Contrato de Subcontratação

A Evnyo está autorizada a tratar por conta do Cliente os dados pessoais necessários à prestação dos Serviços tal como se definem nos Termos e Condições. As características destes tratamentos estão resumidas na tabela seguinte, conforme aos requisitos do artigo 28.º do RGPD:

Observações: As categorias de titulares de dados destes tratamentos são principalmente os Convidados designados pelo Cliente (contactos profissionais ou privados convidados aos seus eventos). O Cliente pode também ser levado a introduzir dados concernentes aos seus utilizadores internos (ex. coordenadas de um colaborador organizador) na plataforma – estes dados de utilizadores do Cliente referem-se geralmente à própria conta Cliente e são tratados no âmbito do funcionamento do serviço (ex. gestão de acessos). Finalmente, os dados próprios do Cliente (como as suas informações de faturação, os seus identificadores) são tratados pela Evnyo na qualidade de Responsável pelo tratamento no âmbito da gestão da relação contratual (cf. Política de Privacidade Evnyo), e não são detalhados aqui por estarem fora do âmbito do presente Contrato.

É convencionado que se o Cliente utilizar os Serviços para tratar Dados ou categorias de Dados ou no âmbito de finalidades diferentes das descritas acima, fá-lo por sua conta e risco. A Evnyo não poderá ser considerada responsável em caso de incumprimento da regulamentação decorrente de tratamentos não previstos pelas Partes. O Cliente compromete-se a utilizar a plataforma apenas para as finalidades para as quais está prevista, conforme aos Termos e Condições e à presente tabela.

Na qualidade de Responsável pelo Tratamento, o Cliente compromete-se a:

• Conformidade e instruções documentadas: Respeitar em todos os pontos a regulamentação aplicável aos dados pessoais (RGPD, Lei n.º 58/2019) para os tratamentos que efetua através da Evnyo. O Cliente determina as finalidades e meios dos tratamentos confiados à Evnyo e garante que as instruções que dá à Evnyo são documentadas, conformes ao contrato e à regulamentação. Qualquer instrução do Cliente que exceda o perímetro do Serviço ou seja contrária à regulamentação não será executada pela Evnyo. O Cliente utilizará a plataforma de maneira conforme aos documentos contratuais e não instruirá a Evnyo para tratar dados em violação das leis.

• Licitude dos dados tratados: Assegurar que os dados pessoais confiados à Evnyo foram recolhidos e são tratados pelo Cliente em conformidade com o RGPD e a Lei n.º 58/2019. Isto inclui, sem se limitar a: a informação prévia dos titulares de dados desde a recolha dos seus dados, comunicando-lhes todas as menções obrigatórias (identidade do responsável pelo tratamento, finalidade do convite, base jurídica – consentimento ou interesse legítimo, direitos das pessoas, etc.). O Cliente deve fornecer aos Convidados uma informação clara, por exemplo através da sua própria política de privacidade ou um texto entregue no momento da recolha dos e-mails. Quando a base jurídica do tratamento é o consentimento (particularmente para o envio de e-mails/SMS de marketing a particulares), obter um consentimento válido e demonstrável de cada titular de dados previamente ao envio de convites. O Cliente deve ser capaz de provar que o Convidado consentiu receber os convites, ou na falta disso, que o envio se baseia noutra base jurídica válida (por exemplo, interesse legítimo em B2B com direito de oposição respeitado). Ter em conta os direitos de oposição das pessoas (ex: se um Convidado se opôs a receber solicitações, assegurar-se de não o importar ou convidar mais). De maneira geral, tratar através da Evnyo apenas dados adequados, pertinentes e limitados ao necessário relativamente às finalidades prosseguidas (princípio da minimização).

• Exatidão e atualização: Velar pela exatidão dos dados dos Convidados e atualizá-los se necessário. A Evnyo fornece ferramentas que permitem ao Cliente retificar ou suprimir dados; cabe ao Cliente dar seguimento aos eventuais pedidos de retificação dos titulares de dados. A Evnyo pode, na medida do possível, ajudar o Cliente a manter dados exatos segundo as suas instruções.

• Medidas de segurança do Cliente: Implementar medidas de segurança apropriadas do lado Cliente para assegurar a proteção dos dados durante a sua utilização da plataforma. Por exemplo, o Cliente deve assegurar o acesso à sua conta (palavras-passe fortes, autenticação de dois fatores se disponível), e velar pela confidencialidade dos dados quando exporta ou descarrega informações da Evnyo.

• Utilização conforme da plataforma: Não desviar as funcionalidades da Evnyo para recolher ou tratar dados sensíveis ou altamente pessoais sem acordo prévio da Evnyo. A plataforma pode conter campos livres (por exemplo, possibilidade para o Cliente de introduzir uma mensagem personalizada) que não se destinam a conter dados sensíveis (como dados de saúde, origem racial, opiniões, etc.). O Cliente compromete-se a não introduzir tais dados especiais. A Evnyo declina toda a responsabilidade em caso de utilização não conforme destes campos por parte do Cliente.

• Cooperação: Mais geralmente, colaborar de boa fé com a Evnyo para permitir a conformidade do tratamento. Por exemplo, em caso de pedido de auditoria ou informação (ver secção 4.5), o Cliente participará na medida do razoável.

O Cliente reconhece que conserva a inteira responsabilidade dos Dados pessoais tratados por sua conta. O Cliente permanece responsável pela conformidade global do tratamento vis-à-vis dos titulares de dados e das autoridades, no âmbito das suas obrigações como Responsável pelo Tratamento. A Evnyo assume a sua responsabilidade de Subcontratante conforme ao artigo 28.º do RGPD, particularmente em matéria de segurança, confidencialidade e cooperação. Em caso de violação por parte do Cliente das suas obrigações de Responsável pelo Tratamento, as consequências financeiras e jurídicas que daí decorrem são da sua responsabilidade, salva a responsabilidade própria da Evnyo como Subcontratante.

Na qualidade de Subcontratante, a Evnyo compromete-se a respeitar as seguintes obrigações, conforme ao artigo 28.º do RGPD:

4.1. Tratamento conforme às instruções

A Evnyo tratará os dados pessoais dos Convidados apenas sob instrução documentada do Cliente e com o único objetivo de fornecer os Serviços tal como se definem no Contrato. Isto inclui as operações técnicas necessárias como o alojamento, o armazenamento, o envio de e-mails/SMS, a formatação dos convites, o acompanhamento das respostas, a manutenção e o apoio.

A Evnyo não decidirá das finalidades ou meios do tratamento fora das instruções do Cliente. A Evnyo abster-se-á particularmente de qualquer utilização dos dados para outros fins (marketing próprio, elaboração de perfis, etc.), de qualquer venda ou aluguer dos dados, e de qualquer fusão dos dados dos Convidados com outras bases, salvo obrigação legal contrária.

Se a Evnyo considerar que uma instrução do Cliente constitui uma violação do RGPD ou de outras disposições aplicáveis, informará prontamente o Cliente. Do mesmo modo, se a Evnyo estiver obrigada pelo direito da União ou o direito nacional a proceder a um tratamento que vai além das instruções (ex. uma divulgação por ordem judicial), informará o Cliente antes do tratamento (salvo se a lei o proibir por motivos importantes de interesse público).

A Evnyo garante que os dados pessoais tratados por conta do Cliente serão mantidos estritamente confidenciais. Para tal, a Evnyo compromete-se a:

• Divulgar os dados dos Convidados apenas aos membros do seu pessoal, subcontratantes ou prestadores que necessitem de aceder aos mesmos para as necessidades da execução dos Serviços, e apenas na medida estritamente necessária para a sua intervenção.
• Assegurar que estas pessoas autorizadas estejam sujeitas a uma obrigação legal ou contratual de confidencialidade. A Evnyo integra nos contratos de trabalho ou prestações cláusulas de confidencialidade conformes aos requisitos do presente Contrato.
• Não copiar, reproduzir ou utilizar os dados dos Convidados para finalidades diferentes das previstas pelo Contrato, e não conservar cópias dos dados além do necessário para o serviço ou para se conformar à lei.
• Velar para que o seu pessoal que trata os dados esteja formado nos requisitos de proteção de dados e sensibilizado para a importância da confidencialidade.

Esta obrigação de confidencialidade perdura mesmo após o fim do contrato.

A Evnyo implementará todas as medidas de segurança técnicas e organizacionais apropriadas com o fim de garantir um nível de segurança adequado ao risco, conforme ao artigo 32.º do RGPD. A Evnyo compromete-se a manter um nível de segurança conforme ao estado da arte. Tendo em conta o estado dos conhecimentos, os custos de implementação e a natureza dos dados, a Evnyo adota particularmente as seguintes medidas:

• Segurança lógica dos dados: Proteção de servidores e bases de dados contra intrusões (firewalls, sistemas de deteção de intrusões), cifragem das comunicações (ex: TLS para as interfaces web, SMTP seguro para os e-mails de saída), políticas de controlo de acessos rigorosas (acesso aos dados reservado às pessoas autorizadas mencionadas acima, com autenticação forte). Os dados dos Convidados armazenados nos servidores estão alojados num ambiente seguro que respeita os padrões da indústria (centros de dados seguros, vigilância 24/7, etc.).
• Segurança física: Os dados estão alojados através de serviços de alojamento cloud reconhecidos pela sua segurança (ver Subcontratação ulterior abaixo).
• Resiliência e integridade: Cópias de segurança regulares dos dados para prevenir a perda de dados, testes de integridade, plano de retoma de atividade em caso de incidente maior, com o fim de assegurar a disponibilidade dos dados do Cliente na medida do possível.
• Testes e auditorias de segurança: A Evnyo realiza periodicamente avaliações de segurança da sua plataforma (testes internos, auditorias externas se necessárias) para identificar e corrigir vulnerabilidades. Estes testes são conduzidos de maneira confidencial e os resultados podem ser comunicados ao Cliente sob pedido legítimo, sob reserva de confidencialidade.

A Evnyo compromete-se a notificar ao Cliente qualquer violação de dados pessoais (incidente de segurança que comporte acidental ou ilicitamente a destruição, perda, alteração, divulgação não autorizada ou o acesso não autorizado a dados pessoais) de que tenha conhecimento e concernente aos dados do Cliente. Esta notificação será efetuada nas 24 horas após a descoberta do incidente. A Evnyo fornecerá ao Cliente toda a informação pertinente sobre a natureza da violação, os dados potencialmente afetados, as consequências prováveis e as medidas corretivas adotadas, com o fim de permitir ao Cliente, se necessário, notificar este incidente à autoridade de proteção de dados competente (CNPD) e/ou aos titulares de dados, conforme aos artigos 33.º e 34.º do RGPD. As Partes cooperarão de boa fé em caso de incidente para atenuar os seus efeitos.

O Cliente consente expressamente a que a Evnyo possa recorrer a subcontratantes ulteriores (também chamados subcontratantes subordinados ou prestadores terceiros) para levar atividades de tratamento específicas por conta do Cliente, no âmbito da prestação do Serviço. Pode tratar-se particularmente das seguintes categorias: alojamento cloud, serviços de envio de e-mails e SMS, ferramentas de análises técnicas, correção de dados por IA, etc.

Os subcontratantes atuais aos quais a Evnyo recorre incluem (lista não exaustiva):

• Supabase – Base de dados & Alojamento de ficheiros: Supabase é o nosso fornecedor de infraestrutura aplicacional. Papel: alojamento da base de dados PostgreSQL contendo os dados da Evnyo (contas, eventos, convites, respostas, etc.), e armazenamento dos ficheiros associados (ex. imagens dos vossos eventos) num espaço dedicado (bucket). Localização: União Europeia. Utilizamos os servidores europeus do Supabase (região UE) para que todos os dados e ficheiros sejam alojados exclusivamente na Europa. Os dados armazenados estão cifrados em repouso e são apenas acessíveis às aplicações Evnyo e aos nossos administradores autorizados.

• Vercel – Alojamento front-end: Vercel é a plataforma de alojamento do front-end da nossa aplicação (website e interface de utilizador da Evnyo). Papel: distribuição da aplicação web e conteúdos estáticos aos utilizadores finais, através de uma rede mundial de distribuição (CDN) para desempenho ótimo. Localização: principalmente nos Estados Unidos (Vercel Inc.), com uma CDN através do mundo (incluindo servidores na Europa). Garantias de transferência: Vercel está certificado para o EU-US Data Privacy Framework e oferece um Data Processing Addendum padrão conforme ao RGPD.

• Postmark – Envio de e-mails transacionais: serviço de e-mailing utilizado para encaminhar os e-mails gerados pela Evnyo. Papel: envio fiável de e-mails transacionais relacionados com eventos (ex. convites, confirmações de inscrição, lembretes, seguimentos pós-evento) em nome do organizador. Localização: principalmente nos Estados Unidos, com infraestruturas redundantes. Garantias de transferência: Postmark oferece um Data Processing Addendum (DPA) padrão conforme aos requisitos do RGPD e garantias contratuais para transferências internacionais.

• Twilio – Envio de SMS transacionais: plataforma utilizada para o envio de SMS (por exemplo convites ou lembretes SMS, ou mensagens de verificação) aos participantes que forneceram um número de telefone. Papel: encaminhar SMS para os operadores telefónicos dos vossos contactos. Localização: Twilio Inc. é uma empresa americana, mas dispõe de pontos de presença na UE. Garantias de transferência: Twilio dispõe de Binding Corporate Rules (BCR) aprovadas pelas autoridades europeias de proteção de dados e oferece um Data Processing Addendum conforme ao RGPD.

• CookieYes – Consent Management Platform: ferramenta de gestão de consentimentos de cookies. CookieYes implementa o banner de cookies no nosso site e regista as escolhas de cada utilizador relativamente aos cookies. Papel: garantir que os rastreadores não essenciais só são ativados com consentimento, e conservar a prova do consentimento ou recusa do utilizador. Localização: CookieYes Limited é uma empresa registada no Reino Unido.

• OpenAI – Inteligência artificial: serviço de IA avançada que utilizamos através de API para funcionalidades específicas (ex: correção de dados mal formatados, geração de imagens sob demanda). Papel: tratamento algorítmico do conteúdo que lhe submetemos com o fim de produzir um resultado (ficheiro corrigido ou imagem gerada) devolvido à Evnyo. Localização: Estados Unidos (OpenAI, Inc.). Garantias: Conforme aos termos de utilização da API da OpenAI, os dados que transmitimos não são utilizados pela OpenAI para treinar os seus modelos de IA e são automaticamente eliminados dos seus sistemas num prazo máximo de 30 dias após tratamento.

• OVH – Gestão do nome de domínio & DNS: OVHcloud é o nosso registador e anfitrião DNS para o domínio evnyo.com. Papel: gestão técnica do nome de domínio, registos DNS e alojamento de certas funções auxiliares. Localização: França (OVH, empresa francesa). Dados pessoais: muito poucos dados na realidade – OVH trata essencialmente dados técnicos (consultas DNS dos visitantes).

A Evnyo assegura-se de que todos os seus subcontratantes dispõem de mecanismos de transferência validados para países terceiros (BCR, Cláusulas Contratuais Tipo, decisão de adequação) e que os seus DPA padrão respeitam as exigências do artigo 28.º do RGPD. A Evnyo compromete-se a que cada subcontratante ofereça garantias suficientes quanto à implementação de medidas técnicas e organizacionais apropriadas, de maneira que o tratamento responda às exigências do RGPD e garanta a proteção dos direitos dos titulares de dados. A Evnyo conclui com cada um destes subcontratantes um contrato escrito que impõe obrigações de proteção de dados equivalentes às do presente Contrato, particularmente em termos de confidencialidade, segurança e notificação de violações.

A Evnyo permanece plenamente responsável vis-à-vis do Cliente da execução por parte dos seus subcontratantes das suas obrigações de proteção de dados. A Evnyo supervisionará estes subcontratantes e permanecerá como interlocutor único do Cliente.

Informação e direito de oposição: A Evnyo terá o Cliente informado de qualquer mudança prevista concernente à adição ou substituição de subcontratantes importantes que impliquem um tratamento de dados pessoais do Cliente. Esta informação será fornecida através de uma notificação (por exemplo, na interface administrador do Cliente ou por e-mail) pelo menos 15 dias antes da mudança. O Cliente tem a faculdade de emitir objeções razoáveis e legítimas contra estas mudanças neste prazo de 15 dias. Uma objeção deverá estar motivada de boa fé, por exemplo se o Cliente estimar que um novo subcontratante apresenta garantias insuficientes de conformidade.

Em caso de objeção não resolvida concernente a um novo subcontratante, a Evnyo poderá, à sua escolha, seja renunciar a contratar este subcontratante, seja propor uma solução alternativa ao Cliente. Se não se encontrar nenhuma solução aceitável, o Cliente poderá rescindir o contrato sem penalidade devido a esta objeção. Esta rescisão será considerada como legítima e não culposa por parte da Evnyo.

No final da relação contratual, ou seja em caso de rescisão ou expiração dos Termos e Condições, o Cliente tem a faculdade de recuperar o conjunto dos dados pessoais tratados por sua conta através da Evnyo. A Evnyo fornece, sob pedido do Cliente, os dados num formato padrão legível (por exemplo, export CSV das listas de convidados e respostas).

O Cliente deverá exercer esta opção de restituição antes da data de fim do contrato ou no máximo nos 15 dias seguintes. Além disso, a Evnyo procederá à supressão completa dos dados pessoais do Cliente ainda em sua posse, segundo o calendário seguinte:

• Supressão ativa imediata: Imediatamente após o fim do contrato, a Evnyo tornará inacessíveis os dados do Cliente na plataforma (conta desativada). Os dados poderão ser conservados temporariamente nas cópias de segurança do sistema.
• Apagamento definitivo: Na ausência de instrução contrária do Cliente, a Evnyo apagará todos os dados pessoais do Cliente num prazo máximo de 90 dias após o fim do evento ou a rescisão do contrato, conforme a primeira destas datas. Isto inclui a eliminação das bases de dados ativas e a sobreescrita ou cifragem das cópias de segurança contendo ainda estes dados. Sob pedido escrito do Cliente, a Evnyo poderá atestar por escrito a destruição efetiva dos dados uma vez realizada.

Se o Cliente desejar uma restituição de dados antes da supressão, a Evnyo poderá assisti-lo (este serviço pode ser faturado se gerar um custo importante). Em todo o caso, a Evnyo não conservará nenhum dado pessoal do Cliente além do período mencionado, salvo obrigação legal de conservação mais longa. Por exemplo, a Evnyo poderá conservar logs de ligação ou transações contendo acessoriamente dados pessoais se a lei o impuser, mas neste caso estes dados permanecerão protegidos e arquivados separadamente.

As obrigações da Evnyo em matéria de confidencialidade e segurança continuam a aplicar-se enquanto a Evnyo conservar os dados.

Em caso de rescisão de urgência (suspensão imediata por incumprimento grave), o Cliente dispõe de um prazo de 7 dias para recuperar os seus dados através de export automatizado da sua interface. Passado este prazo, aplica-se o procedimento normal de supressão (prazo de 90 dias máximo segundo as modalidades definidas acima).

Para qualquer questão ou instrução relativa à proteção de dados pessoais no âmbito do presente Contrato, o Cliente pode contactar o referente de proteção de dados da Evnyo. Este referente não dispõe do estatuto de DPO no sentido do artigo 37.º do RGPD. As coordenadas de contacto são indicadas na Política de Privacidade e/ou no site Evnyo (ex. um endereço de e-mail dedicado como privacy@evnyo.com).

A Evnyo compromete-se a tratar qualquer pedido do Cliente relativo ao presente Contrato nos melhores prazos.

7.1. Hierarquia dos documentos

O presente Contrato faz parte dos Termos e Condições. Em caso de contradição entre uma disposição dos Termos e Condições e uma disposição do presente Contrato concernente ao tratamento de dados pessoais, o Contrato prevalecerá. Em caso de conflito entre documentos contratuais e obrigações legais imperativas, estas últimas prevalecem automaticamente. As outras estipulações dos Termos e Condições permanecem plenamente aplicáveis para tudo o que não está tratado no Contrato.

7.2. Duração

As obrigações da Evnyo enquanto Subcontratante em virtude do presente Contrato aplicam-se durante toda a duração da prestação de Serviços que implique um tratamento de dados pessoais por conta do Cliente, e até à supressão dos dados. As obrigações que por natureza perduram (confidencialidade, assistência, etc.) sobreviverão tanto quanto necessário após o fim do contrato.

7.3. Lei aplicável e jurisdição

O presente Contrato está sujeito à mesma lei que os Termos e Condições (ver artigo 9.º dos Termos). Qualquer disputa relativa à sua execução ou interpretação será regulada segundo as modalidades de regulação de litígios previstas nos Termos e Condições. No entanto, em caso de litígio específico à proteção de dados, as Partes cooperarão de boa fé para encontrar uma solução conforme à regulamentação e, se necessário, consultarão a autoridade de controlo competente (ex. a CNPD) para parecer.

7.4. Integridade e modificação

Este Contrato constitui o acordo inteiro das Partes quanto à proteção de dados para os Serviços Evnyo. Pode ser completado ou modificado por um escrito assinado pelas duas Partes (incluindo através de consentimento eletrónico explícito). A Evnyo reserva-se o direito de propor atualizações deste Contrato em caso de evolução da regulamentação ou dos Serviços, seguindo as mesmas modalidades que a modificação dos Termos e Condições. O Cliente será informado de qualquer modificação substancial e poderá recusá-la rescindindo o Serviço antes da sua entrada em vigor se lhe for prejudicial.

Em caso de declaração de nulidade de uma cláusula por um tribunal, as partes comprometem-se a negociar de boa fé a sua substituição por uma cláusula equivalente e lícita.

Assinando ou aceitando eletronicamente os Termos e Condições, o Cliente e a Evnyo reconhecem ter lido e compreendido o presente Contrato e comprometem-se a respeitar todas as suas disposições.