Voltar ao início

Acordo de Processamento de Dados

Última atualização: 19 de junho de 2026

Este Acordo de Processamento de Dados (“APD”) faz parte dos Termos e Condições entre o Irrivio (“Subcontratante”) e o negócio subscritor (“Responsável pelo Tratamento”). Rege o tratamento de dados pessoais dos teus clientes realizado pelo Irrivio em teu nome, nos termos do artigo 28.º do RGPD.

1. Definições

  • Responsável pelo Tratamento - o negócio ou indivíduo que subscreve o Irrivio e determina as finalidades e os meios do tratamento;
  • Subcontratante - o Irrivio, que trata dados pessoais em nome do Responsável pelo Tratamento;
  • Titular dos Dados - os clientes finais do Responsável pelo Tratamento cujos dados pessoais são tratados através da plataforma;
  • Dados Pessoais - qualquer informação que identifique ou possa identificar um Titular dos Dados.

2. Objeto e Duração

O Irrivio trata dados pessoais para prestar os serviços de agendamento, gestão de clientes e notificações descritos nos Termos e Condições. O tratamento decorre durante a vigência da subscrição e cessa com a rescisão ou expiração da conta.

3. Natureza e Finalidade do Tratamento

As atividades de tratamento incluem:

  • Armazenar perfis de clientes (nome, email, telemóvel);
  • Registar e gerir marcações;
  • Enviar notificações de confirmação e lembrete;
  • Processar pagamentos online em nome do Responsável pelo Tratamento (via Stripe Connect);
  • Fornecer relatórios e análises ao Responsável pelo Tratamento.

4. Categorias de Dados Pessoais

  • Dados de identificação: nome completo;
  • Dados de contacto: endereço de email, número de telemóvel;
  • Dados transacionais: histórico de marcações, utilização de serviços, estado de pagamento;
  • Dados técnicos: endereços IP, identificadores de dispositivo (para fins de segurança).

Não são tratadas categorias especiais de dados (nos termos do artigo 9.º do RGPD), salvo se explicitamente fornecidas pelo Responsável pelo Tratamento.

5. Obrigações do Responsável pelo Tratamento

O Responsável pelo Tratamento deverá:

  • Garantir a existência de uma base jurídica para o tratamento dos dados pessoais dos seus clientes;
  • Fornecer os avisos de privacidade exigidos aos Titulares dos Dados antes de recolher os seus dados;
  • Responder a pedidos de exercício de direitos dos Titulares dos Dados (o Irrivio prestará assistência razoável mediante pedido escrito);
  • Notificar o Irrivio imediatamente em caso de suspeita de violação de dados pessoais envolvendo dados de clientes.

6. Obrigações do Subcontratante

O Irrivio deverá:

  • Tratar os dados pessoais apenas com base em instruções documentadas do Responsável pelo Tratamento (i.e., para prestar os serviços contratados);
  • Garantir que o pessoal com acesso a dados pessoais está vinculado por obrigações de confidencialidade;
  • Implementar medidas de segurança técnicas e organizativas adequadas (artigo 32.º do RGPD);
  • Auxiliar o Responsável pelo Tratamento no cumprimento das suas obrigações relativas a segurança, notificação de violações e direitos dos Titulares dos Dados, na medida do possível dada a natureza do tratamento;
  • Eliminar ou devolver todos os dados pessoais ao Responsável pelo Tratamento após a rescisão da subscrição, salvo obrigação legal de conservação;
  • Disponibilizar toda a informação necessária para demonstrar o cumprimento e permitir auditorias conduzidas pelo Responsável pelo Tratamento ou por auditor mandatado, sujeito a aviso prévio razoável e obrigações de confidencialidade.

7. Subcontratantes Subsequentes

O Responsável pelo Tratamento autoriza o Irrivio a envolver os seguintes subcontratantes subsequentes para prestação do serviço:

  • Hetzner Cloud GmbH (Alemanha) - alojamento de infraestrutura;
  • Stripe, Inc. (EUA, Cláusulas Contratuais Tipo em vigor) - processamento de pagamentos;
  • Resend Inc. (EUA, Cláusulas Contratuais Tipo em vigor) - email transacional;
  • WhatsApp / Meta Platforms (conforme aplicável) - entrega de mensagens para notificações WhatsApp.

O Irrivio notificará o Responsável pelo Tratamento de alterações previstas aos subcontratantes subsequentes, dando oportunidade de se opor antes de a alteração entrar em vigor.

8. Medidas de Segurança

O Irrivio implementa e mantém:

  • Encriptação HTTPS/TLS para todos os dados em trânsito;
  • Armazenamento encriptado e palavras-passe cifradas;
  • Controlo de acesso baseado em funções, limitando o acesso do pessoal aos dados de que necessita;
  • Backups automáticos regulares com procedimentos de restauro testados;
  • Monitorização e alertas para padrões de acesso suspeitos.

9. Violações de Dados Pessoais

Em caso de violação de dados pessoais, o Irrivio notificará o Responsável pelo Tratamento sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento, fornecendo informação suficiente para que este possa cumprir as suas obrigações de notificação ao abrigo do artigo 33.º do RGPD.

10. Transferência de Dados

Os dados pessoais são armazenados e tratados na União Europeia. Quando os subcontratantes subsequentes implicarem transferências para fora da UE/EEE, são aplicadas salvaguardas adequadas (Cláusulas Contratuais Tipo ou decisões de adequação).

11. Lei Aplicável

Este APD é regido pela lei portuguesa e pelo RGPD (Regulamento (UE) 2016/679).

12. Contacto

Para questões de proteção de dados: info@irrivio.com