GitScrum logo
Experimente grátis

Acordo de Processamento de Dados (DPA)

Data de Vigência: 5 de janeiro de 2026

PREÂMBULO

Este Acordo de Processamento de Dados ("DPA") constitui parte integrante dos Termos e Condições do GitScrum ("Acordo Principal") entre o GitScrum ("Processador", "nós", "nosso") e o cliente que subscreve os serviços do GitScrum ("Controlador", "você", "seu", "Cliente").

Este DPA rege o processamento de Dados Pessoais pelo GitScrum como Processador em nome do Controlador, em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (UE) 2016/679 ("RGPD"), leis nacionais de proteção de dados aplicáveis e outros regulamentos relevantes de proteção de dados.

Ao aceitar o Acordo Principal ou utilizar os serviços do GitScrum, você concorda com os termos deste DPA.

Este DPA prevalece sobre quaisquer disposições conflitantes no Acordo Principal relativamente a atividades de processamento de dados abrangidas pelo RGPD.

1. DEFINIÇÕES

Para os fins deste DPA, os seguintes termos têm os significados estabelecidos abaixo:

  • 1.1 "Controlador" significa a entidade que determina os fins e meios de processamento de Dados Pessoais. No contexto dos serviços do GitScrum, o Controlador é o Cliente que subscreve e utiliza o GitScrum para gerir projetos, tarefas e colaboração de equipa, e que insere ou faz com que sejam inseridos Dados Pessoais sobre os seus funcionários, contratados, clientes ou outros indivíduos.
  • 1.2 "Processador" significa o GitScrum, a entidade que processa Dados Pessoais em nome do Controlador, de acordo com as instruções documentadas do Controlador e este DPA.
  • 1.3 "Dados Pessoais" significa qualquer informação relativa a uma pessoa singular identificada ou identificável ("Titular dos Dados") que é processada pelo GitScrum como Processador em nome do Controlador. Isto inclui, mas não se limita a, nomes, endereços de email, cargos, informações de contacto, dados de projetos, atribuições de tarefas, comentários e quaisquer outros dados inseridos pelo Controlador ou pelos seus Utilizadores Autorizados na plataforma GitScrum.
  • 1.4 "Processamento" significa qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais, seja ou não por meios automatizados, incluindo recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
  • 1.5 "Titular dos Dados" significa uma pessoa singular identificada ou identificável a quem os Dados Pessoais se referem, incluindo, mas não limitado a, funcionários, contratados, clientes, consumidores ou outros indivíduos do Controlador cujos Dados Pessoais são processados através da plataforma GitScrum.
  • 1.6 "Subprocessador" significa qualquer prestador de serviços terceiro contratado pelo GitScrum para processar Dados Pessoais em nome do Controlador em conexão com a prestação dos serviços do GitScrum.
  • 1.7 "Autoridade de Supervisão" significa uma autoridade pública independente estabelecida por um Estado-Membro da UE nos termos do Artigo 51 do RGPD para monitorizar e fazer cumprir o RGPD.
  • 1.8 "Violação de Dados" ou "Violação de Dados Pessoais" significa uma violação de segurança que conduza à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a Dados Pessoais transmitidos, armazenados ou de outra forma processados.
  • 1.9 "Cláusulas Contratuais-Tipo" (CCT) significa as cláusulas contratuais aprovadas pela Comissão Europeia para a transferência de Dados Pessoais para países terceiros, conforme estabelecido na Decisão de Execução (UE) 2021/914 da Comissão de 4 de junho de 2021.
  • 1.10 "Utilizador Autorizado" significa qualquer indivíduo autorizado pelo Controlador a aceder e utilizar a plataforma GitScrum sob a conta do Controlador.
  • 1.11 "Serviços" significa a plataforma de gestão de projetos e colaboração GitScrum, incluindo aplicação web, aplicações móveis, APIs e todos os serviços relacionados fornecidos pelo GitScrum ao Controlador.

2. ÂMBITO E APLICABILIDADE

2.1 Âmbito do Processamento

Este DPA aplica-se a todo o processamento de Dados Pessoais pelo GitScrum como Processador em nome do Controlador em conexão com a prestação dos Serviços, incluindo, mas não limitado a:

  • Armazenamento e gestão de Dados Pessoais carregados pelo Controlador ou seus Utilizadores Autorizados
  • Processamento necessário para fornecer funcionalidades da plataforma (gestão de utilizadores, acompanhamento de projetos, ferramentas de colaboração)
  • Operações de backup de dados e recuperação de desastres
  • Suporte técnico e resolução de problemas
  • Monitorização de segurança e resposta a incidentes

2.2 Relação Controlador-Processador

As partes reconhecem e acordam que:

  • O Controlador determina os fins e meios de processamento de Dados Pessoais através da plataforma GitScrum
  • O Processador (GitScrum) processa Dados Pessoais apenas em nome e de acordo com as instruções documentadas do Controlador
  • O Controlador é responsável por garantir que a sua utilização dos Serviços e instruções ao GitScrum cumprem todas as leis de proteção de dados aplicáveis
  • O Controlador é o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais adquire os Dados Pessoais

2.3 Aplicabilidade

Este DPA é automaticamente incorporado e faz parte do Acordo Principal quando o Controlador processa Dados Pessoais através dos Serviços. Nenhuma assinatura ou execução separada é necessária.

3. DETALHES DO PROCESSAMENTO

3.1 Objeto e Duração

Objeto: Prestação de serviços de gestão de projetos e colaboração de equipa baseados em cloud, conforme descrito no Acordo Principal.

Duração: A duração do processamento é desde a Data de Vigência do Acordo Principal até à cessação ou expiração do Acordo Principal, mais qualquer período adicional necessário para cumprir obrigações pós-cessação ao abrigo deste DPA (tipicamente 30 dias para recuperação e eliminação de dados).

3.2 Natureza e Finalidade do Processamento

Natureza do Processamento: O GitScrum processa Dados Pessoais ao fornecer serviços de software baseados em cloud, incluindo armazenamento, organização, recuperação, transmissão e exibição de dados através da plataforma GitScrum.

Finalidade do Processamento: O único propósito do processamento é fornecer os Serviços ao Controlador conforme descrito no Acordo Principal, incluindo:

  • Autenticação de utilizadores e gestão de acessos
  • Funcionalidade de gestão de projetos e tarefas
  • Funcionalidades de colaboração e comunicação de equipa
  • Armazenamento, backup e recuperação de dados
  • Análise da plataforma e otimização de desempenho
  • Suporte técnico e resolução de problemas
  • Monitorização de segurança e resposta a incidentes

O GitScrum não processará Dados Pessoais para qualquer outro fim, a menos que especificamente instruído pelo Controlador por escrito ou exigido pela lei aplicável.

3.3 Tipos de Dados Pessoais

Os tipos de Dados Pessoais processados podem incluir, mas não estão limitados a:

  • Dados de Identidade: Nome próprio, apelido, nome de utilizador, título, cargo
  • Dados de Contacto: Endereço de email, número de telefone, endereço comercial
  • Dados de Conta: ID da conta, palavra-passe (encriptada), credenciais de login, preferências do utilizador
  • Dados de Utilização: Endereço IP, tipo de navegador, identificadores de dispositivo, registos de acesso, timestamps de atividade
  • Dados de Conteúdo: Dados de projetos, descrições de tarefas, comentários, uploads de ficheiros, documentos, comunicações dentro da plataforma
  • Dados de Equipa: Estrutura organizacional, membros da equipa, atribuições de funções, permissões
  • Dados de Desempenho: Dados de conclusão de tarefas, cronogramas de projetos, métricas de produtividade (se ativado pelo Controlador)

Nota: O Controlador determina que tipos de Dados Pessoais são processados. O GitScrum não controla nem determina os Dados Pessoais específicos carregados pelo Controlador.

3.4 Categorias de Titulares de Dados

As categorias de Titulares de Dados cujos Dados Pessoais podem ser processados incluem:

  • Funcionários e pessoal do Controlador
  • Contratados, consultores e trabalhadores temporários contratados pelo Controlador
  • Clientes, consumidores e parceiros comerciais do Controlador (se os seus dados forem inseridos pelo Controlador)
  • Utilizadores Autorizados da conta GitScrum do Controlador
  • Quaisquer outros indivíduos cujos Dados Pessoais sejam carregados pelo Controlador ou seus Utilizadores Autorizados

4. INSTRUÇÕES E OBRIGAÇÕES DO CONTROLADOR

4.1 Instruções de Processamento

O GitScrum processará Dados Pessoais apenas com base em instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo pela lei aplicável (caso em que o GitScrum informará o Controlador desse requisito legal antes do processamento, a menos que proibido por lei).

Instruções Documentadas: As instruções do Controlador para o processamento de Dados Pessoais estão documentadas em e limitadas a:

  1. Este DPA e o Acordo Principal
  2. A utilização dos Serviços pelo Controlador através da plataforma GitScrum (incluindo configurações, permissões de utilizador e utilização de funcionalidades)
  3. Instruções escritas adicionais fornecidas pelo Controlador ao GitScrum via email para legal[at]gitscrum.com ou através dos canais de suporte designados, desde que tais instruções sejam consistentes com os termos deste DPA e do Acordo Principal

Instruções Fora do Âmbito: Se o GitScrum acreditar que qualquer instrução do Controlador viola o RGPD ou outras leis de proteção de dados aplicáveis, o GitScrum informará prontamente o Controlador e poderá suspender a execução da instrução até que o Controlador confirme ou modifique a instrução.

4.2 Responsabilidades do Controlador

O Controlador declara, garante e compromete-se que:

  • Possui todos os direitos, consentimentos e bases legais necessários para processar e divulgar Dados Pessoais ao GitScrum para processamento de acordo com este DPA
  • Forneceu todos os avisos de privacidade necessários aos Titulares dos Dados e obteve todos os consentimentos exigidos ao abrigo das leis de proteção de dados aplicáveis
  • As suas instruções ao GitScrum cumprem todas as leis de proteção de dados aplicáveis, incluindo o RGPD
  • Não solicitará que o GitScrum processe Dados Pessoais de forma que cause a violação das leis aplicáveis pelo GitScrum
  • É o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais adquire os Dados Pessoais
  • Manterá medidas técnicas e organizacionais apropriadas nos seus próprios sistemas e dispositivos utilizados para aceder aos Serviços

4.3 Instrução do Controlador para Eliminar Dados

O Controlador pode instruir o GitScrum a eliminar Dados Pessoais específicos a qualquer momento durante a vigência do Acordo Principal, utilizando a funcionalidade de eliminação dentro da plataforma GitScrum ou contactando o suporte do GitScrum.

5. OBRIGAÇÕES DO PROCESSADOR

5.1 Cumprimento das Instruções

O GitScrum deverá:

  • Processar Dados Pessoais apenas de acordo com as instruções documentadas do Controlador conforme estabelecido na Secção 4.1
  • Informar imediatamente o Controlador se, na opinião do GitScrum, uma instrução infringir o RGPD ou outras leis de proteção de dados aplicáveis
  • Não transferir, divulgar ou de outra forma processar Dados Pessoais para fins diferentes dos especificados neste DPA sem o consentimento prévio por escrito do Controlador, exceto quando exigido pela lei aplicável

5.2 Confidencialidade

O GitScrum garantirá que todas as pessoas autorizadas a processar Dados Pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação estatutária apropriada de confidencialidade.

Todos os funcionários, contratados e agentes do GitScrum com acesso a Dados Pessoais:

  • Estão vinculados por acordos de confidencialidade escritos
  • Recebem formação regular sobre princípios de proteção de dados e requisitos do RGPD
  • Processam Dados Pessoais apenas conforme necessário para desempenhar as suas funções
  • Estão sujeitos a ação disciplinar por divulgação não autorizada ou uso indevido de Dados Pessoais

5.3 Medidas de Segurança

O GitScrum implementa e mantém medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco de processamento, tendo em conta o estado da arte, os custos de implementação, a natureza, âmbito, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados.

As Medidas Técnicas e Organizacionais incluem:

A. Encriptação:

  • Dados em trânsito: Encriptação TLS 1.2 ou superior para todos os dados transmitidos através de redes públicas
  • Dados em repouso: Encriptação AES-256 para todos os Dados Pessoais armazenados nos servidores do GitScrum
  • Gestão de chaves de encriptação: Chaves armazenadas em sistemas dedicados de gestão de chaves ou Módulos de Segurança de Hardware (HSMs) com rotação regular

B. Controlos de Acesso:

  • Controlo de acesso baseado em funções (RBAC) limitando o acesso a Dados Pessoais com base na função
  • Autenticação multifator (MFA) para acesso administrativo a sistemas de produção
  • Princípio do menor privilégio aplicado a todo o pessoal
  • Revisões regulares de acesso e revogação imediata após cessação de emprego

C. Segurança de Rede:

  • Proteção por firewall e sistemas de deteção/prevenção de intrusões (IDS/IPS)
  • Segmentação de rede isolando ambientes de produção
  • Mitigação de DDoS e limitação de taxa
  • Análise regular de vulnerabilidades e testes de penetração

D. Proteção de Dados:

  • Pseudonimização e anonimização onde viável e apropriado
  • Procedimentos de backup de dados e recuperação de desastres com backups encriptados armazenados em localizações geograficamente distribuídas
  • Procedimentos seguros de eliminação de dados utilizando métodos de eliminação padrão da indústria

E. Resposta a Incidentes:

  • Monitorização de segurança 24/7 utilizando sistemas de Gestão de Informação e Eventos de Segurança (SIEM)
  • Plano de resposta a incidentes documentado com funções definidas e procedimentos de escalonamento
  • Exercícios regulares de resposta a incidentes e simulações

F. Segurança do Pessoal:

  • Verificações de antecedentes para pessoal com acesso a Dados Pessoais (quando legalmente permitido)
  • Formação obrigatória de sensibilização para segurança na contratação e anualmente
  • Acordos de confidencialidade para todo o pessoal

G. Segurança Física:

  • Centros de dados operados por fornecedores de infraestrutura terceiros certificados
  • Controlos de acesso físico incluindo autenticação biométrica, vigilância 24/7 e pessoal de segurança
  • Controlos ambientais para supressão de incêndios, redundância de energia e controlo climático

H. Segurança de Aplicações:

  • Práticas de ciclo de vida de desenvolvimento de software seguro (SDLC)
  • Revisões regulares de código e testes de segurança de aplicações estáticos/dinâmicos (SAST/DAST)
  • Validação de entrada, codificação de saída e proteção contra vulnerabilidades OWASP Top 10
  • Análise de dependências e gestão de vulnerabilidades

I. Continuidade de Negócio:

  • Planos documentados de continuidade de negócio e recuperação de desastres
  • Backups regulares com Objetivos de Tempo de Recuperação (RTO) e Objetivos de Ponto de Recuperação (RPO) definidos
  • Infraestrutura redundante em múltiplas zonas/regiões de disponibilidade

J. Auditoria e Conformidade:

  • Auditorias de segurança internas regulares e testes de penetração por terceiros
  • Registo abrangente de acesso a Dados Pessoais e eventos relevantes para segurança
  • Retenção de registos para investigação de segurança e fins de conformidade

Documentação Detalhada de Segurança: Para informações mais abrangentes sobre as práticas de segurança do GitScrum, consulte a nossa Política de Segurança.

Atualizações às Medidas de Segurança: O GitScrum pode atualizar ou modificar as medidas de segurança periodicamente, desde que tais atualizações não resultem numa degradação material da postura de segurança global.

6. SUBPROCESSADORES

6.1 Autorização Geral

O Controlador fornece autorização geral por escrito para o GitScrum contratar Subprocessadores para processar Dados Pessoais em nome do Controlador, sujeito às condições estabelecidas nesta Secção 6.

6.2 Subprocessadores Atuais

O GitScrum atualmente contrata os seguintes Subprocessadores:

SubprocessadorServiço PrestadoLocalização dos DadosFinalidade
Amazon Web Services (AWS)Infraestrutura cloud e alojamentoGlobal (múltiplas regiões: US-East, EU-Frankfurt, EU-Ireland, São Paulo, etc.)Alojamento da plataforma, armazenamento de dados, recursos computacionais, serviços de base de dados
Amazon Simple Email Service (AWS SES)Entrega de emails transacionaisGlobal (opera em múltiplas regiões AWS)Envio de notificações da plataforma, alertas, reposições de palavra-passe, emails do sistema
Stripe, Inc.Processamento de pagamentosEstados Unidos e Irlanda (certificado EU-U.S. Data Privacy Framework)Processamento de pagamentos de subscrições, gestão de faturação, serviços de gateway de pagamento
Google LLCServiços de análise e publicidadeEstados Unidos (com anonimização de IP ativada para conformidade com RGPD)Análise de utilização da plataforma, rastreamento de comportamento do utilizador, otimização de marketing
Meta Platforms, Inc. (Facebook)Rastreamento de análise e publicidadeEstados UnidosAnálise de marketing, rastreamento de conversões publicitárias, insights de audiência
GitScrum (Interno)Plataforma de suporte ao clienteMesma infraestrutura da plataforma principal (AWS Global)Gestão de tickets de suporte técnico, assistência ao utilizador, help desk

6.3 Obrigações dos Subcontratantes

O GitScrum deverá:

  • Impor obrigações de proteção de dados aos Subcontratantes que sejam substancialmente equivalentes às estabelecidas neste DPA, exigindo particularmente que os Subcontratantes implementem medidas de segurança técnicas e organizacionais apropriadas
  • Celebrar acordos escritos com cada Subcontratante que incluam termos substancialmente semelhantes aos deste DPA (incluindo confidencialidade, segurança, notificação de violação de dados e obrigações de eliminação de dados)
  • Garantir que os Subcontratantes processem Dados Pessoais apenas de acordo com as instruções do Responsável pelo Tratamento documentadas neste DPA
  • Permanecer totalmente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações de qualquer Subcontratante, como se o GitScrum estivesse a executar os serviços diretamente

6.4 Novos Subcontratantes - Notificação e Objeção

Notificação: O GitScrum fornecerá ao Responsável pelo Tratamento pelo menos 30 dias de aviso prévio por escrito antes de adicionar qualquer novo Subcontratante ou substituir um Subcontratante existente.

Método de Notificação: A notificação será fornecida através de:

  • Email para o endereço de email registado na conta do Responsável pelo Tratamento
  • Atualização da Lista Pública de Subcontratantes em gitscrum.com/legal/subprocessors com data de atualização
  • Notificação na plataforma (se aplicável)

Direitos de Objeção: Se o Responsável pelo Tratamento tiver motivos legítimos relacionados com a proteção de dados para se opor à nomeação de um novo Subcontratante pelo GitScrum, o Responsável pelo Tratamento deve notificar o GitScrum por escrito no prazo de 30 dias após receber a notificação, indicando claramente os motivos da objeção.

Processo de Resolução:

  • O GitScrum envidará esforços razoáveis para abordar as preocupações do Responsável pelo Tratamento ou fornecer uma solução alternativa (por exemplo, não utilizar o Subcontratante para os dados do Responsável pelo Tratamento, migrar para um Subcontratante diferente)
  • Se o GitScrum não puder fornecer uma alternativa razoável dentro de 60 dias e o Responsável pelo Tratamento mantiver uma objeção legítima, o Responsável pelo Tratamento pode rescindir a parte afetada dos Serviços (ou todo o Acordo Principal se o Subcontratante for essencial para os Serviços) sem penalidade ou taxas pelo restante do período pré-pago

Sem Objeção: Se o Responsável pelo Tratamento não apresentar objeção no prazo de 30 dias após a notificação, considera-se que o Responsável pelo Tratamento aceitou o novo Subcontratante.

6.5 Auditorias de Subcontratantes

Mediante solicitação por escrito do Responsável pelo Tratamento (não mais de uma vez por ano, salvo exigência de uma Autoridade de Supervisão ou lei aplicável), o GitScrum fornecerá:

  • Cópias de acordos de subcontratação padrão (com informações comercialmente sensíveis suprimidas)
  • Evidência de certificações de segurança dos Subcontratantes (por exemplo, ISO 27001, SOC 2 Tipo II)
  • Resumo da due diligence realizada sobre os Subcontratantes

7. DIREITOS DOS TITULARES DOS DADOS

7.1 Assistência com Pedidos de Titulares de Dados

Tendo em conta a natureza do processamento, o GitScrum deverá fornecer assistência razoável ao Responsável pelo Tratamento para permitir que o Responsável pelo Tratamento responda a pedidos de Titulares de Dados que exercem os seus direitos ao abrigo do RGPD, incluindo:

  • Direito de acesso (Artigo 15)
  • Direito de retificação (Artigo 16)
  • Direito ao apagamento / "direito a ser esquecido" (Artigo 17)
  • Direito à limitação do tratamento (Artigo 18)
  • Direito à portabilidade dos dados (Artigo 20)
  • Direito de oposição (Artigo 21)
  • Direitos relacionados com decisões automatizadas e definição de perfis (Artigo 22)

7.2 Responsabilidade Principal do Controlador

O Controlador é o principal responsável por responder aos pedidos dos Titulares dos Dados. A obrigação do GitScrum limita-se a fornecer assistência razoável conforme descrito nesta Secção 7.

7.3 Mecanismo de Assistência

Pedidos Diretos ao GitScrum: Se um Titular de Dados submeter um pedido diretamente ao GitScrum (em vez de ao Responsável pelo Tratamento), o GitScrum irá:

  • Notificar prontamente o Responsável pelo Tratamento do pedido no prazo de 5 dias úteis
  • Não responder ao Titular de Dados diretamente, a menos que legalmente obrigado a fazê-lo
  • Redirecionar o Titular de Dados para submeter o pedido ao Responsável pelo Tratamento (se apropriado e legalmente permitido)

Pedidos de Assistência do Responsável pelo Tratamento: Se o Responsável pelo Tratamento solicitar assistência do GitScrum para responder a um pedido de Titular de Dados:

1. Processo de Pedido: O Responsável pelo Tratamento deve submeter um pedido por escrito ao GitScrum em privacy[at]gitscrum.com ou dpo[at]gitscrum.com, incluindo:

  • Identificação do Titular de Dados
  • Natureza do pedido (acesso, eliminação, retificação, etc.)
  • Assistência específica necessária do GitScrum
  • Prazo razoável para resposta (mínimo de 10 dias úteis, salvo se legalmente exigido mais cedo)

2. Resposta do GitScrum: O GitScrum fornecerá assistência através de:

  • Pedidos de Acesso: Fornecendo ferramentas dentro da plataforma para o Responsável pelo Tratamento exportar Dados Pessoais, ou assistindo na recuperação de dados se necessário
  • Pedidos de Eliminação: Fornecendo ferramentas para o Responsável pelo Tratamento eliminar Dados Pessoais, ou eliminando dados mediante instrução do Responsável pelo Tratamento
  • Pedidos de Retificação: Permitindo ao Responsável pelo Tratamento atualizar dados incorretos através da interface da plataforma
  • Pedidos de Restrição/Oposição: Fornecendo funcionalidade para restringir o processamento ou assistindo com a suspensão de conta conforme dirigido pelo Responsável pelo Tratamento
  • Pedidos de Portabilidade: Fornecendo Dados Pessoais num formato estruturado, de uso comum e legível por máquina (por exemplo, JSON, CSV) mediante pedido

3. Prazo de Resposta: O GitScrum responderá aos pedidos de assistência do Responsável pelo Tratamento no prazo de 10 dias úteis, ou mais cedo se exigido por lei ou pela urgência do pedido.

7.4 Taxas por Assistência Extraordinária

A assistência razoável do GitScrum ao abrigo desta Secção 7 é fornecida sem custo adicional. No entanto, se o pedido do Controlador exigir esforço extraordinário, recursos ou trabalho técnico além da assistência padrão (por exemplo, recuperação manual extensiva de dados, exportações de dados personalizadas, múltiplos pedidos complexos), o GitScrum pode cobrar uma taxa razoável com base nas taxas padrão de serviços profissionais do GitScrum, notificadas ao Controlador antecipadamente.

8. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

8.1 Notificação ao Controlador

O GitScrum notificará o Controlador sem demora injustificada e, sempre que possível, dentro de <strong>72 horas</strong> após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Controlador.

8.2 Conteúdo da Notificação de Violação

A notificação incluirá, na medida do conhecimento no momento da notificação:

  • Descrição da violação: Natureza da Violação de Dados Pessoais, incluindo, sempre que possível, as categorias e número aproximado de Titulares dos Dados afetados e as categorias e número aproximado de registos de Dados Pessoais afetados
  • Contacto do GitScrum: Nome e detalhes de contacto do Encarregado de Proteção de Dados do GitScrum ou outro ponto de contacto para obter mais informações
  • Consequências prováveis: Descrição das consequências prováveis e riscos potenciais para os Titulares dos Dados
  • Medidas de mitigação: Descrição das medidas tomadas ou propostas pelo GitScrum para abordar a violação, mitigar os seus efeitos adversos e prevenir futuras violações
  • Ações recomendadas: Recomendações para o Controlador mitigar potenciais efeitos adversos sobre os Titulares dos Dados

8.3 Investigação e Remediação de Violações

Ao tomar conhecimento de uma Violação de Dados Pessoais, o GitScrum deverá:

  • Tomar imediatamente medidas para conter e investigar a violação
  • Preservar evidências e informações forenses relacionadas com a violação
  • Implementar medidas de remediação para prevenir recorrência
  • Cooperar com o Controlador nas atividades de investigação e resposta à violação
  • Fornecer atualizações razoáveis ao Controlador sobre o estado dos esforços de remediação

8.4 Obrigações de Notificação do Controlador

O Controlador reconhece que é o único responsável por:

  • Determinar se a notificação aos Titulares dos Dados e/ou Autoridades de Supervisão é exigida ao abrigo da lei aplicável
  • Fornecer tais notificações em conformidade com os Artigos 33 e 34 do RGPD e leis de proteção de dados aplicáveis
  • Determinar o conteúdo e o momento de tais notificações

8.5 Sem Reconhecimento de Culpa

A notificação de uma violação pelo GitScrum ao abrigo desta Secção 8 não constituirá um reconhecimento pelo GitScrum de qualquer culpa ou responsabilidade em relação à violação.

9. AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E CONSULTA PRÉVIA

9.1 Assistência com AIPDs

Quando o Controlador for obrigado a realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) ao abrigo do Artigo 35 do RGPD ou consulta prévia com uma Autoridade de Supervisão ao abrigo do Artigo 36 do RGPD, o GitScrum fornecerá assistência razoável ao Controlador, tendo em conta a natureza do processamento e a informação disponível ao GitScrum.

9.2 Responsabilidade do Controlador

O Controlador é o único responsável por:

  • Determinar se uma AIPD (Avaliação de Impacto sobre a Proteção de Dados) é necessária
  • Realizar a AIPD
  • Determinar se é necessária consulta prévia a uma Autoridade de Supervisão
  • Realizar tal consulta prévia

9.3 Processo de Pedido

Pedidos de assistência com AIPDs ou consulta prévia devem ser submetidos a privacy[at]gitscrum.com ou dpo[at]gitscrum.com, com aviso prévio razoável (mínimo 30 dias) e informação suficiente para permitir que o GitScrum forneça assistência significativa.

10. ELIMINAÇÃO E DEVOLUÇÃO DE DADOS PESSOAIS

10.1 Exclusão de Dados Após Rescisão

Após a rescisão do Contrato, o GitScrum irá, conforme escolha do Controlador:

Opção 1: Devolução de Dados

  • Exportar todos os Dados Pessoais em formato de uso comum e legível por máquina
  • Fornecer acesso às ferramentas de exportação de dados por um período de 30 dias após a rescisão
  • Auxiliar na migração de dados para um serviço sucessor mediante solicitação razoável

Opção 2: Exclusão de Dados

  • Excluir com segurança todos os Dados Pessoais dos sistemas ativos dentro de 90 dias
  • Eliminar cópias de backup dentro de 180 dias seguindo o ciclo padrão de rotação de backup
  • Fornecer certificação por escrito da exclusão mediante solicitação

Processo de Escolha:

O Controlador deve notificar o GitScrum por escrito sobre sua preferência com pelo menos 14 dias de antecedência da data efetiva de rescisão. Se nenhuma escolha for feita, a exclusão será a ação padrão.

10.2 Período de Retenção de Dados Pós-Cessação

O GitScrum reterá os Dados Pessoais por <strong>30 dias</strong> após a cessação do Acordo Principal para permitir ao Controlador recuperar ou exportar dados. Após este período, os Dados Pessoais serão eliminados de forma segura, a menos que o Controlador solicite eliminação antecipada.

10.3 Exceções

Não obstante o acima exposto, o GitScrum pode reter Dados Pessoais quando exigido pela legislação aplicável, desde que o GitScrum:

  • Retenha apenas os dados mínimos necessários para cumprir a obrigação legal
  • Continue a proteger os dados retidos de acordo com este Contrato
  • Exclua os dados prontamente assim que a obrigação legal expirar

10.4 Certificação de Eliminação

Mediante pedido por escrito do Controlador, o GitScrum fornecerá certificação por escrito de que os Dados Pessoais foram eliminados de acordo com esta Secção 10, exceto onde a retenção seja exigida por lei.

11. AUDITORIAS E CONFORMIDADE

11.1 Direitos de Auditoria

O GitScrum disponibilizará ao Controlador toda a informação razoavelmente necessária para demonstrar o cumprimento das obrigações estabelecidas neste DPA e no Artigo 28 do RGPD, e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Controlador ou por um auditor mandatado pelo Controlador.

11.2 Processo de Auditoria

O GitScrum apoiará os requisitos de auditoria do Controlador através dos seguintes mecanismos:

Documentação de Conformidade Padrão:

Mediante solicitação por escrito do Controlador, o GitScrum fornecerá cópias dos relatórios de auditoria de terceiros e certificações atuais sem custo adicional.

Auditorias Presenciais:

O Controlador pode realizar ou comissionar auditorias presenciais sujeitas às seguintes condições:

  1. Aviso Prévio: Mínimo de 30 dias de aviso por escrito, incluindo escopo e duração propostos
  2. Horário: As auditorias devem ser agendadas durante o horário comercial normal e não podem exceder 3 dias úteis
  3. Frequência: Não mais de uma auditoria por ano civil, exceto quando exigido por autoridade reguladora
  4. Confidencialidade: Os auditores devem assinar o acordo de confidencialidade padrão do GitScrum antes de obter acesso
  5. Limitação de Escopo: As auditorias são limitadas a sistemas, processos e instalações diretamente envolvidos no processamento dos Dados Pessoais do Controlador
  6. Alocação de Custos: O Controlador arca com todos os custos associados às auditorias presenciais, incluindo os custos razoáveis de pessoal do GitScrum às taxas padrão de serviços profissionais
  7. Remediação: Se as descobertas da auditoria identificarem não conformidade material, o GitScrum preparará um plano de remediação dentro de 30 dias e implementará as correções dentro de um prazo mutuamente acordado

11.3 Verificação Alternativa de Conformidade

O GitScrum pode satisfazer as obrigações de auditoria fornecendo relatórios de auditoria de terceiros (por exemplo, SOC 2 Type II, certificação ISO 27001) em vez de auditorias presenciais, a critério do GitScrum.

11.4 Confidencialidade da Informação de Auditoria

Toda a informação, relatórios e materiais obtidos durante auditorias são Informação Confidencial do GitScrum e serão tratados como tal pelo Controlador e seus auditores.

12. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

12.1 Localizações de Transferência de Dados

O GitScrum opera infraestrutura nas seguintes regiões:

  • Data Centers Primários: União Europeia (Alemanha, Irlanda)
  • Instalações de Backup: Espaço Econômico Europeu
  • Entrega de Conteúdo: Localizações de borda globais apenas com dados em cache, sem armazenamento persistente

Medidas Suplementares

Quando Dados Pessoais são transferidos para países fora do EEE que não se beneficiam de uma decisão de adequação, o GitScrum implementa as seguintes medidas suplementares:

  • Medidas Técnicas: Criptografia de ponta a ponta em trânsito (TLS 1.3) e em repouso (AES-256), pseudonimização quando viável, controles de acesso e registro
  • Medidas Organizacionais: Políticas de tratamento de dados, treinamento regular de segurança, avaliações de risco de fornecedores, procedimentos de resposta a incidentes
  • Medidas Contratuais: Cláusulas Contratuais Padrão, acordos de processamento de dados com todos os subprocessadores, regras corporativas vinculantes quando aplicável

12.2 Transferências para Países Terceiros

Se os Dados Pessoais forem transferidos do Espaço Económico Europeu (EEE) para países fora do EEE que não tenham sido objeto de uma decisão de adequação pela Comissão Europeia ("Países Terceiros"), o GitScrum garantirá que as salvaguardas apropriadas estão em vigor conforme exigido pelo Capítulo V do RGPD.

12.3 Cláusulas Contratuais-Tipo (CCT)

Na medida em que o GitScrum processe Dados Pessoais em, ou transfira Dados Pessoais para, Países Terceiros, as partes concordam em celebrar e cumprir as Cláusulas Contratuais-Tipo (CCT) para transferências internacionais de dados aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914 da Comissão de 4 de junho de 2021), que são incorporadas neste DPA por referência.

12.4 Avaliações de Impacto de Transferência (AIT)

O GitScrum realiza Avaliações de Impacto de Transferência (AIT) para transferências para Países Terceiros para avaliar o quadro legal nos países de destino e garantir que existem salvaguardas adequadas para proteger os Dados Pessoais.

12.5 Mecanismos de Transferência Internacional de Dados

Para transferências de Dados Pessoais da UE/EEE para os Estados Unidos, o GitScrum baseia-se nas Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão 2021/914).

12.6 Decisões de Adequação

O GitScrum pode também transferir Dados Pessoais para Países Terceiros que tenham sido objeto de uma decisão de adequação pela Comissão Europeia, caso em que as salvaguardas descritas nas Secções 12.3 e 12.4 não são necessárias.

12.7 Mecanismos Alternativos de Transferência

Se as CCT forem invalidadas, modificadas ou substituídas por uma autoridade de supervisão ou decisão judicial (como ocorreu na decisão Schrems II), as partes concordam em cooperar de boa-fé para implementar mecanismos alternativos de transferência que cumpram as leis de proteção de dados aplicáveis.

13. VIGÊNCIA E CESSAÇÃO DO DPA

13.1 Vigência

Este DPA entra em vigor na Data de Vigência do Acordo Principal e permanecerá em pleno vigor e efeito até à cessação ou expiração do Acordo Principal.

13.2 Rescisão

Qualquer das partes pode rescindir este Contrato:

  • Após a rescisão do Contrato principal
  • Por violação material deste Contrato, se tal violação não for sanada dentro de 30 dias após notificação por escrito
  • Se exigido pela legislação de proteção de dados aplicável

Seções que Permanecem em Vigor:

As seguintes seções permanecem em vigor após a rescisão: Confidencialidade (Seção 5), Exclusão de Dados (Seção 10), Responsabilidade (Seção 14) e quaisquer outras disposições que por sua natureza devam permanecer em vigor.

13.3 Efeito da Rescisão

Após a rescisão deste Contrato:

  • O GitScrum cessará todo o processamento de Dados Pessoais, exceto conforme necessário para cumprir as obrigações restantes
  • As disposições de exclusão de dados da Seção 10 serão aplicáveis
  • Cada parte devolverá ou destruirá todas as Informações Confidenciais da outra parte
  • Quaisquer direitos ou obrigações acumulados de qualquer das partes permanecerão em vigor

14. RESPONSABILIDADE E INDEMNIZAÇÃO

14.1 Responsabilidade sob o RGPD

Cada parte será responsável pelos danos causados pelo processamento que viole o RGPD:

  • Responsabilidade do Controlador: O Controlador é responsável por todo o dano causado pelo processamento não conforme com o RGPD
  • Responsabilidade do Processador: O GitScrum é responsável pelo dano causado pelo processamento apenas quando não cumpriu as obrigações do RGPD especificamente dirigidas aos processadores, ou quando agiu fora ou contrariamente às instruções legais do Controlador
  • Responsabilidade Solidária: Quando ambas as partes são responsáveis por qualquer dano causado pelo processamento, cada parte será responsável por todo o dano para garantir uma compensação efetiva do titular dos dados

Direito de Regresso:

Quando uma parte tiver pago a compensação total pelo dano sofrido, essa parte tem direito a reclamar da outra parte a parcela da compensação correspondente à sua parte de responsabilidade pelo dano.

14.2 Relação com o Acordo Principal

Sujeito à Secção 15 (Limitação de Responsabilidade), a responsabilidade de cada parte ao abrigo deste DPA é adicional a, e não em substituição de, qualquer responsabilidade ao abrigo do Acordo Principal.

14.3 Indenização pelo GitScrum

O GitScrum concorda em indenizar, defender e isentar o Controlador de quaisquer reclamações, danos, perdas e despesas (incluindo honorários advocatícios razoáveis) decorrentes de:

  • Violação deste Contrato pelo GitScrum
  • Violação das leis de proteção de dados aplicáveis pelo GitScrum
  • Negligência ou má conduta intencional do GitScrum no processamento de Dados Pessoais
  • Qualquer divulgação ou acesso não autorizado a Dados Pessoais causado pela falha do GitScrum em implementar medidas de segurança apropriadas

14.4 Indenização pelo Controlador

O Controlador concorda em indenizar, defender e isentar o GitScrum de quaisquer reclamações, danos, perdas e despesas (incluindo honorários advocatícios razoáveis) decorrentes de:

  • Violação deste Contrato pelo Controlador
  • Violação das leis de proteção de dados aplicáveis pelo Controlador
  • Instruções de processamento dadas pelo Controlador que violem as leis de proteção de dados
  • Quaisquer reclamações de titulares de dados decorrentes da falha do Controlador em cumprir obrigações de transparência ou responder a solicitações de titulares de dados

15. LIMITAÇÃO DE RESPONSABILIDADE

15.1 Limite de Responsabilidade

A responsabilidade agregada de cada parte por todas as reclamações decorrentes de ou relacionadas com este DPA (incluindo reclamações por indemnização) será limitada a:

15.2 Exclusões da Limitação

As limitações da Secção 15.1 NÃO se aplicam a:

  • Má conduta intencional: Danos resultantes de má conduta intencional ou negligência grosseira de qualquer das partes
  • Obrigações de indemnização: Obrigações de indemnização ao abrigo da Secção 14 resultantes de multas ou penalidades regulamentares impostas diretamente por uma Autoridade de Supervisão
  • Violação de confidencialidade: Violação das obrigações de confidencialidade onde o GitScrum divulgue intencionalmente Dados Pessoais a terceiros não autorizados
  • Reclamações de titulares dos dados: Compensação direta devida a Titulares dos Dados ao abrigo do Artigo 82 do RGPD
  • Obrigações de pagamento: Falha do Controlador em pagar taxas devidas ao GitScrum ao abrigo do Acordo Principal

15.3 Exclusão de Danos Consequenciais

Em nenhum caso qualquer das partes será responsável por quaisquer danos indiretos, incidentais, especiais, punitivos ou consequenciais, incluindo perda de lucros, receitas, dados ou uso, incorridos por qualquer das partes ou qualquer terceiro, quer em ação contratual, extracontratual ou qualquer outra teoria, mesmo que tal parte tenha sido advertida da possibilidade de tais danos.

15.4 Alocação de Responsabilidade para Reclamações Conjuntas

Se ambas as partes forem responsáveis por danos a um Titular dos Dados ao abrigo do Artigo 82 do RGPD, a responsabilidade será alocada entre as partes com base na proporção de responsabilidade de cada parte pelo dano, determinada de acordo com o Artigo 82(4) do RGPD.

16. ALTERAÇÕES E ATUALIZAÇÕES DO DPA

16.1 Alterações Materiais

O GitScrum pode atualizar este Contrato periodicamente para refletir mudanças em:

  • Leis e regulamentos de proteção de dados aplicáveis
  • Orientações das autoridades de proteção de dados
  • Nossas operações de processamento ou medidas de segurança
  • Melhores práticas do setor

Processo de Notificação:

Para alterações materiais, o GitScrum fornecerá pelo menos 30 dias de aviso prévio via:

  • E-mail para o contato designado do Controlador
  • Aviso destacado dentro da plataforma GitScrum
  • Publicação em nossa página de atualizações legais

Direito de Objeção:

Se o Controlador objetar a quaisquer alterações materiais, o Controlador pode rescindir os serviços afetados dentro de 30 dias do aviso. O uso continuado dos serviços do GitScrum após a data efetiva constitui aceitação do Contrato atualizado.

16.2 Consentimento do Controlador

O uso continuado dos Serviços pelo Controlador após a data de vigência do DPA atualizado constitui aceitação das alterações. Se o Controlador não concordar com alterações materiais, o Controlador pode cessar os Serviços (e este DPA) dentro de 30 dias após receber aviso da alteração material, fornecendo aviso por escrito ao GitScrum.

16.3 Versionamento do DPA

Cada versão deste DPA terá um número de versão e data de vigência. A versão atual está disponível em:

17. PRECEDÊNCIA E CONFLITOS

17.1 Ordem de Precedência

Em caso de conflito ou inconsistência entre documentos, a seguinte ordem de precedência se aplicará (da mais alta para a mais baixa):

  1. Leis de proteção de dados aplicáveis (RGPD, LGPD, etc.)
  2. Este Acordo de Processamento de Dados
  3. Quaisquer emendas contratuais negociadas assinadas por ambas as partes
  4. Os Termos de Serviço principais / Contrato Mestre
  5. A Política de Privacidade do GitScrum
  6. Quaisquer outras políticas ou documentação referenciadas

Para clareza: os requisitos legais obrigatórios sempre prevalecem. Este Acordo prevalece sobre os Termos de Serviço apenas para questões de proteção de dados.

17.2 Conformidade Regulamentar

Se uma lei ou regulamento de proteção de dados exigir que o GitScrum tome uma ação que entre em conflito com o Acordo Principal, o GitScrum tomará tal ação conforme exigido pela lei sem violar o Acordo Principal. O GitScrum notificará o Controlador de tal conflito e das medidas tomadas para o resolver.

18. LEI APLICÁVEL E RESOLUÇÃO DE LITÍGIOS

18.1 Lei Aplicável

Este DPA será regido e interpretado de acordo com as leis de <strong>Portugal</strong>, sem consideração aos princípios de conflitos de leis.

18.2 Jurisdição

Qualquer litígio decorrente de ou relacionado com este DPA será submetido à jurisdição exclusiva dos tribunais de <strong>Lisboa, Portugal</strong>.

18.3 Resolução Alternativa de Litígios

Antes de iniciar qualquer ação judicial (exceto ação injuntiva de emergência), as partes deverão primeiro tentar resolver o litígio através de negociação de boa-fé entre representantes da gestão sénior de cada parte.

18.4 Reclamações de Titulares dos Dados e Autoridades de Supervisão

Nada nesta Secção 18 limita os direitos de:

19. DISPOSIÇÕES GERAIS

19.1 Acordo Integral

Este DPA, juntamente com o Acordo Principal e quaisquer anexos anexados ou incorporados por referência, constitui o acordo integral entre as partes em relação ao processamento de Dados Pessoais e substitui todos os acordos, entendimentos, negociações e discussões anteriores ou contemporâneos, sejam orais ou escritos, entre as partes.

19.2 Cessão

Nenhuma das partes pode ceder ou transferir este DPA, ou quaisquer direitos ou obrigações ao abrigo do mesmo, sem o consentimento prévio por escrito da outra parte, exceto que:

19.3 Divisibilidade

Se qualquer disposição deste DPA for considerada inválida, ilegal ou inexequível por um tribunal de jurisdição competente, as restantes disposições permanecerão em pleno vigor e efeito. A disposição inválida será modificada na medida mínima necessária para a tornar válida e exequível, mantendo ao máximo a intenção original das partes.

19.4 Notificações

Todas as notificações sob este Contrato devem ser por escrito e entregues a:

Para o GitScrum:

  • E-mail: dpo[at]gitscrum.com
  • Endereço: GitScrum, Inc., Escritório de Proteção de Dados, [Endereço]

Para o Controlador:

Para o endereço de e-mail e endereço físico associado à conta do Controlador, ou conforme especificado de outra forma no Contrato principal.

Efetividade da Notificação:

As notificações são efetivas mediante: (a) entrega pessoal; (b) o segundo dia útil após o envio pelo correio; (c) o segundo dia útil após o envio por e-mail confirmado.

19.5 Avisos

Todos os avisos ao abrigo deste DPA devem ser por escrito e entregues por:

19.6 Partes Contratantes Independentes

As partes são partes contratantes independentes. Nada neste DPA cria uma parceria, joint venture, agência ou relação de emprego entre as partes.

19.7 Direitos de Terceiros

Exceto conforme expressamente previsto nas CCT (onde Titulares dos Dados são terceiros beneficiários), este DPA não confere quaisquer direitos ou recursos a qualquer pessoa que não seja as partes deste DPA.

20. INFORMAÇÕES DE CONTACTO

Para questões ou pedidos relacionados com este DPA ou proteção de dados, por favor contacte:

Encarregado de Proteção de Dados (DPO):

dpo[at]gitscrum.com

Tempo de Resposta: 10 dias úteis

Departamento Jurídico:

legal[at]gitscrum.com

Consultas de Privacidade:

privacy[at]gitscrum.com

Suporte ao Cliente:

customer.service[at]gitscrum.com

Autoridade de Supervisão (Portugal):

Comissão Nacional de Proteção de Dados (CNPD)

https://www.cnpd.pt/

geral[at]cnpd.pt

21. RECONHECIMENTO E ACEITAÇÃO

Ao utilizar os Serviços do GitScrum e processar Dados Pessoais através da plataforma, o Responsável pelo Tratamento reconhece e concorda que:

  1. O Responsável pelo Tratamento leu e compreendeu este Acordo de Processamento de Dados na sua totalidade
  2. O Responsável pelo Tratamento concorda em ficar vinculado a todos os termos e condições estabelecidos neste DPA
  3. O Responsável pelo Tratamento tem autoridade para celebrar este DPA em nome da organização que representa
  4. O Responsável pelo Tratamento processará Dados Pessoais em conformidade com todas as leis de proteção de dados aplicáveis, incluindo o RGPD
  5. O Responsável pelo Tratamento não fornecerá instruções ao GitScrum que causem a violação das leis de proteção de dados aplicáveis
  6. O Responsável pelo Tratamento reconhece que este DPA constitui parte integrante do Acordo Principal (Termos e Condições)
  7. O Responsável pelo Tratamento compreende as suas obrigações enquanto Responsável pelo Tratamento e o papel do GitScrum enquanto Subcontratante

Data Efetiva de Aceitação: A data em que o Responsável pelo Tratamento aceita pela primeira vez o Acordo Principal ou começa a utilizar os Serviços (o que ocorrer primeiro).