Acordo de Tratamento de Dados (DPA)
Última atualização: 3 de maio de 2026
Este Acordo de Tratamento de Dados (“DPA”) faz parte integrante dos Termos de Serviço da Pact e regula o tratamento de dados pessoais pela Nodewave em representação do Cliente, nos termos do artigo 28.º do Regulamento (UE) 2016/679 (“RGPD”).
Ao aceitar os Termos de Serviço, o Cliente aceita igualmente os termos deste DPA.
1. Partes
- Responsável pelo Tratamento: o Cliente, identificado nos dados de conta na Pact (a empresa que contrata a Pact e introduz dados pessoais sobre os seus próprios clientes na plataforma).
- Subcontratante: Tiago Lemos, NIF 262743990, com morada em Praceta Casas de Sal nº 9, 3810-418 Aveiro, Portugal, operando sob a marca Nodewave (a partir daqui “Nodewave” ou “Subcontratante”).
2. Definições
Os termos usados neste DPA têm o significado que lhes é atribuído pelo artigo 4.º do RGPD.
3. Objecto e duração do tratamento
3.1 Objecto: prestação do serviço Pact ao Responsável pelo Tratamento.
3.2 Duração: enquanto durar o contrato de Subscrição, acrescido do prazo necessário para devolução ou eliminação dos dados nos termos do ponto 5.8.
4. Natureza, finalidade e tipos de dados
4.1 Natureza do tratamento: armazenamento, organização, consulta, estruturação, modificação, transmissão e supressão de dados pessoais introduzidos pelo Responsável pelo Tratamento.
4.2 Finalidade: permitir ao Responsável pelo Tratamento gerir alugueres de equipamento, clientes, máquinas, fotografias, assinaturas e documentação contratual associada.
4.3 Categorias de titulares dos dados: clientes finais do Responsável pelo Tratamento (pessoas a quem este aluga equipamento), seus colaboradores, e quaisquer outros indivíduos cujos dados o Responsável pelo Tratamento decida introduzir na Pact.
4.4 Categorias de dados:
- Dados de identificação: nome, NIF, morada, telefone, e-mail.
- Imagens: fotografias do equipamento alugado e do estado em que se encontra.
- Assinaturas digitais.
- Quaisquer outros dados que o Responsável pelo Tratamento decida introduzir através de campos personalizados disponibilizados pela Pact.
4.5 Não é prevista a recolha de categorias especiais de dados (artigo 9.º RGPD: dados de saúde, origem racial ou étnica, opiniões políticas, convicções religiosas, dados genéticos ou biométricos para identificação unívoca, vida sexual ou orientação sexual). O Responsável pelo Tratamento compromete-se a não introduzir tais dados na Pact, salvo acordo prévio escrito que defina garantias adicionais.
5. Obrigações do Subcontratante
A Nodewave compromete-se a:
5.1 Tratar os dados pessoais apenas conforme as instruções documentadas do Responsável pelo Tratamento, incluindo as instruções definidas neste DPA, nos Termos de Serviço, e através das funcionalidades disponíveis no painel da Pact. Caso a Nodewave entenda que uma instrução viola o RGPD ou outra legislação aplicável, informa o Responsável pelo Tratamento sem demora.
5.2 Garantir que as pessoas autorizadas a tratar os dados pessoais estão sujeitas a obrigações de confidencialidade.
5.3 Implementar e manter as medidas técnicas e organizativas previstas no Anexo 1, conforme exigido pelo artigo 32.º do RGPD.
5.4 Recorrer a outros subprocessadores apenas conforme o ponto 6 deste DPA.
5.5 Auxiliar o Responsável pelo Tratamento, na medida do possível, a responder a pedidos de exercício de direitos pelos titulares (acesso, correção, eliminação, portabilidade, oposição, etc.).
5.6 Auxiliar o Responsável pelo Tratamento no cumprimento das obrigações dos artigos 32.º a 36.º do RGPD (segurança, notificação de violações, avaliações de impacto, consultas prévias).
5.7 Notificar o Responsável pelo Tratamento de qualquer violação de dados pessoais sem demora injustificada, e em qualquer caso até 72 horas após o conhecimento da violação. A notificação inclui a informação prevista no artigo 33.º, n.º 3 do RGPD.
5.8 No fim da prestação do Serviço, eliminar ou devolver ao Responsável pelo Tratamento todos os dados pessoais, no prazo máximo de 30 dias, salvo se a legislação portuguesa ou da União Europeia exigir conservação superior.
5.9 Disponibilizar ao Responsável pelo Tratamento, mediante pedido razoável, toda a informação necessária para demonstrar o cumprimento das obrigações deste DPA, e permitir auditorias coordenadas com aviso prévio mínimo de 30 dias úteis e em horário comercial. O custo da auditoria é suportado pelo Responsável pelo Tratamento, salvo se a auditoria revelar incumprimento material da Nodewave.
6. Subprocessadores
6.1 O Responsável pelo Tratamento autoriza expressamente o recurso aos seguintes subprocessadores:
| Subprocessador | Finalidade | País |
|---|---|---|
| Supabase Inc. | Base de dados e armazenamento de ficheiros | UE (Suécia, região Estocolmo) |
| Vercel Inc. | Alojamento da aplicação web | UE (Alemanha, região Frankfurt) |
| Resend, Inc. | Envio de e-mails transacionais | UE |
| PostHog Inc. | Análise de utilização anónima | UE |
| Sentry (Functional Software, Inc.) | Diagnóstico de erros | UE |
6.2 A Nodewave informa o Responsável pelo Tratamento, com pré-aviso mínimo de 30 dias, sempre que pretenda adicionar ou substituir subprocessadores. A lista actualizada está sempre disponível em nodewave.io/pact/dpa.
6.3 O Responsável pelo Tratamento pode opor-se à alteração nesse prazo, fundamentadamente. Em caso de oposição não resolvida, o Responsável pelo Tratamento pode cessar a Subscrição sem penalização.
6.4 A Nodewave celebra com cada subprocessador um acordo escrito que lhe impõe obrigações equivalentes às assumidas neste DPA, e responde perante o Responsável pelo Tratamento pelo cumprimento dessas obrigações.
7. Transferências internacionais
Todos os subprocessadores acima processam os dados em servidores localizados na União Europeia. Não são realizadas transferências de dados pessoais para fora do Espaço Económico Europeu.
8. Direitos dos titulares
8.1 Os pedidos de exercício de direitos pelos titulares de dados são da responsabilidade do Responsável pelo Tratamento.
8.2 Caso a Nodewave receba directamente um pedido de um titular, encaminha-o para o Responsável pelo Tratamento sem demora e sem responder ao pedido na sua substância.
9. Responsabilidade
A responsabilidade da Nodewave perante o Responsável pelo Tratamento, ao abrigo deste DPA, está sujeita aos limites de responsabilidade previstos nos Termos de Serviço.
10. Vigência e cessação
10.1 Este DPA vigora enquanto durar a Subscrição.
10.2 Após cessação, mantêm-se em vigor as obrigações que pela sua natureza devam subsistir, em particular as previstas nos pontos 5.7, 5.8 e 5.9.
11. Alterações
A Nodewave pode actualizar este DPA. Qualquer alteração que reduza materialmente as protecções aqui previstas é comunicada ao Responsável pelo Tratamento com pré-aviso mínimo de 30 dias. O Responsável pelo Tratamento pode opor-se às alterações nesse prazo, com direito a cessar a Subscrição sem penalização.
12. Lei aplicável
Este DPA rege-se pela lei portuguesa. Para a resolução de qualquer litígio, é exclusivamente competente o Tribunal Judicial da Comarca de Aveiro.
Anexo 1: Medidas técnicas e organizativas
A Nodewave implementa, em particular, as seguintes medidas:
Confidencialidade
- Controlo de acesso por autenticação com palavra-passe e suporte a autenticação multifator.
- Isolamento de dados por tenant, garantido ao nível da base de dados (Row-Level Security do PostgreSQL).
- Princípio do menor privilégio nos acessos administrativos.
- Registos de acesso e auditoria.
Integridade
- Encriptação em trânsito (TLS 1.2 ou superior) entre todos os componentes.
- Encriptação em repouso (AES-256) nos serviços de base de dados e armazenamento.
- Validação de entradas em todas as APIs.
Disponibilidade
- Cópias de segurança automáticas diárias da base de dados, com retenção mínima de 7 dias.
- Monitorização contínua de erros e desempenho.
Resiliência
- Capacidade de restauro a partir de cópia de segurança em prazo razoável.
Governo da segurança
- Avaliações periódicas das práticas de segurança.
- Políticas internas escritas para tratamento de incidentes.
- Formação dos colaboradores em proteção de dados.