Acordo de Processamento de Dados (DPA)
1. Partes e Definições
Este DPA é celebrado entre o Grupo Matoso & Filhos, Lda. (Processador) e o Cliente (Responsável pelo Tratamento), na medida em que o Processador acede, armazena ou trata dados pessoais em nome do Cliente através da plataforma MBIS V5 ou serviços associados.
Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável.
Tratamento: Qualquer operação efectuada sobre dados pessoais (recolha, armazenamento, uso, transmissão, eliminação).
2. Objecto e Duração
O Processador compromete-se a tratar dados pessoais estritamente conforme instruções documentadas do Responsável, para fins de prestação de serviços contratados. Este acordo entra em vigor na data de assinatura do contrato principal e termina com a eliminação ou devolução total dos dados.
3. Obrigações do Processador (GMF)
- Tratar dados apenas mediante instruções escritas ou documentadas do Responsável;
- Garantir confidencialidade aos colaboradores e subcontratantes com acesso aos dados;
- Implementar medidas técnicas e organizacionais adequadas ao risco (encriptação, RLS, backups, controlo de acessos, 2FA);
- Assistir o Responsável no cumprimento de obrigações legais (resposta a pedidos de titulares, notificações à APD, avaliações de impacto);
- Eliminar ou devolver todos os dados pessoais no término do serviço, salvo obrigação legal de conservação;
- Disponibilizar toda a informação necessária para demonstrar conformidade e permitir auditorias.
4. Subcontratantes (Subprocessadores)
O Processador pode recorrer a subcontratantes para infraestruturas cloud, suporte técnico ou serviços especializados. Todos são vinculados por obrigações de protecção de dados equivalentes a este DPA. Lista actualizada disponível mediante solicitação: dpo@grupomf.online. Novos subcontratantes serão notificados com 15 dias de antecedência.
5. Transferências Internacionais
O processamento ocorre primariamente em território angolano. Réplcas de segurança em regiões estrangeiras são protegidas por encriptação ponta-a-ponta e cláusulas contratuais aprovadas, garantindo nível de protecção equivalente ao exigido pela Lei 22/11.
6. Violação de Dados
Em caso de violação conhecida ou suspeita, o Processador notificará o Responsável sem demora injustificada (máx. 24h), detalhando natureza, categorias de dados afectados, medidas de mitigação e contactos do DPO. O Processador cooperará integralmente na investigação e comunicação à APD, se aplicável.
7. Direitos dos Titulares
O Processador assistirá o Responsável na resposta a pedidos de acesso, rectificação, eliminação, portabilidade ou oposição, garantindo resposta dentro dos prazos legais. O Responsável mantém a titularidade e responsabilidade primária perante os titulares.
8. Auditoria e Conformidade
O Responsável ou auditor independente por si designado pode solicitar auditoria à conformidade do Processador, com aviso prévio de 15 dias úteis. O Processador fornecerá relatórios de segurança, certificações e logs relevantes, minimizando interrupções operacionais.
9. Responsabilidade e Indemnização
Cada parte responde perante a outra por danos decorrentes do incumprimento das suas obrigações nos termos deste DPA e do contrato principal. O Processador não será responsável por tratamentos realizados fora das instruções documentadas ou por acções unilaterais do Responsável.
10. Lei Aplicável
Este DPA é regido pelas leis da República de Angola, em particular a Lei n.º 22/11, de 14 de Junho. Conflitos serão resolvidos preferencialmente por mediação, subsidiariamente pelos tribunais competentes de Luanda.
Assinatura Digital: Este DPA integra automaticamente todos os contratos principais celebrados com o GMF após Abril de 2026. Versões assinadas manualmente estão disponíveis no portal do cliente.