Voltar
Acordo de Tratamento de Dados
Última atualização: 25 de maio de 2026
O presente Acordo de Tratamento de Dados ("DPA") é celebrado entre o utilizador, cliente da Tailride (o "Responsável pelo Tratamento"), e a Tailride S.à r.l., sociedade constituída ao abrigo das leis do Luxemburgo, com sede em 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, VAT LU37209474 (o "Subcontratante", "Tailride", "nós"). Este DPA faz parte integrante dos Termos de Serviço da Tailride (o "Contrato") e aplica-se sempre que a Tailride trate dados pessoais por conta do Responsável pelo Tratamento no âmbito do serviço. Os termos iniciados por maiúscula que não sejam aqui definidos têm o significado que lhes é atribuído no Contrato, no Regulamento (UE) 2016/679 (o RGPD) e no UK GDPR. A versão inglesa do presente DPA é a versão prevalecente; as traduções são fornecidas apenas para conveniência.
TL;DR — o que significa este DPA em linguagem simples
Esta página constitui um contrato entre o utilizador e a Tailride sobre a forma como tratamos os dados pessoais que introduz no produto. Eis o que isto realmente significa, sem o jargão jurídico:
• O utilizador mantém o controlo dos seus dados. O utilizador é o "responsável pelo tratamento" dos dados que carrega (faturas, recibos, conteúdos de caixas de correio, contactos). A Tailride é o "subcontratante" — apenas tratamos esses dados para operar o produto em seu nome. • Apenas fazemos o que o utilizador nos pede. Tratamos os seus dados para disponibilizar as funcionalidades da Tailride, protegê-las e cumprir as nossas obrigações legais — nada mais. Não vendemos os seus dados e não treinamos modelos de IA generalizados com os seus dados. • Selecionamos os nossos subsubcontratantes com cuidado. Trabalhamos com uma lista curta de fornecedores reconhecidos (alojamento na cloud, e-mail transacional, OCR/IA, chat de apoio ao cliente). A lista atual encontra-se no Apêndice 3, com a entidade jurídica, a jurisdição e a região de tratamento de cada um. Cada um deles trata Dados Pessoais do Cliente ao abrigo de um Acordo de Tratamento de Dados em conformidade com o RGPD, incorporado nos termos que aceitamos ao utilizar os respetivos serviços. Os processadores de pagamentos, os parceiros de análise web/de produto, de publicidade e de marketing de afiliados são responsáveis pelo tratamento independentes ou responsáveis conjuntos pelo tratamento — não são subsubcontratantes ao abrigo do presente DPA e são apresentados separadamente na nossa Política de Privacidade. • Os seus dados permanecem maioritariamente na UE. A aplicação, a base de dados e o armazenamento de documentos correm em regiões da UE (Frankfurt, Stockholm, Dublin, Irlanda). Um pequeno número de subsubcontratantes (por exemplo, IA/OCR ou e-mail transacional) pode tratar dados nos EUA — nesse caso, recorremos às Cláusulas Contratuais-Tipo da Comissão Europeia ou a um mecanismo de transferência equivalente. • Mantemos os seus dados em segurança. Encriptação em trânsito e em repouso, autenticação multifator, acessos com base no princípio do menor privilégio, registos de auditoria e revisão anual dos acessos. A lista completa de medidas técnicas e organizativas consta do Apêndice 2. • Se algo correr mal, terá notícias nossas. Notificá-lo-emos de qualquer violação de dados pessoais confirmada sem demora injustificada (e, no máximo, no prazo de 72 horas após termos conhecimento) e ajudá-lo-emos a tratar pedidos dos titulares dos dados (acesso, eliminação, portabilidade), bem como quaisquer questões colocadas pelas autoridades de proteção de dados. • Adição ou substituição de subsubcontratantes. Mantemos a lista nesta página atualizada. Se adicionarmos um novo subsubcontratante ou substituirmos um existente, atualizaremos aqui o Apêndice 3. Se não concordar com uma alteração, pode escrever-nos no prazo de 30 dias e discutiremos a questão de boa-fé — ou pode deixar de utilizar o serviço afetado no final do seu período de faturação. • Encerramento da conta. Enquanto a sua conta se mantiver ativa — incluindo numa subscrição em pausa ou num plano gratuito — conservamos os seus dados para que possa continuar a utilizar o produto. Para os eliminar, encerre a sua conta em Definições → Eliminar conta; terá 30 dias para exportar o que necessitar, após o que eliminaremos os dados pessoais dos nossos sistemas em produção no prazo de 90 dias (poderão ser conservados alguns registos limitados quando a lei o exigir, por exemplo, para fins contabilísticos ou de combate à fraude). As cópias de segurança encriptadas são substituídas no seu próprio ciclo (atualmente, até doze meses), são mantidas isoladas e utilizadas exclusivamente para fins de recuperação de desastres — se alguma vez procedermos a uma reposição a partir de uma cópia de segurança, voltaremos a aplicar a sua eliminação aos dados restaurados.
Este resumo é fornecido apenas para conveniência. Em caso de qualquer conflito, prevalece o texto integral do DPA abaixo — bem como as Cláusulas Contratuais-Tipo europeias incorporadas por referência.
1. Definições
Para além dos termos definidos no Contrato, aplicam-se as seguintes definições: • "Legislação Aplicável em matéria de Proteção de Dados" significa (i) o Regulamento (UE) 2016/679 (o RGPD), (ii) a Data Protection Act 2018 do Reino Unido e o UK GDPR, (iii) a Lei Federal Suíça de Proteção de Dados e (iv) qualquer outra lei de privacidade ou proteção de dados aplicável ao Tratamento efetuado ao abrigo do Contrato, em cada caso conforme alterada periodicamente. • "Responsável pelo Tratamento", "Subcontratante", "Subsubcontratante", "Tratamento", "Dados Pessoais", "Titular dos Dados", "Categorias Especiais de Dados Pessoais" e "Autoridade de Controlo" têm os significados que lhes são atribuídos pela Legislação Aplicável em matéria de Proteção de Dados. • "EU SCCs" significa as Cláusulas Contratuais-Tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, Módulo Dois (responsável-subcontratante), conforme atualizadas periodicamente. • "UK Addendum" significa o International Data Transfer Addendum às SCCs da Comissão da UE emitido pelo UK Information Commissioner's Office (versão B.1.0) ao abrigo da secção 119A da Data Protection Act 2018 do Reino Unido. • "Violação de Dados Pessoais" tem o significado que lhe é atribuído no artigo 4.º, n.º 12, do RGPD. • "Dados Pessoais do Cliente" significa Dados Pessoais que a Tailride trate por conta do Responsável pelo Tratamento ao abrigo do Contrato, conforme descrito mais detalhadamente no Apêndice 1.
2. Âmbito e papéis
2.1 Papéis. Relativamente aos Dados Pessoais do Cliente, o Responsável pelo Tratamento é o "responsável pelo tratamento" e a Tailride é o "subcontratante" na aceção da Legislação Aplicável em matéria de Proteção de Dados. Quanto aos dados que a Tailride recolhe de forma independente (por exemplo, os dados de conta e faturação descritos na nossa Política de Privacidade), a Tailride atua como responsável pelo tratamento autónomo e esse tratamento é regido pela Política de Privacidade e não pelo presente DPA. 2.2 Âmbito. Este DPA aplica-se a todo o Tratamento de Dados Pessoais do Cliente efetuado pela Tailride e pelos seus Subsubcontratantes ao abrigo do Contrato. 2.3 Conformidade. Cada parte cumprirá as respetivas obrigações ao abrigo da Legislação Aplicável em matéria de Proteção de Dados. O Responsável pelo Tratamento é responsável pela licitude dos dados que submete à Tailride e por dispor de uma base jurídica válida para instruir a Tailride a tratá-los. 2.4 Sem categorias especiais sem acordo prévio. A Tailride não prevê receber categorias especiais de Dados Pessoais (artigo 9.º do RGPD) nem dados relativos a condenações penais e infrações (artigo 10.º do RGPD). O Responsável pelo Tratamento compromete-se a não carregar tais dados, salvo acordo escrito prévio expresso.
3. Instruções de tratamento da Tailride
3.1 Instruções documentadas. A Tailride tratará Dados Pessoais do Cliente apenas mediante instruções documentadas do Responsável pelo Tratamento, incluindo qualquer configuração do serviço efetuada pelo Responsável pelo Tratamento. O Contrato (o presente DPA, a Política de Privacidade, a encomenda/checkout e a utilização do serviço pelo Responsável pelo Tratamento) constitui as instruções completas e finais do Responsável pelo Tratamento à Tailride. 3.2 Instruções adicionais. As instruções que ultrapassem o âmbito do serviço poderão ser cobradas com base em tempo e materiais, sujeitas a aceitação prévia da Tailride. 3.3 Obrigações legais. Se uma lei da União Europeia ou de um Estado-Membro (ou outra lei aplicável) exigir que a Tailride trate Dados Pessoais do Cliente de forma distinta da que lhe foi instruída, a Tailride notificará o Responsável pelo Tratamento dessa exigência legal antes do Tratamento, salvo se essa lei proibir tal notificação por motivos importantes de interesse público. 3.4 Instruções ilícitas. Se a Tailride considerar que uma instrução viola a Legislação Aplicável em matéria de Proteção de Dados, informará o Responsável pelo Tratamento sem demora injustificada e poderá suspender o Tratamento em causa até que o Responsável pelo Tratamento modifique a sua instrução.
4. Confidencialidade
A Tailride assegura que todo o pessoal autorizado a tratar Dados Pessoais do Cliente está vinculado a obrigações de confidencialidade adequadas (contratuais ou legais) e recebe formação adequada em matéria de proteção de dados. O acesso aos Dados Pessoais do Cliente está limitado ao pessoal que necessite desse acesso para os fins do Contrato.
5. Medidas de segurança
5.1 Medidas técnicas e organizativas. A Tailride implementa e mantém as medidas técnicas e organizativas (MTOs) previstas no Apêndice 2, a fim de assegurar um nível de segurança adequado ao risco para os direitos e liberdades dos Titulares dos Dados. 5.2 Assistência no cumprimento de obrigações de segurança. Tendo em conta a natureza do Tratamento e as informações de que dispõe, a Tailride prestará assistência ao Responsável pelo Tratamento, através de medidas técnicas e organizativas adequadas e na medida do razoavelmente possível, no cumprimento das suas obrigações ao abrigo dos artigos 32.º a 36.º do RGPD (segurança do tratamento, notificação de violações, avaliações de impacto sobre a proteção de dados e consulta prévia). 5.3 Atualizações. A Tailride poderá atualizar as suas MTOs periodicamente, desde que qualquer atualização não diminua de forma significativa o nível global de proteção dos Dados Pessoais do Cliente.
6. Subsubcontratantes
6.1 Autorização geral. O Responsável pelo Tratamento concede à Tailride uma autorização geral para recorrer a Subsubcontratantes no Tratamento de Dados Pessoais do Cliente para as finalidades previstas no presente DPA. A lista atual de Subsubcontratantes consta do Apêndice 3 do presente DPA. 6.2 Aviso através da página do DPA. A Tailride mantém o Apêndice 3 do presente DPA atualizado e publica nesta página qualquer adição ou substituição de Subsubcontratante. Ao aceitar o presente DPA, o Responsável pelo Tratamento concorda que a publicação de um Apêndice 3 atualizado em https://tailride.so/dpa constitui aviso das alterações para efeitos do artigo 28.º, n.º 2, do RGPD. Os Responsáveis pelo Tratamento que pretendam receber notificações por e-mail das alterações aos Subsubcontratantes podem subscrevê-las escrevendo para mike@tailride.so. 6.3 Direito de oposição. O Responsável pelo Tratamento pode opor-se por escrito a um novo Subsubcontratante por motivos razoáveis de proteção de dados no prazo de trinta (30) dias a contar da publicação da alteração nesta página. As partes discutirão a oposição de boa-fé. Se as partes não chegarem a acordo, o Responsável pelo Tratamento pode rescindir a parte afetada do serviço no final do seu período de faturação então em curso; a Tailride não está obrigada a reembolsar taxas já devidas relativamente a esse período de faturação. 6.4 Transmissão de obrigações. A Tailride imporá a cada Subsubcontratante obrigações de proteção de dados não menos protetoras do que as previstas no presente DPA (seja através de um contrato assinado autonomamente, seja por aceitação do Acordo de Tratamento de Dados publicado pelo Subsubcontratante), e mantém-se responsável perante o Responsável pelo Tratamento pelo cumprimento do presente DPA por cada Subsubcontratante, como se os atos ou omissões deste fossem da própria Tailride.
7. Transferências internacionais de dados
7.1 Tratamento no EEE. A Tailride trata principalmente Dados Pessoais do Cliente dentro do Espaço Económico Europeu (EEE), incluindo na Alemanha (Frankfurt), Suécia (Stockholm) e Irlanda (Dublin). 7.2 Transferências para fora do EEE / Reino Unido / Suíça. Sempre que a Tailride ou um Subsubcontratante transfira Dados Pessoais do Cliente para fora do EEE, do Reino Unido ou da Suíça, para um país não abrangido por uma decisão de adequação, a Tailride assegurará a aplicação de um mecanismo de transferência adequado, que poderá incluir: (a) as EU SCCs (Módulo Dois), incorporadas por referência no presente DPA e nos nossos contratos com Subsubcontratantes; (b) para transferências sujeitas ao UK GDPR, o UK Addendum às EU SCCs; (c) para transferências a partir da Suíça, as EU SCCs com as adaptações do Comissário Federal Suíço para a Proteção de Dados e a Informação (FDPIC); e/ou (d) qualquer outro mecanismo de transferência lícito, incluindo o EU-US Data Privacy Framework (e as suas extensões para o Reino Unido e a Suíça), quando o importador esteja autocertificado. 7.3 Anexos das SCCs. O exportador de dados é o Responsável pelo Tratamento; o importador de dados é a Tailride S.à r.l. As informações exigidas pelo Anexo I.A (Lista das Partes), pelo Anexo I.B (Descrição da transferência) e pelo Anexo II (Medidas técnicas e organizativas) das EU SCCs constam dos Apêndices 1 e 2 do presente DPA. O Anexo III (Lista de Subsubcontratantes) corresponde ao Apêndice 3. 7.4 Avaliação de impacto na transferência. A Tailride avaliou e continuará a avaliar os quadros jurídicos dos países de destino dos seus Subsubcontratantes e implementou medidas suplementares (encriptação, controlos de acesso, salvaguardas contratuais, transparência sobre pedidos de autoridades governamentais), sempre que adequado.
8. Pedidos dos titulares dos dados
8.1 Assistência. Tendo em conta a natureza do Tratamento, a Tailride prestará assistência ao Responsável pelo Tratamento, através de medidas técnicas e organizativas adequadas e na medida do possível, na resposta aos pedidos de Titulares dos Dados que exerçam os seus direitos ao abrigo do Capítulo III do RGPD (direito de acesso, retificação, apagamento, limitação, portabilidade dos dados e oposição). 8.2 Pedidos diretos. Se a Tailride receber um pedido diretamente de um Titular dos Dados relativo a Dados Pessoais do Cliente, a Tailride não responderá ao pedido quanto ao mérito, salvo se o Responsável pelo Tratamento o autorizar, e informará o Responsável pelo Tratamento desse pedido sem demora injustificada. 8.3 Autosserviço. Muitos pedidos de Titulares dos Dados podem ser tratados diretamente pelo Responsável pelo Tratamento através do produto Tailride (por exemplo, eliminação de registos individuais, exportação de dados ou eliminação total da conta a partir de Definições).
9. Notificação de violação de dados pessoais
9.1 Notificação. A Tailride notificará o Responsável pelo Tratamento de qualquer Violação de Dados Pessoais confirmada que afete Dados Pessoais do Cliente, sem demora injustificada após tomar conhecimento da mesma e, em qualquer caso, no prazo de setenta e duas (72) horas. 9.2 Informações. A notificação descreverá, na medida em que estejam razoavelmente disponíveis, (a) a natureza da violação, incluindo as categorias e o número aproximado de Titulares dos Dados e de registos afetados; (b) as prováveis consequências da violação; e (c) as medidas adotadas ou propostas para fazer face à violação e mitigar os seus eventuais efeitos adversos. A Tailride prestará informações adicionais à medida que estas estejam disponíveis. 9.3 Cooperação. A Tailride cooperará razoavelmente com o Responsável pelo Tratamento e prestar-lhe-á assistência razoável nas suas comunicações com as Autoridades de Controlo e com os Titulares dos Dados afetados.
10. AIPD e consultas prévias
Tendo em conta a natureza do Tratamento e as informações de que dispõe, a Tailride prestará ao Responsável pelo Tratamento assistência razoável na realização de avaliações de impacto sobre a proteção de dados ao abrigo do artigo 35.º do RGPD e em qualquer consulta prévia a uma Autoridade de Controlo ao abrigo do artigo 36.º do RGPD, sempre que tal seja exigido pela Legislação Aplicável em matéria de Proteção de Dados. Em regra, a Tailride cumprirá esta obrigação disponibilizando o presente DPA, a lista atual de Subsubcontratantes (Apêndice 3), as Medidas Técnicas e Organizativas (Apêndice 2) e a sua documentação de segurança padrão. Qualquer assistência específica que ultrapasse este âmbito — por exemplo, o preenchimento de um questionário de AIPD específico do Responsável pelo Tratamento ou a participação em consultas com uma Autoridade de Controlo — poderá ser prestada com base em tempo e materiais, a critério da Tailride.
11. Informação e auditorias
11.1 Informação. Mediante pedido escrito razoável, a Tailride disponibilizará ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento do presente DPA e do artigo 28.º do RGPD, incluindo, quando aplicável, resumos de certificações de segurança independentes, relatórios de auditoria, resultados de testes de intrusão e respostas a questionários, sob reserva de obrigações razoáveis de confidencialidade. 11.2 Auditorias. Sem prejuízo da cláusula 11.1, o Responsável pelo Tratamento (ou um auditor independente por si mandatado, sujeito a confidencialidade e desde que o auditor não seja concorrente da Tailride) pode realizar auditorias presenciais às instalações de tratamento da Tailride, não mais do que uma vez por ano civil (salvo se exigido por uma Autoridade de Controlo), mediante pré-aviso escrito de pelo menos trinta (30) dias, durante o horário normal de funcionamento e sem perturbar de forma irrazoável as operações da Tailride. O Responsável pelo Tratamento suporta os seus próprios custos com qualquer auditoria; a Tailride suporta o custo de uma assistência razoável até ao máximo de um (1) dia útil por ano civil e por Responsável pelo Tratamento, podendo cobrar com base em tempo e materiais para além desse limite. 11.3 Cooperação com a Autoridade de Controlo. A Tailride cooperará em qualquer auditoria ou investigação por parte de uma Autoridade de Controlo competente.
12. Devolução ou eliminação de dados pessoais
12.1 Conservação durante a vigência da conta. Enquanto a conta do Responsável pelo Tratamento se mantiver ativa — incluindo numa subscrição em pausa, num plano gratuito ou noutro estado de inatividade — a Tailride conserva os Dados Pessoais do Cliente para que o Responsável pelo Tratamento possa continuar a aceder e a utilizar o serviço. O Responsável pelo Tratamento pode desencadear a eliminação a qualquer momento a partir de Definições → Eliminar conta no produto Tailride. 12.2 Devolução ou eliminação em caso de encerramento ou cessação. Em caso de encerramento da conta do Responsável pelo Tratamento, ou de cessação ou caducidade do Contrato (cada um, a "Data de Cessação"), e à escolha do Responsável pelo Tratamento, a Tailride devolverá ou eliminará os Dados Pessoais do Cliente detidos por sua conta no prazo de noventa (90) dias a contar da Data de Cessação. A opção por defeito é a eliminação. Para que não subsistam dúvidas, colocar uma subscrição em pausa, fazer downgrade do plano ou passar a um plano gratuito não constitui uma Data de Cessação. 12.3 Exportação em autosserviço. Antes da eliminação, o Responsável pelo Tratamento pode exportar os seus dados através das funcionalidades disponíveis no produto. O Responsável pelo Tratamento dispõe de, pelo menos, trinta (30) dias a contar da Data de Cessação para efetuar uma exportação em autosserviço. 12.4 Cópias de segurança e conservação legal. A Tailride pode conservar Dados Pessoais do Cliente (a) em cópias de segurança encriptadas, mantidas isoladas dos sistemas de produção e utilizadas exclusivamente para fins de recuperação de desastres, por um período limitado até que a cópia de segurança seja substituída no ciclo normal de rotação de cópias de segurança (atualmente até doze (12) meses); e (b) sempre que tal seja exigido para cumprir a legislação aplicável (por exemplo, obrigações contabilísticas, fiscais ou antifraude). Se a Tailride proceder a uma reposição a partir de uma cópia de segurança que contenha Dados Pessoais do Cliente que tenham sido previamente eliminados ao abrigo da presente cláusula 12, a Tailride, sem demora injustificada após a reposição, voltará a aplicar a eliminação correspondente aos dados restaurados. Quaisquer dados conservados permanecem sujeitos ao presente DPA.
13. Responsabilidade
A responsabilidade agregada de cada parte decorrente ou relacionada com o presente DPA está sujeita às limitações e exclusões de responsabilidade previstas no Contrato. Nada no presente DPA limita quaisquer direitos ou meios de defesa que os Titulares dos Dados possam ter diretamente contra o Responsável pelo Tratamento ou o Subcontratante ao abrigo da Legislação Aplicável em matéria de Proteção de Dados.
14. Lei aplicável e jurisdição
O presente DPA rege-se pelas leis do Grão-Ducado do Luxemburgo, sem prejuízo das normas imperativas de proteção do consumidor do país de residência do Responsável pelo Tratamento. Os tribunais competentes da Cidade do Luxemburgo têm jurisdição exclusiva, salvo se a Legislação Aplicável em matéria de Proteção de Dados dispuser de outro modo (em particular para os direitos dos Titulares dos Dados, em que os tribunais da residência habitual do Titular dos Dados também podem ter jurisdição). Para as transferências regidas pelas EU SCCs ou pelo UK Addendum, prevalecem, em qualquer matéria abrangida pelo seu âmbito, a lei aplicável e o foro previstos nessas cláusulas.
15. Alterações ao presente DPA
A Tailride pode atualizar o presente DPA periodicamente, de forma a refletir alterações à Legislação Aplicável em matéria de Proteção de Dados, alterações aos nossos serviços ou alterações à nossa lista de Subsubcontratantes. As atualizações materiais serão anunciadas nesta página com uma nova data de "Última atualização", sendo que qualquer alteração que reduza materialmente o nível de proteção dos Dados Pessoais do Cliente só produzirá efeitos para um Responsável pelo Tratamento existente decorridos, pelo menos, trinta (30) dias após o aviso (salvo se a Legislação Aplicável em matéria de Proteção de Dados exigir efeitos mais rápidos).
Apêndice 1 — Pormenores do tratamento (Anexo I.B das EU SCCs)
Exportador de dados (Responsável pelo Tratamento). O Cliente da Tailride, conforme identificado pelos dados da conta, informações de faturação e encomenda/checkout submetidos à Tailride. Papel: responsável pelo tratamento. Importador de dados (Subcontratante). Tailride S.à r.l., 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, VAT LU37209474. Contacto para questões de privacidade: mike@tailride.so. Papel: subcontratante. Objeto. A prestação do serviço Tailride, conforme descrito no Contrato: captura, OCR, extração estruturada baseada em IA, organização, armazenamento, pesquisa, partilha e exportação posterior de faturas, recibos e documentos comerciais relacionados, bem como o apoio ao cliente associado. Duração. A duração do Contrato, acrescida de qualquer período de conservação necessário para a rotação de cópias de segurança ou para o cumprimento de obrigações legais (ver cláusula 12). Natureza e finalidade do tratamento. Alojamento, OCR e extração baseada em IA, indexação, pesquisa, eliminação de duplicados, partilha, exportação e integração de documentos financeiros mediante instruções do Responsável pelo Tratamento; prestação do apoio ao cliente associado e operações de conta/faturação. Categorias de Titulares dos Dados. • Os utilizadores autorizados do Responsável pelo Tratamento (administradores, contabilistas, membros da equipa); • Os clientes, fornecedores e contrapartes do Responsável pelo Tratamento cujos nomes constem de faturas, recibos e documentos relacionados; • Quaisquer outras pessoas singulares cujos Dados Pessoais constem de documentos que o Responsável pelo Tratamento decida carregar ou ligar. Categorias de Dados Pessoais. • Dados de identificação: nome completo, endereço de e-mail profissional, endereço postal, números de IVA/identificação fiscal, números de telefone quando constem dos documentos. • Dados de conta: nome, e-mail, credenciais de autenticação com hash, preferência linguística, função. • Dados de transações: números de faturas, datas, linhas, montantes, moedas, estado do pagamento. • Dados de ligação: tokens OAuth para caixas de correio ligadas, fornecedores de armazenamento na cloud e sistemas de contabilidade (conservados encriptados em repouso). • Dados técnicos: endereço IP, identificadores de browser/dispositivo, marcas temporais, registos da aplicação. • Dados de conteúdo: texto e imagens contidos nos documentos carregados ou obtidos. Categorias especiais de Dados Pessoais. Não previstas. O Responsável pelo Tratamento compromete-se a não carregar categorias especiais de Dados Pessoais, salvo acordo escrito prévio. Frequência da transferência. De forma contínua, durante a vigência do Contrato. Autoridade de controlo competente. A Commission nationale pour la protection des données (CNPD), Luxemburgo, para as transferências regidas pelas EU SCCs em que a Tailride seja o importador de dados.
Apêndice 2 — Medidas técnicas e organizativas (Anexo II das EU SCCs)
A Tailride implementa as seguintes medidas técnicas e organizativas para assegurar um nível de segurança adequado ao risco. As medidas podem ser atualizadas periodicamente, desde que o nível global de proteção não seja reduzido. A. Medidas organizativas • Políticas documentadas de segurança da informação, abrangendo a utilização aceitável, a gestão de acessos, a resposta a incidentes, a gestão de alterações e a gestão de fornecedores. • Revisão anual das políticas e funções de segurança. • O pessoal está sujeito a obrigações escritas de confidencialidade. • O acesso a sistemas de produção é concedido com base na necessidade de conhecer e no menor privilégio e revisto pelo menos anualmente. • Plano documentado de resposta a incidentes, incluindo papéis, vias de comunicação e requisitos de análise pós-incidente. B. Controlo de acessos • Autenticação única (SSO) para sistemas internos, sempre que possível. • Autenticação multifator obrigatória para o acesso à produção e para contas privilegiadas de programadores. • Contas pessoais para o acesso à produção; sem credenciais partilhadas. • Tokens de acesso com prazo definido; revogação em caso de mudança de função ou cessação. C. Encriptação • TLS 1.2 ou superior para os dados em trânsito entre o cliente e a Tailride e entre a Tailride e os seus Subsubcontratantes. • Encriptação em repouso para a base de dados de produção e para o armazenamento de objetos (AES-256 ou equivalente). • Encriptação em repouso dos tokens OAuth para contas de terceiros ligadas. D. Rede e alojamento • Produção alojada na Vercel (região de computação na UE: Frankfurt) e em serviços de cloud geridos (regiões da UE da AWS, região da UE da MongoDB Atlas, região da UE da Upstash). • Segregação lógica dos dados dos clientes através de identificadores de tenant. • Proteções ao nível WAF/CDN no edge. • Preferência por Subsubcontratantes com certificações reconhecidas no setor (ISO 27001, SOC 2 Type II) para infraestruturas críticas. E. Operações • Centralização dos registos de eventos relevantes para a segurança; registos conservados durante pelo menos 30 dias. • Programa de gestão de vulnerabilidades (verificação de dependências, distribuição automática de correções). • Cópias de segurança diárias encriptadas da base de dados de produção, com recuperação point-in-time numa janela rotativa de 7 a 35 dias e conservação de instantâneos completos até doze (12) meses; as cópias de segurança são mantidas isoladas dos sistemas de produção e utilizadas exclusivamente para fins de recuperação de desastres. • Testes de recuperação numa base periódica. F. Desenvolvimento de software • Código-fonte armazenado em repositórios privados, com revisão de código obrigatória para os ramos de produção. • Separação dos ambientes de desenvolvimento, staging e produção. • Segredos armazenados num cofre de segredos gerido; sem segredos no código-fonte. • Testes automatizados como parte do pipeline de CI. G. Gestão de fornecedores • Subsubcontratantes selecionados com base em critérios de segurança, conformidade e criticidade para o negócio. • Acordos de tratamento de dados com todos os Subsubcontratantes que tratem Dados Pessoais do Cliente. • Mecanismos de transferência (EU SCCs / UK Addendum / DPF) implementados sempre que necessário. H. Apoio aos titulares dos dados • Eliminação em autosserviço de contas e de registos individuais integrada no produto. • Processo documentado para o tratamento dos pedidos dos Titulares dos Dados recebidos indiretamente através do Responsável pelo Tratamento.
Apêndice 3 — Lista de Subsubcontratantes (Anexo III das EU SCCs)
A Tailride recorre aos seguintes Subsubcontratantes para a prestação do serviço. Esta página constitui a lista oficial de Subsubcontratantes e é mantida atualizada; qualquer adição ou substituição é aqui publicada em conformidade com a cláusula 6. As entradas assinaladas como ativadas pelo utilizador apenas são utilizadas se o Responsável pelo Tratamento ativar a integração correspondente. As entradas assinaladas como "Previsto" ainda não se encontram ativas e são apresentadas por razões de transparência; só começarão a Tratar Dados Pessoais do Cliente quando a funcionalidade correspondente for ativada.
| Fornecedor | Finalidade | Entidade jurídica | Região de tratamento | Garantias de transferência |
|---|---|---|---|---|
| Vercel Inc. | Alojamento web, computação no edge, tarefas agendadas e CDN. | Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA | EU (Frankfurt / fra1) compute, global CDN | EU SCCs + EU-U.S. DPF |
| Amazon Web Services EMEA SARL | Armazenamento de objetos dos documentos carregados (Amazon S3) e extração por OCR (Amazon Textract). | AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg | EU (eu-central-1 Frankfurt / eu-north-1 Stockholm) | EU SCCs (AWS DPA) + EU-U.S. DPF |
| MongoDB, Inc. | Base de dados aplicacional gerida (MongoDB Atlas). | MongoDB, Inc., 1633 Broadway 38th Fl, New York, NY 10019, USA | EU (Atlas EU region) | EU SCCs + EU-U.S. DPF |
| Upstash, Inc. | Fila assíncrona de tarefas (QStash) para OCR, sincronização e exportação. | Upstash, Inc., 350 California Street, Suite 600, San Francisco, CA 94104, USA | EU (eu-central-1) | EU SCCs |
| Google Ireland Limited (Cloud Run) | Microsserviço de backend interno alojado no Google Cloud Run. | Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland | EU (europe-west3 Frankfurt) | Within EEA + EU SCCs / DPF for onward US transfers |
| Hetzner Online GmbH | Alojamento na cloud para o worker de tarefas em segundo plano e para o serviço de renderização de PDF Gotenberg. | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany | EU (eu-central, Helsinki, Finland) | Within EEA + Hetzner DPA |
| Resend, Inc. | E-mail transacional (registo, recuperação de palavra-passe, recibos, notificações do produto). | Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA | US | EU SCCs |
| Crisp IM SAS | Apoio por chat em direto — os Responsáveis pelo Tratamento podem partilhar capturas de ecrã e detalhes dos dados do seu espaço de trabalho ao contactar o apoio. | Crisp IM SAS, 2 boulevard de Launay, 44100 Nantes, France | EU (France) | Within EEA |
| OpenAI, LLC | Extração de texto de faturas. | OpenAI, LLC, 3180 18th Street, San Francisco, CA 94110, USA | US | EU SCCs (OpenAI EU DPA); zero-retention API mode |
| Microsoft Ireland Operations Ltd (Azure OpenAI / AI Vision) | OCR e compreensão de documentos através do Azure OpenAI / Azure AI Vision. | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | EU (Azure EU data zones) | Within EEA + EU SCCs / DPF for onward US transfers |
| Google Ireland Limited (Gemini API) | Extração de faturas através da API Google Gemini. | Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland | EU / US (global Google AI infrastructure) | EU SCCs + EU-U.S. DPF |
Esta lista abrange os Subsubcontratantes que Tratam Dados Pessoais do Cliente por conta da Tailride na aceção do artigo 28.º do RGPD. As seguintes categorias de terceiros são intencionalmente excluídas desta lista porque a Tailride não os contrata como Subsubcontratantes do artigo 28.º: (i) Parceiros de pagamento (por exemplo, Stripe e, quando aplicável, Paddle como futuro Merchant of Record previsto): estes fornecedores atuam como responsáveis pelo tratamento independentes relativamente aos dados de pagamento que tratam ao abrigo das suas próprias obrigações legais e regulamentares (PCI-DSS, combate ao branqueamento de capitais, prevenção de fraude). São descritos na Política de Privacidade. (ii) Parceiros de análise web e de produto (por exemplo, Google Tag Manager, Google Analytics 4, DataFast): a Tailride determina o que medir no seu site público e no produto, pelo que a Tailride atua como responsável pelo tratamento (e, com o fornecedor de análise, numa relação de responsáveis conjuntos ou independentes). Estas ferramentas são carregadas sujeito ao consentimento de cookies e são descritas na Política de Privacidade. (iii) Parceiros publicitários (por exemplo, Meta Pixel e Conversions API, e Google Ads como futura adição prevista): a Tailride e a plataforma publicitária atuam como responsáveis conjuntos ou independentes pelo tratamento dos dados de medição publicitária e de conversão. São carregados sujeito ao consentimento de cookies e descritos na Política de Privacidade. (iv) Parceiros de marketing de afiliados (por exemplo, Affonso): a Tailride utiliza eventos de atribuição de afiliados para o seu próprio marketing; o fornecedor de afiliados atua como responsável pelo tratamento independente relativamente aos dados que recebe. Descrito na Política de Privacidade. (v) Verificações antifraude e de criação de conta (por exemplo, verificação UserCheck de domínio de e-mail descartável): a Tailride realiza estas verificações no seu próprio interesse legítimo de prevenção de fraude; o fornecedor da verificação atua como responsável pelo tratamento relativamente aos dados de domínio de e-mail que recebe. Descrito na Política de Privacidade. (vi) Fornecedores auxiliares que não Tratam Dados Pessoais do Cliente (por exemplo, APIs de taxas de câmbio e serviços de pesquisa de logótipos de fornecedores como Brandfetch, que apenas recebem um nome de domínio do fornecedor). (vii) Integrações, canais de comunicação e destinos ativados pelo utilizador. Se o Responsável pelo Tratamento ligar ou utilizar Google Drive / Gmail / Sheets, Microsoft 365 / OneDrive / Outlook, QuickBooks Online, Xero, Microsoft Dynamics 365 Business Central, Odoo, servidores IMAP/SMTP, WhatsApp Cloud API, Telegram Bot API ou webhooks personalizados, ou se forem recebidos documentos por carregamento no navegador ou por e-mail escolhido pelo Responsável pelo Tratamento ou pelo Titular dos Dados, a Tailride transmite ou recebe Dados Pessoais do Cliente através desse canal apenas segundo as instruções do Responsável pelo Tratamento ou por ação do Titular dos Dados relevante. A conta de terceiro, o navegador, o serviço de e-mail, o canal de mensagens ou o destino é selecionado, configurado ou utilizado pelo Responsável pelo Tratamento ou pelo Titular dos Dados relevante e opera ao abrigo da relação separada dessa parte com o fornecedor relevante. Estes canais e destinos não são Subsubcontratantes da Tailride do artigo 28.º.
Como este DPA se torna vinculativo
O presente DPA faz parte integrante dos Termos de Serviço da Tailride. Ao aceitar os Termos de Serviço (por exemplo, no momento do registo no serviço ou através da manutenção de uma subscrição ativa), o Responsável pelo Tratamento aceita ficar vinculado pelo presente DPA e incorpora por referência as EU SCCs (Módulo Dois, responsável-subcontratante) e, quando aplicável, o UK Addendum, sendo a Tailride S.à r.l. o importador de dados e o Responsável pelo Tratamento o exportador de dados. Os clientes que necessitem de uma cópia contra-assinada do presente DPA em papel timbrado da Tailride — por exemplo, para registos de aprovisionamento — podem solicitá-la em mike@tailride.so. A Tailride poderá assinar um DPA substancialmente semelhante proposto pelo Responsável pelo Tratamento, sob reserva de análise comercial.
Contacto
Contacto em matéria de privacidade e proteção de dados: mike@tailride.so Endereço postal: Tailride S.à r.l. 6 rue M. Schnadt L-2530 Luxembourg Grão-Ducado do Luxemburgo Autoridade de controlo competente (quando a Tailride atue como importador de dados ao abrigo das EU SCCs): Commission nationale pour la protection des données (CNPD) 15, boulevard du Jazz L-4370 Belvaux Grão-Ducado do Luxemburgo https://cnpd.public.lu