Acordo de tratamento de dados
Última atualização: 2 de julho de 2026
Este é o acordo de tratamento de dados ao abrigo do artigo 28.º do RGPD, cobrindo os elementos obrigatórios com disposições operacionais completas. Não constitui aconselhamento jurídico; recomenda-se uma revisão final face à sua situação concreta antes do lançamento. O acordo foi concebido para ser integrado por referência nos termos de uso do serviço e para se tornar vinculativo quando o cliente aceitar esses termos.
O presente acordo de tratamento de dados (o «Acordo») faz parte dos termos de uso do serviço entre a SDHC AS, número de organização 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega (o «Subcontratante», «nós») e o cliente que aceita os termos (o «Responsável pelo tratamento», «você»). Rege o nosso tratamento dos dados pessoais contidos no conteúdo que carrega no serviço, e aplica-se onde e na medida em que o RGPD se aplique a esse tratamento.
Sempre que o presente Acordo entre em conflito com os termos de uso do serviço no que respeita ao tratamento de dados pessoais, prevalece o presente Acordo.
Os termos iniciados por maiúscula utilizados no presente Acordo sem nele estarem definidos têm o significado que lhes é atribuído nos termos de uso do serviço.
1. Papéis das partes
Relativamente aos dados pessoais contidos no seu conteúdo (incluindo imagens que possam mostrar pessoas identificáveis e veículos), você é o Responsável pelo tratamento e a SDHC é o Subcontratante. Você determina as finalidades e os meios desse tratamento; a SDHC trata os dados exclusivamente por sua conta.
(Relativamente aos dados de conta, subscrição, faturação e análise do site, a SDHC é responsável pelo tratamento autônomo, conforme descrito na política de privacidade; esses dados não estão abrangidos pelo presente Acordo.)
2. Objeto, duração, natureza e finalidade
- Objeto: o tratamento dos dados pessoais contidos nas imagens e no conteúdo associado que carrega no serviço.
- Duração: durante a vigência da subscrição e até ao apagamento ou devolução dos dados nos termos da seção 10.
- Natureza e finalidade: o alojamento, o armazenamento, a organização e a análise automatizada (classificação de fauna e detecção da presença de seres humanos/veículos) do conteúdo carregado, bem como a disponibilização dos resultados a si e aos membros da equipa a quem conceder acesso.
3. Tipos de dados pessoais e categorias de titulares dos dados
- Tipos de dados pessoais: imagens que possam conter pessoas identificáveis e veículos; coordenadas de localização da câmera; metadados da imagem (data, hora, nome da câmera, marca da câmera); resultados de detecção automatizada.
- Categorias de titulares dos dados: pessoas captadas incidentalmente pelas suas câmeras (por exemplo, transeuntes, visitantes ou outras pessoas ao alcance da câmera).
Não deve carregar conscientemente dados pessoais sensíveis (artigo 9.º do RGPD) nem utilizar o serviço para tratar sistematicamente tais dados, salvo acordo distinto e por escrito. A nossa detecção automatizada de «ser humano presente» não identifica pessoas nem foi concebida para tratar dados biométricos ou outros dados pessoais sensíveis.
4. Instruções e obrigações do Responsável pelo tratamento
Apenas tratamos dados pessoais com base nas suas instruções documentadas, incluindo as definidas no presente Acordo e na sua utilização das funcionalidades do serviço, salvo se formos obrigados a agir ao abrigo do direito norueguês ou do EEE (caso em que o informaremos, salvo proibição legal).
Garante que: (a) dispõe de um fundamento jurídico válido para o tratamento que instrui; (b) cumpriu todas as obrigações aplicáveis de informação, sinalização e consentimento perante as pessoas captadas; e (c) as suas instruções estão em conformidade com a lei aplicável. É responsável pela licitude dos dados pessoais e das instruções que fornece.
Se constatarmos que uma instrução viola o RGPD ou outra lei de proteção de dados aplicável, informá-lo-emos.
5. Confidencialidade
Asseguramos que as pessoas autorizadas a tratar os dados pessoais estão sujeitas a um dever de confidencialidade adequado e foram informadas do caráter confidencial dos dados.
6. Segurança
Tendo em conta o estado da técnica, os custos e a natureza, o âmbito, o contexto e as finalidades do tratamento, implementamos medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco (artigo 32.º do RGPD), incluindo, consoante as circunstâncias:
- a cifragem dos dados pessoais em trânsito (TLS);
- o controle de acessos, a autenticação e o princípio do menor privilégio para pessoal e sistemas;
- a proteção das credenciais de sessão, incluindo a utilização dos atributos HttpOnly, Secure e SameSite nos cookies de sessão;
- a separação lógica dos dados dos clientes, de modo a que um cliente não possa aceder ao conteúdo de outro cliente;
- a restrição das interfaces de administração (por exemplo, através de controle de acessos por senha e por IP);
- o registo e a monitorização dos acessos e eventos relevantes; e
- medidas para restabelecer a disponibilidade e o acesso aos dados pessoais na sequência de um incidente físico ou técnico (cópias de segurança).
Revemos estas medidas a intervalos regulares e atualizamo-las conforme necessário. Uma síntese atualizada está disponível mediante pedido.
7. Subcontratantes ulteriores
Concede uma autorização geral para que recorramos a subcontratantes ulteriores a fim de prestar o serviço. Recorremos atualmente a:
| Subcontratante ulterior | Papel | Localização |
|---|---|---|
| Hosting.com | Alojamento / infraestrutura | Alemanha (EEE) |
| Cloudflare, Inc. | DNS, CDN e segurança | Estados Unidos |
| Mapbox, Inc. | Mapa interativo (mosaicos/estilos/tipos de letra) | Estados Unidos |
| Paddle.com Market Limited | Processamento de pagamentos (Merchant of Record) | Reino Unido |
Impomos a cada subcontratante ulterior obrigações de proteção de dados não menos protetoras do que as definidas no presente Acordo. Informamo-lo com, pelo menos, 30 dias de antecedência de qualquer adição ou substituição prevista de um subcontratante ulterior. Durante esse período, pode opor-se por motivos razoáveis de proteção de dados; se não pudermos dar seguimento à sua oposição, pode rescindir a parte afetada do serviço como via de recurso.
8. Assistência ao Responsável pelo tratamento
Tendo em conta a natureza do tratamento, prestamos-lhe assistência através de medidas técnicas e organizativas adequadas e na medida do possível:
- para responder a pedidos de titulares dos dados que exerçam os seus direitos (acesso, retificação, apagamento, limitação, portabilidade dos dados, oposição). O serviço permite-lhe igualmente visualizar e apagar você mesmo as imagens carregadas e os dados associados;
- para cumprir as suas obrigações em matéria de segurança (artigo 32.º), notificação de violações (artigos 33.º-34.º) e avaliações de impacto sobre a proteção de dados e consulta prévia (artigos 35.º-36.º).
Se recebermos um pedido diretamente de um titular dos dados relativo ao seu conteúdo, não lhe responderemos nós mesmos (exceto para o reencaminhar de forma adequada) e transmiti-lo-emos a si sem demora injustificada.
9. Violação de dados pessoais
Notificamo-lo sem demora injustificada após termos tido conhecimento de uma violação de dados pessoais que afete dados pessoais tratados ao abrigo do presente Acordo, e fornecemos as informações que razoavelmente tenhamos disponíveis para o ajudar a cumprir as suas obrigações de notificação perante a Datatilsynet (artigo 33.º) e, quando exigido, perante os titulares dos dados afetados (artigo 34.º). A notificação de uma violação não constitui um reconhecimento de responsabilidade.
10. Apagamento ou devolução dos dados
No termo do serviço ou a seu pedido, apagaremos ou devolveremos todos os dados pessoais tratados por sua conta e apagaremos as cópias existentes no prazo de 30 dias, salvo se o direito norueguês ou do EEE exigir a conservação. Pode apagar as suas imagens e os dados associados no serviço a qualquer momento. Mediante pedido formulado antes do apagamento, devolvemos-lhe os dados num formato de uso corrente e legível por máquina.
11. Auditoria e informações
Colocamos à sua disposição as informações razoavelmente necessárias para demonstrar o cumprimento do artigo 28.º do RGPD e permitimos auditorias — incluindo inspeções — realizadas por si ou por um auditor por si mandatado, contribuindo para as mesmas. Respondemos a um pedido de auditoria escrito e razoável no prazo de 30 dias, no máximo uma vez por período de 12 meses (salvo exigência de uma autoridade de controle ou na sequência de uma violação de dados), sob reserva de um pré-aviso de, pelo menos, 14 dias, de compromissos de confidencialidade adequados e desde que cada parte suporte os seus próprios custos. As auditorias não devem perturbar de forma não razoável a nossa atividade nem comprometer a confidencialidade ou a segurança dos dados de outros clientes.
12. Transferências internacionais
Os dados pessoais abrangidos pelo presente Acordo são alojados dentro do EEE (Alemanha). Sempre que um subcontratante ulterior esteja localizado fora do EEE (ver seção 7):
- as transferências para a Paddle no Reino Unido estão abrangidas pela decisão de adequação do EEE/UE para o Reino Unido;
- as transferências para a Cloudflare e a Mapbox nos Estados Unidos efetuam-se ao abrigo de um mecanismo de transferência adequado reconhecido pelo RGPD, como o Quadro de Privacidade de Dados UE–EUA (EU–U.S. Data Privacy Framework) e/ou as cláusulas contratuais-tipo.
Não transferimos dados pessoais para fora do EEE, exceto ao abrigo de tais garantias.
13. Disposições gerais
O presente Acordo rege-se pela lei da Noruega. Se alguma disposição vier a ser considerada inválida, as restantes disposições permanecem em vigor. Em caso de conflito com os termos de uso do serviço relativamente ao tratamento de dados pessoais, prevalece o presente Acordo.
SDHC AS — número de organização 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Noruega — [email protected]