necessário.

7. Medidas de segurança

O Jabpick adota medidas técnicas e organizativas adequadas ao risco, incluindo, entre outras:

  • Cifra em trânsito (TLS 1.2+) e em repouso;
  • Cifra aplicacional de chaves API BYOK (AES-256-GCM com tag de integridade);
  • Controlo de acesso baseado em funções e menor privilégio;
  • Row-Level Security ao nível da base de dados;
  • Registo e monitorização de eventos relevantes;
  • Processos de gestão de incidentes, backup e recuperação;
  • Formação dos colaboradores com acesso a dados pessoais.

8. Notificação de violações

Em caso de violação de dados pessoais, o Jabpick notifica o Cliente sem demora indevida e, em qualquer caso, até 48 horas após tomar conhecimento. A notificação inclui, na medida do possível:

  • Natureza, categorias e número aproximado de titulares afetados;
  • Consequências prováveis e medidas adotadas ou propostas;
  • Contacto do ponto único para esclarecimentos adicionais.

9. Assistência nos direitos dos titulares

Prestamos ao Cliente assistência razoável, por medidas técnicas e organizativas, para cumprimento das obrigações de resposta a pedidos de exercício de direitos (acesso, retificação, apagamento, limitação, portabilidade, oposição).

10. Auditoria

O Jabpick disponibiliza ao Cliente toda a informação necessária para demonstrar o cumprimento das obrigações deste DPA. Mediante aviso razoável (pelo menos 30 dias) e sem perturbar a operação, o Cliente pode realizar auditoria (por si ou por auditor independente sujeito a confidencialidade), limitada a uma por ano, salvo alteração material das circunstâncias ou exigência de autoridade.

11. Término e devolução

Com o término da prestação do Serviço, o Jabpick, à escolha do Cliente:

  • Devolve os dados pessoais em formato estruturado e legível; ou
  • Apaga-os de forma segura, salvo obrigação legal de conservação.

O apagamento é efetuado em todos os sistemas operacionais em até 30 dias e em sistemas de backup no ciclo normal de rotação (não superior a 90 dias).

12. Responsabilidade

Cada parte é responsável pelos danos causados pelo incumprimento das suas obrigações. A limitação de responsabilidade prevista nos Termos e Condições aplica-se também a este DPA, sem prejuízo do disposto no art. 82.º do RGPD.

13. Contactos

Ponto de contacto do Jabpick para matérias deste DPA: support@jabpick.com.

Questões sobre este documento?
support@jabpick.com