Contrato de Prestação de Serviços


Entre:

Net Real Solutions, S.L.U. (doravante designada por NRS) com número de identificação fiscal ESB12550877, situada na Av. Arcadi García Sanz, 19, 1ºA, Vila Real, Castellón, Espanha, inscrita no Registo Comercial de Castellón, volume 1058, livro 622, folha 183, secção 8, página CS-17458



E o cliente que aceita o presente Contrato de Prestação de Serviços (Cliente), que intervém na qualidade de tomador de serviços, assim como a adenda ao presente contrato de prestação de serviços, que faz referência ao novo regulamento europeu em matéria de proteção de dados (RGPD).

1.ª (Objeto)

1. Nos termos do presente contrato e da sua assinatura, a NRS fornecerá ao Cliente serviços de comunicação digital e gestão de contactos através da plataforma 360 NRS.

2.ª (Definições)

1. As seguintes definições têm, no âmbito do presente contrato, o alcance que lhes é concedido pelos parágrafos seguintes da presente cláusula:

a) Comunicação digital: serviços de envio de correio eletrónico, notificações push, SMS e mensagens de voz;

b) Gestão de contactos: serviços de tratamento e manutenção manual ou automática de contactos para ações de comunicação digital, incluindo a geração de dados estatísticos;

c) Plataforma 360NRS: infraestrutura acessível via Web pelo Cliente através da qual a NRS presta todos os serviços de comunicação digital e de gestão de contactos;

d) Plano mensal de utilização: mensalidade para o envio de correio eletrónico e notificações push App através da plataforma 360NRS. A mensalidade tem início a partir da data em que o Cliente efetua o primeiro pagamento e expirará ao fim de trinta dias, altura em que o cliente poderá renovar ou prorrogar o serviço.

e) Saldo: valor pago pelo Cliente para carregar a sua conta na plataforma 360NRS. O saldo não expira e é gasto consoante as mensagens enviadas ou serviços utilizados pelo Cliente na plataforma 360NRS.

f) Serviço extracontratual: qualquer serviço solicitado pelo Cliente à NRS que não seja da mesma natureza dos serviços incluídos no presente contrato.



3.ª (Preços e pagamentos)

1. Os serviços da plataforma 360NRS são prestados mediante a aquisição de um dos planos mensais de utilização (para o envio de e-mails e notificações push app) ou mediante carregamento de saldo (para envio de e-mails, notificações push. O cliente poderá obter informação atualizada sobre o tarifário em vigor, a qualquer altura, na página web da NRS. Os planos mensais de utilização e os carregamentos de saldo estão distribuídos de acordo com os níveis de serviços (apresentados mais abaixo), que determinam o conjunto de funcionalidades e serviços disponíveis.

1.1. Plano de Assinatura: este plano permite que o cliente carregue uma base de dados para a plataforma 360NRS de acordo com a quantidade contratada (10 000, 50 000, 100 000, 500 000, 750 000 ou 1 000 000) Durante o período de um mês, o cliente poderá enviar a esta base de dados uma quantidade ilimitada de notificações push up e uma quantidade de 2 e-mails por semana durante um mês. Os contactos desta base de dados não poderão ser apagados e substituídos por novos contactos.

PLANOS DE ASSINATURA

Tipo de plano

Mensalidade

Nível de Serviço

Até 10 000 assinantes

39 €/mês (IVA não incluído)

Assistência por e-mail

Servidores Partilhados

Até 50 000 assinantes

99 €/mês (IVA não incluído)

Assistência Telefónica

Gerente de Conta Atribuído

Rapidez de envio extra

Servidores Prioritários

Até 100 000 assinantes

199 €/mês (IVA não incluído)

Assistência Telefónica

Gerente de Conta Atribuído

Rapidez de envio extra

Servidores Prioritários

Até 500 000 assinantes

299 €/mês (IVA não incluído)

Assistência Telefónica

Gerente de Conta Atribuído

Rapidez de envio extra

Servidores Prioritários

Até 750 000 assinantes

1 200 €/mês (IVA não incluído)

Assistência Telefónica Prioritária

Formação online

Modelos Personalizados

Velocidade Máxima de Entrega

Servidores Dedicados

Até 1 000 000 assinantes

1 500 €/mês (IVA não incluído)

Assistência Telefónica Prioritária

Formação online

Modelos Personalizados

Velocidade Máxima de Entrega

Servidores Dedicados





1.2. Plano de Serviço: este plano permite que o cliente realize a quantidade total de envios do plano contratado (50 000, 100 000, 250 000, 500 000, 750 000 ou 1 000 000) Por envios entende-se o envio de e-mails e notificações push app. Durante o período de um mês, o cliente terá direito a enviar, a um número ilimitado de assinantes, a quantidade contratada de notificações push app e e-mails. O cliente poderá incluir todos os contactos ou grupos que desejar e, uma vez esgotado o limite de envios, num período de um mês, poderá adquirir créditos, a um custo reduzido, a fim de aumentar o seu limite.

PLANO DE SERVIÇO

Tipo de plano

Mensalidade

Custo adicional de limite ultrapassado

Nível de Serviço

Até 50 000 envios (e-mail e notificações push)

59 €/mês (IVA não incluído)

Custo adicional por 1 000 e-mails ou notificações push app 1 €

Contactos ilimitados

Assistência Telefónica

Gerente de Conta Atribuído

Rapidez de envio extra

Servidores Prioritários


Até 100 000 envios (e-mail e notificações push)

89 €/mês (IVA não incluído)

Custo adicional por 1 000 e-mails ou notificações push app 0,9 €

Contactos ilimitados

Assistência Telefónica

Gerente de Conta Atribuído

Rapidez de envio extra

Servidores Prioritários

Até 250 000 envios (e-mail e notificações push)

199 €/mês (IVA não incluído)

Custo adicional por 1 000 e-mails, ou notificações push app 0,7 €

Contactos ilimitados

Assistência Telefónica Prioritária

Formação online

Modelos Personalizados

Velocidade Máxima de Entrega

Servidores Dedicados

Até 500 000 envios (e-mail e notificações push)

299 €/mês (IVA não incluído)

Custo adicional por 1 000 e-mails, ou notificações push app 0,6 €

Contactos ilimitados

Assistência Telefónica Prioritária

Formação online

Modelos Personalizados

Velocidade Máxima de Entrega

Servidores Dedicados

Até 1 000 000 envios (e-mail e notificações push)

399 €/mês (IVA não incluído)

Custo adicional por 1 000 e-mails ou notificações push app 0,5 €

Contactos ilimitados

Assistência Telefónica Prioritária

Formação online

Modelos Personalizados

Velocidade Máxima de Entrega

Servidores Dedicados



2. O plano mensal de utilização aplica-se exclusivamente ao envio de correio eletrónico e notificações push. O envio de comunicações digitais através de outros canais requer sempre carregamento de saldo.

3. Os planos mensais de utilização e carregamentos de saldo são ativados depois do pagamento efetuado.

4. Os planos mensais de utilização devem ser renovados manualmente pelo cliente. Depois de concluído o prazo de um mês, o cliente poderá contratar novamente o serviço ou contratar um plano inferior ou superior. Qualquer cancelamento de plano só será executado quando terminar o período de validade do plano em vigor.

5. Todos os custos de acesso e ligação à plataforma 360NRS por parte do Cliente serão suportados pelo Cliente.

6. Todos os serviços extra-contratuais serão cobrados de acordo com o tarifário da NRS.

7. Todas as faturas serão emitidas pela NRS ao Cliente após o recebimento do pagamento correspondente e poderão ser descarregadas através da conta de cliente

4.ª (Obrigações da NRS)

1. A NRS prestará os seguintes serviços ao Cliente, a fim da execução do presente contrato:

a) Serviços de comunicação digital e gestão de contactos através da plataforma 360NRS;

b) Assistência, por correio eletrónico ou telefone, durante as horas normais de funcionamento da NRS, sobre os serviços prestados.

2. A NRS compromete-se a:

a) Manter os serviços e a plataforma 360NRS em conformidade com todas as leis, normas e regulamentos internacionais, nacionais e locais, incluindo, sem limitação, as que regem a prática da publicidade e marketing;

b) Manter a confidencialidade de todas as informações relativas aos dados do Cliente a que tenha acesso.

c) A NRS encontra-se sediada em território da União Europeia e rege-se pelo cumprimento das obrigações europeias em relação à proteção de dados pessoais. A NRS não armazenará tais dados em locais fora da jurisdição da UE e nunca realizará a venda, empréstimo ou transferência de informações pessoais, listas de contactos, mensagens ou quaisquer outros dados do Cliente, a menos que seja sob mandado judicial. Tais dados só poderão ser transmitidos entre trabalhadores da NRS no âmbito restrito das suas funções de gestão e administração do serviço.

d) A NRS está obrigada a notificar o Cliente em relação a qualquer alteração no tarifário da plataforma 360NRS.



5.ª (Obrigações do Cliente)

1. São obrigações do Cliente, além das previstas noutras cláusulas do presente contrato e no âmbito do seu desempenho normal:

a) Enviar comunicações digitais através da plataforma 360NRS unicamente para os destinatários que tenham prévia e explicitamente concedido autorização ao Cliente para receber tais comunicações;

b) Cumprir rigorosamente com o Livro Branco de Boas Práticas de Mailing da plataforma 360 NRS, com o qual já mostrou explicitamente o seu acordo ao usar a plataforma. O cliente obriga-se especificamente em não exceder os seguintes limites:

MÉTRICAS

ACEITÁVEL

EXPLICAÇÃO

Hard bounces (recentes)

2%

Quanto ao número de mensagens com bounce (retorno) nos últimos 15 dias.

Hard bounces (total)

10%

Em relação ao número total de contactos.

Cancelamentos voluntários

1,4%

Pessoas que clicam no botão de cancelamento da mensagem.

Contactos suspeitos

10%

Ex.: bounces conhecidos, endereços de email tipo role account, endereços com sintaxe correta mas inexistentes ou nunca usados em assinaturas.

Reclamações de spam

0,08%

Para mais de 1 000 mensagens entregues (no entanto, o número de reclamações diárias nunca pode ser superior a 50).

Reclamações nas aberturas

1,00%

Quanto ao número de aberturas de mensagens enviadas nos últimos 5 dias.

Spamtraps e reclamações injustificadas por parte do cliente

1

Um spamtrap é um endereço de e-mail criado especificamente para identificar bases de dados ilegais.



c) Fornecer informações verídicas e verificáveis ​​através da identificação da sua empresa na plataforma 360 NRS e aos destinatários das comunicações digitais do Cliente;

d) Não praticar, nem sequer tentar, qualquer comportamento que vise violar as normas e limitações de utilização impostas pela plataforma 360NRS, que viole a legislação em vigor ou que seja prejudicial, de alguma forma, aos interesses ou posições legalmente protegidas.

e) Responsabilizar-se pela leitura das comunicações regulares enviadas por correio eletrónico por parte da NRS ou apresentadas na própria plataforma 360NRS em relação a novidades, recomendações, manutenção e outras modificações na plataforma;

f) Manter a confidencialidade de todas as informações relativas aos dados internos da NRS a que eventualmente pudesse ter acesso.

g) Comprometer-se a não exercer práticas de spam, sendo spam entendido como o envio de e-mails:

- a qualquer lista de contactos sem o conhecimento nem consentimento prévio desses contactos.

- a contactos que tenham manifestado a sua intenção de serem removidos da lista de contactos.

- unicamente destinados à angariação de contactos em troca de lucros.

- que não contenham um remetente válido e identificável.

- com assunto ou conteúdo falso, enganoso, discriminatório, xenófobo, ilícito ou que promova ganhos de jogo, que venda sistemas em pirâmide ou que fomente a prática de maus-tratos e abuso.

- E, finalmente, qualquer pressuposto que, sob a legislação LOPD, LSSI (UE) ou CAN SPAM (EUA) possa ser considerado como spam

6.ª (Utilização dos remetentes SMS)

1. Todos os remetentes utilizados pelo Cliente no envio de SMS através da plataforma 360NRS devem existir, ser válidos e ser claramente identificados aos destinatários

2. Os remetentes alfanuméricos de telefones móveis têm de corresponder ao nome da empresa do Cliente ou a uma marca registada pelo Cliente.

3. Os remetentes numéricos de telefone têm de ser números válidos em utilização pelo Cliente ou pela empresa do Cliente.

7.ª (Confidencialidade)

1. Para efeitos de cumprimento da normativa de protecção de dados pessoais, a NRS, como encarregada do tratamento, garante que apenas executará o tratamento de dados pessoais de acordo com as instruções do Cliente. A NRS compromete-se a manter em máximo sigilo as informações classificadas como confidenciais. Serão considerados como informações confidenciais quaisquer dados de carácter pessoal a que a NRS tenha acesso em virtude da referida prestação de serviços.

2. A NRS não utilizará os dados para outros fins além dos necessários para a prestação adequada do serviço. Caso a NRS utilize os dados para outra finalidade, os partilhe ou os utilize em violação das disposições do presente contrato, será também considerada responsável pelo tratamento, respondendo pelas infrações que tenha incorrido.

3. A NRS compromete-se a manter sigilo profissional em relação aos dados de carácter pessoal cujo acesso se regula por meio do presente contrato, comprometendo-se a não os comunicar, nem mesmo para a sua preservação, a terceiros, mesmo após a cessação das suas relações com o Cliente . A NRS implementará as medidas técnicas e organizacionais necessárias de acordo com as normativas de protecção de dados e que garantam a segurança e integridade dos dados de carácter pessoal e evitam a sua alteração, perda, tratamento ou acesso não autorizado, dado o estado da tecnologia, a natureza dos dados armazenados e os riscos a que estão expostos, seja por ação humana ou meio físico ou natural.

4. A NRS fica proibida de incorporar os dados a que possa ter acesso em virtude da relação profissional que a une ao Cliente para os seus próprios ficheiros ou suportes. Assim que a prestação contratual se encontre cumprida, e, no momento em que, em conformidade com as condições acordadas ou legalmente previstas, termine o relacionamento entre as duas partes, os dados de carácter pessoal utilizados pela NRS deverão ser destruídos ou devolvidos ao seu responsável; o mesmo destino deve ser dado a qualquer suporte ou documentos que contenham quaisquer dados pessoais tratados. Não haverá destruição de dados aquando da existência de uma disposição legal que exija a sua conservação, caso tal suceda, deverá proceder-se à restituição dos mesmos, ficando o Cliente encarregue da sua conservação. Em qualquer caso, a NRS conservará os dados, devidamente bloqueados, caso possa advir qualquer responsabilidade da sua relação com o Cliente.

8.ª (Garantia e risco)

1. Os serviços de comunicação digitais e gestão de contactos através da plataforma 360NRS, prestados pela NRS, não estão livres de risco de falhas técnicas nem da capacidade de cumprir determinado objetivo, seja qual for a circunstância. Contudo, a NRS compromete-se a fazer todos os possíveis para prestar assistência ao Cliente na resolução de eventuais problemas ou dificuldades detectadas. A NRS compromete-se ainda a manter uma disponibilidade de serviço (uptime) de 98% (a disponibilidade média da NRS é de 99,5 ‰).

2. O Cliente assume total responsabilidade pela utilização da plataforma 360NRS, reservando-se à obrigação de indemnizar a NRS por danos resultantes da má utilização da plataforma, assumindo ainda todas as despesas ou passivos que a NRS tenha de suportar decorrentes de tal utilização.

3. O Cliente é totalmente responsável pela natureza, tratamento e legalidade das bases de dados dos destinatários que utiliza para ações de comunicação digital através da plataforma 360NRS. Em caso de queixa ou ação judicial movida por qualquer dos destinatários proveniente das ações de comunicação digital da Segunda Parte, a NRS não poderá ser considerada responsável, seja qual for a circunstância.

4. O Cliente tem a obrigação de manter a confidencialidade em relação aos elementos correspondentes à sua própria identificação ("nome de utilizador") e código pessoal ("palavra-passe") para acesso à plataforma 360NRS, não sendo a NRS responsável ​​por qualquer utilização por parte de terceiros, com ou sem autorização do Cliente, de um destes elementos. A NRS também não se responsabilizará por guardar os dados da conta do Cliente na plataforma 360NRS caso a conta seja bloqueada ou eliminada.

9.ª (Prazos e validade)

1. O presente contrato entra em vigor a partir do momento em que o Cliente crie uma conta na plataforma 360NRS e permanecerá em vigor até que o Cliente termine a utilização dos serviços da NRS ou se tais serviços forem revogados por incumprimento ou por mútuo acordo.

10.ª (Incumprimento)

1. O incumprimento injustificado das obrigações decorrentes do presente contrato confere à contraparte, nos termos gerais da Legislação em vigor, o direito de revogação unilateral do mesmo.

2. O Cliente perderá automaticamente (através do bloqueio da sua conta), e sem aviso, o direito e acesso aos serviços da NRS se se verificar uma ou mais das seguintes condições, não sendo devolvido qualquer montante previamente pago pela utilização destes serviços:

a) Não pagamento de facturas emitidas pela NRS no período especificado no contrato;

b) Violação da Política Anti-Spam da NRS;

c) Violação de qualquer das obrigações do Cliente estipuladas no presente contrato.

d) Registo de nova conta NRS (com ou sem pagamento correspondente), depois de ter violado numa conta NRS anterior qualquer das obrigações estipuladas no presente contrato.

3. Caso o Cliente tenha contratado um plano de utilização mensal e não tenha pago as facturas emitidas pela NRS no período estipulado, a conta NRS do Cliente converter-se-á automaticamente numa conta sem plano e suspenderá qualquer envio programado ou em curso em caso de saldo insuficiente na conta para efetuar tal envio.

4. Em caso de litígio e caso o Cliente seja residente na União Europeia, poderá utilizar os serviços do Centro Europeu do Consumidor, cujas políticas e recomendações são subscritas pela NRS.

11.ª (Comunicações)

1. As comunicações entre as partes, relacionadas com a execução do presente contrato, incluindo a solicitação de serviço, será feita via correio eletrónico, fax ou correio postal.

2. A NRS enviará mensagens regularmente ao Cliente sobre a plataforma NRS (novas funcionalidades, manutenção do serviço, notificações de pagamento, etc.) através de um ou mais canais suportados. A NRS também poderá enviar pontualmente à Segunda Parte mensagens informativas sobre ações de empresas ou instituições associadas da NRS. O Cliente pode, a qualquer momento, cancelar a receção destas mensagens informativas clicando no botão "Editar subscrição".

12.ª (Jurisdição)

Em caso de qualquer conflito ou discrepância que possa surgir em relação à interpretação e/ou cumprimento do presente Contrato, as partes submetem-se aos Tribunais de Castellón, renunciando a sua própria jurisdição, sendo aplicada a legislação espanhola em vigor.



ADENDA AO CONTRATO DE PRESTAÇÃO DE SERVIÇOS

Net Real Solutions, S.L.U.(doravante "NRS" ou "Encarregado do Tratamento de Dados") com o número de identificação fiscal ESB12550877, localizado na Av. Arcadi Garcia Sanz, 19, 1ºA, Vila Real, Castellón, Espanha; Registado no Registo Mercantil de Castellón, volume 1058, livro 622, folha 183, seção 8, página CS-17458; legalmente representado pelo Sr. Joaquín Edo, como Diretor Geral, com o número de identificação 29018346M, como administrador único.

As partes concordaram antecipadamente,

a) através de um Contrato de Prestação de Serviços

b) ou através da Aceitação explícita dos Termos de Serviço no momento do registo em qualquer um dos sites NRS (www.nrsgateway.com e/ou www.360nrs.com), que a NRS fornecerá ao Cliente uma plataforma web ou API de Integração para o envio em massa de comunicações por SMS, e-mail, notificações, web, notificações por push ou chamadas automáticas.

Para a prestação dos serviços mencionados no parágrafo anterior, é necessário que a NRS processe determinados dados pessoais em nome do Cliente, que atuará como responsável pelo tratamento de dados pessoais, conforme definido pela Lei aplicável em matéria de Proteção de dados;

As partes concordam em assinar esta Adenda em matéria de Proteção de dados, em conformidade com o artigo 28 do Regulamento Geral de Proteção de Dados da União Europeia, nos seguintes termos:


2.ª (Definições)

a) RGPD: REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e pelo qual se revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados)

b) «dados pessoais», qualquer informação sobre uma pessoa singular identificada ou identificável ("a parte interessada"); considera-se pessoa singular qualquer pessoa cuja identidade possa ser determinada, direta ou indiretamente, em particular por meio de um identificador, como nome, número de identificação, dados de localização, identificador online ou um ou vários elementos próprios de identidade física, fisiológica, genética, psíquica, económica, cultural ou social dessa pessoa;

c) «tratamento»: qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou conjuntos de dados pessoais, seja por procedimentos automatizados ou não automatizados, como recolha, registo, organização, estruturação, conservação, adaptação ou modificação, extração, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de autorização de acesso, intercalação ou interligação, limitação, supressão ou destruição;

d) «responsável pelo tratamento» ou «responsável»: a pessoa singular ou coletiva, autoridade pública, serviço ou outro organismo que, isoladamente ou em conjunto com outros, determine os fins e meios do tratamento; se a legislação da União ou dos Estados-Membros determinar os objetivos e os meios do tratamento, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser estabelecidos pelo direito da União ou dos Estados-Membros;

e) «encarregado do tratamento», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f) «quebra de segurança» significa qualquer violação de segurança resultante da destruição acidental ou ilegal, perda ou alteração de dados pessoais transmitidos, armazenados ou processados ​​de outra forma, ou comunicação não autorizada ou acesso a tais dados;


3ª (Objeto)

1. Através deste contrato e nos termos da sua assinatura, o Responsável Pelo Tratamento capacita a Net Real Solutions como Encarregado pelo Tratamento de dados pessoais para fornecer o serviço especificado abaixo.

O tratamento consistirá única e exclusivamente na prestação de serviços de "envio de mensagens SMS, e-mail, notificações web e app e chamadas automáticas através da plataforma web, propriedade da NRS ou por integração com o servidor NRS".


4ª (Duração)

Este contrato entrará em vigor a partir da data da sua assinatura, por ambas as partes, e será válido durante a prestação do serviço, pelo Encarregado pelo Tratamento, objeto do contrato principal.

A obrigação de confidencialidade do encarregado será válida por dois anos após o término do serviço descrito no contrato principal.

Após o termo do presente contrato, o encarregado pelo tratamento deverá devolver os dados pessoais ao responsável e eliminar qualquer cópia que mantenha em sua posse. No entanto, poderá manter os dados bloqueados para cumprir com possíveis responsabilidades administrativas ou jurídicas.


5.ª (Obrigações do encarregado pelo tratamento)

O encarregado pelo tratamento e o todo o seu pessoal estão obrigados a:

a) Usar os dados pessoais aos quais têm acesso apenas para a finalidade objeto deste encargo. Em caso algum poderão utilizar os dados para fins próprios.

b) Tratar os dados de acordo com as instruções do responsável pelo tratamento.

Se o responsável pelo tratamento considerar que alguma das instruções viola o RGPD ou qualquer outra disposição sobre proteção de dados, o encarregado informará imediatamente o responsável.

c) Manter, por escrito, um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável, que contenha:

    - O nome e as informações de contato do(s) encarregado(s) ​​e de cada responsável pelo qual o encarregado atua e, quando apropriado, o representante do responsável ou do encarregado e do delegado de proteção de dados.

    - As categorias de tratamentos realizadas em nome de cada parte responsável.

    - Se for caso disso, a transferência de dados pessoais para um país terceiro ou organização internacional, incluindo a identificação desse país terceiro ou organização internacional e, no caso das transferências indicadas no parágrafo 1 do artigo 49.º do RGPD, a documentação de garantias adequadas.

    - Uma descrição geral das medidas de segurança técnica e organizacional relacionadas com:

        i. A pseudonimização e a encriptação de dados pessoais.

        ii. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento.

        iii. A capacidade de restaurar a disponibilidade e o acesso a dados pessoais rapidamente, no caso de um incidente físico ou técnico.

        iv. O processo de verificação regular, avaliação e valoração da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

d) Não comunicar os dados a terceiros, a menos que tenha a autorização expressa do responsável pelo tratamento, nos casos legalmente admissíveis.

O encarregado pode comunicar os dados a outras pessoas designadas pelo responsável, de acordo com as instruções do responsável. Nesse caso, o responsável identificará, com antecedência e por escrito, a entidade à qual os dados devem ser comunicados, os dados a serem comunicados e as medidas de segurança a serem aplicadas para prosseguir com a comunicação.

Se o responsável tiver de transferir os dados pessoais para um país terceiro ou para uma organização internacional, em virtude da legislação aplicável da União ou do Estado-Membro, informará previamente o responsável relativamente a essa exigência legal, a menos que tal Direito a proíba, por razões importantes de interesse público.

e) Não subcontratar nenhum dos serviços que fazem parte do objeto deste contrato que envolva o processamento de dados pessoais, exceto os serviços auxiliares necessários para o funcionamento normal dos serviços do responsável.

Se for necessário subcontratar qualquer tratamento, este fato deve ser previamente comunicado por escrito ao responsável, com um mês de antecedência, indicando os tratamentos a serem subcontratados e identificando clara e inequivocamente a empresa subcontratada e as suas informações de contato. A subcontratação pode ser realizada se o responsável não manifestar a sua oposição dentro do prazo estabelecido (um mês).

O subcontratado, que também terá o estatuto de encarregado pelo tratamento, também é obrigado a cumprir com as obrigações estabelecidas neste documento para o encarregado pelo tratamento e as instruções ditadas pelo responsável. O encarregado inicial é responsável por regular o novo relacionamento para que o novo encarregado esteja sujeito às mesmas condições (instruções, obrigações, medidas de segurança...) e com os mesmos requisitos formais que, em relação ao tratamento adequado de dados pessoais e a garantia dos direitos das pessoas afetadas. Em caso de incumprimento por parte do sub-encarregado, o encarregado inicial permanecerá totalmente responsável perante o responsável pelo cumprimento das obrigações.

f) Manter o dever de sigilo sobre os dados pessoais aos quais teve acesso em virtude do presente encargo, mesmo após o termo do contrato.

g) Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam, expressamente e por escrito, a respeitar a confidencialidade e a cumprir com as medidas de segurança correspondentes, das quais devem ser informadas em conformidade.

h) Manter à disposição do responsável a documentação comprovando o cumprimento da obrigação estabelecida na seção anterior.

i) Garantir a formação necessária em termos de proteção de dados pessoais das pessoas autorizadas a processar dados pessoais.

j) Auxiliar o responsável pelo tratamento na resposta ao exercício dos direitos de:

    - Acesso, retificação, eliminação e oposição

    - Limitação de tratamento

    - Portabilidade dos dados

    - Não deve ser objeto de decisões individualizadas automatizadas (incluindo criação de perfis)

O encarregado pelo tratamento deve resolver, em nome do responsável, e dentro do prazo estabelecido, os pedidos de exercício dos direitos de acesso, retificação, supressão e oposição, limitação do tratamento, portabilidade dos dados e não estar sujeito a decisões individualizadas automatizadas, relativamente aos dados objeto do encarregado

k) É da responsabilidade do responsável fornecer o direito à informação no momento da recolha de dados.

l) Notificação de violações de segurança dos dados

O encarregado pelo tratamento notificará o responsável pelo tratamento, sem demora indevida, e em qualquer caso antes do prazo máximo de 72 horas, sobre as violações da segurança dos dados pessoais sob sua responsabilidade, juntamente com todas as informações relevantes para a documentação e comunicação do incidente.

A notificação não será necessária quando for improvável que tal quebra de segurança constitua um risco para os direitos e liberdades das pessoas singulares.

Serão fornecidas, no mínimo, as informações seguintes:

    - Descrição da natureza da violação da segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de partes interessadas afetadas, as categorias e o número aproximado de registos de dados pessoais afetados.

    - O nome e as informações do delegado de proteção de dados ou de outro ponto de contato onde se poderão obter mais informações.

    - Descrição das possíveis consequências da violação da segurança dos dados pessoais.

    - Descrição das medidas adotadas ou propostas para remediar a violação da segurança dos dados pessoais, incluindo, se for caso disso, as medidas adotadas para mitigar os possíveis efeitos negativos.

Se não for possível fornecer as informações simultaneamente, e na medida em que tal não seja possível, as informações serão fornecidas gradualmente, sem atrasos indevidos.

m) Colocar à disposição do responsável todas as informações necessárias para demonstrar o cumprimento de suas obrigações, bem como para a realização de auditorias ou inspeções realizadas pelo responsável ou por outro auditor autorizado por este.

n) Implementar as medidas de segurança incluídas no ANEXO MEDIDAS DE SEGURANÇA.

o) Em qualquer caso, deverá implementar as medidas de segurança necessárias para:

    - Garantir a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento.

    - Restaurar a disponibilidade e o acesso a dados pessoais rapidamente, no caso de um incidente físico ou técnico.

    - Verificar, avaliar e valorar com regularidade, a eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do tratamento.

    - Pseudonomizar e encriptar dados pessoais, se aplicável.

p) Destino dos dados

Destruir os dados, assim que o serviço tenha sido concluído. Uma vez eliminados, o encarregado deve certificar a sua eliminação por escrito e entregar o certificado ao responsável pelo tratamento.

No entanto, o encarregado pode manter uma cópia, com os dados devidamente registados, desde que se possam derivar responsabilidades da execução da prestação


6.ª (Obrigações do Responsável pelo Tratamento)

É da responsabilidade do Responsável pelo Tratamento:

a) Enviar comunicações digitais através da plataforma web, propriedade da NRS, ou através da integração com servidores NRS, apenas para destinatários que prévia e explicitamente concederam a sua autorização para receber tais comunicações.

b) Entregar ao encarregado os dados referido na cláusula 3 deste documento, a fim de facilitar a prestação dos serviços a que se refere o contrato principal.

c) Efetuar uma avaliação do impacto, se necessário, sobre a proteção de dados pessoais das operações de tratamento a realizar pelo encarregado.

d) Realizar as consultas prévias correspondentes.

e) Garantir, antes e durante todo o tratamento, a conformidade com o RGPD por parte do encarregado.

f) Supervisionar o tratamento, incluindo a realização de inspeções e auditorias.


7.ª MEDIDAS DE SEGURANÇA)

MEDIDAS ORGANIZACIONAIS

INFORMAÇÕES QUE SERÃO CONHECIDAS POR TODO O PESSOAL COM ACESSO AOS DADOS PESSOAIS

Todo o pessoal com acesso a dados pessoais deverá estar ciente das suas obrigações relativamente ao processamento de dados pessoais e será informado sobre essas obrigações. A informação mínima que será conhecida por todos os funcionários será a seguinte:

    - DEVER DE CONFIDENCIALIDADE E SEGREDO

        - O acesso de pessoas não autorizadas a dados pessoais deverá ser evitado, pelo que deverá evitar: deixar os dados pessoais expostos a terceiros (ecrãs eletrónicos não monitorizados, documentos em papel em áreas de acesso público, suportes com dados pessoais, etc.), esta consideração inclui os ecrãs que são utilizados para a visualização de imagens do sistema de videovigilância. Quando está ausente do local de trabalho, o ecrã será bloqueado ou a sessão será encerrada.

        - Os documentos em papel e suportes eletrónicos serão armazenados em local seguro (armários ou salas de acesso restrito), 24 horas por dia.

        - Documentos ou suportes eletrónicos (cd, pen drives, discos rígidos, etc.) não serão descartados com dados pessoais sem garantir a sua destruição.

        - Não serão comunicados dados pessoais ou qualquer informação pessoal a terceiros e será dada atenção especial em não divulgar dados pessoais protegidos durante consultas telefónicas, e-mails, etc.

        - O dever de sigilo e confidencialidade persiste mesmo quando termina a relação de trabalho do trabalhador com a empresa.

    - DIREITOS DOS TITULARES DE DADOS

Todos os trabalhadores serão informados sobre o procedimento para abordar os direitos das partes interessadas, definindo claramente os mecanismos pelos quais os direitos podem ser exercidos (meios eletrónicos, referência ao Delegado de Proteção de Dados, se houver um, endereço postal, etc.) tendo em conta o seguinte:

    - Após a apresentação do seu documento nacional de identidade ou passaporte, os titulares de dados pessoais (interessados) podem exercer os seus direitos de acesso, retificação, supressão, oposição e portabilidade. O responsável pelo tratamento deve responder às partes interessadas sem demora indevida.

Para o direito de acesso, as partes interessadas receberão uma lista dos dados pessoais disponíveis, juntamente com a finalidade para a qual foram recolhidos, a identidade dos destinatários dos dados, os períodos de conservação e a identidade do responsável, que pode solicitar a eliminação, retificação e oposição ao processamento dos dados.

Para o direito de retificação, os dados das partes interessadas imprecisos ou incompletos deverão ser modificados de acordo com a finalidade do tratamento.

Para o direito de supressão, os dados das partes interessadas serão eliminados quando os interessados ​​expressarem a sua recusa ou oposição ao consentimento para o tratamento dos seus dados e não houver dever legal que os impeça.

Para o direito de portabilidade, as partes interessadas devem comunicar a sua decisão e informar o responsável, conforme o caso, sobre a identidade do novo responsável a quem fornecem os seus dados pessoais.

O responsável pelo tratamento deve informar todas as pessoas com acesso aos dados pessoais sobre os termos de conformidade cumprir com os direitos das partes interessadas, a forma e procedimento em que se cumprem esses direitos.

    - VIOLAÇÕES DE SEGURANÇA DE DADOS PESSOAIS

        - No caso de violações de segurança de DADOS PESSOAIS, como, por exemplo, roubo ou acesso indevido a dados pessoais, a Agência Espanhola de Proteção de Dados será notificada dentro de 72 horas das violações de segurança, incluindo as informações necessárias para o esclarecimento dos fatos que teriam dado origem ao acesso indevido a dados pessoais. A notificação será feita por meio eletrónico, através da sede eletrónica da Agência Espanhola de Proteção de Dados, no endereço: https://sedeagpd.gob.es


MEDIDAS TÉCNICAS

IDENTIFICAÇÃO

    - Quando o mesmo computador ou dispositivo é usado para o processamento de dados pessoais e fins pessoais, recomenda-se ter vários perfis ou utilizadores diferentes para cada um dos propósitos. Os usos profissionais e pessoais do computador devem ser mantidos separados.

    - É recomendável ter perfis com direitos de administração para a instalação e configuração do sistema e utilizadores sem privilégios ou direitos administrativos para acesso a dados pessoais. Essa medida impedirá privilégios de acesso ou modificará o sistema operativo em caso de ataque de segurança cibernética.

    - A existência de palavras-passe para o acesso a dados pessoais armazenados em sistemas eletrónicos será garantida. A palavra-passe terá, pelo menos, 8 caracteres, uma mistura de números e letras.

    - Quando os dados pessoais são acedidos ​​por pessoas diferentes, para cada pessoa com acesso a dados pessoais, estarão disponíveis um nome de utilizador e palavra-passe específicos (identificação inequívoca).

    - A confidencialidade das palavras-passe deve ser garantida, evitando que sejam expostas a terceiros. As palavras-passe não serão partilhadas, em caso algum, anotadas em lugar comum e acedidas por pessoas que não sejam o utilizador.

DEVER DE SALVAGUARDA

Em seguida, expõem-se as medidas técnicas mínimas para garantir a salvaguarda dos dados pessoais:

    - ATUALIZAÇÃO DE COMPUTADORES E DISPOSITIVOS: Os dispositivos e computadores utilizados para o armazenamento e processamento dos dados pessoais devem manter-se atualizados na medida do possível.

    - MALWARE: Em computadores e dispositivos onde o processamento de dados pessoais é automatizado, estará disponível um sistema antivírus para garantir o roubo e a destruição de informações pessoais e dados, tanto quanto possível. O sistema antivírus deve ser atualizado periodicamente.

    - FIREWALL: Para evitar o acesso remoto indevido a dados pessoais, serão tomadas as devidas medidas para assegurar a existência de um firewall ativado nos computadores e dispositivos em que o armazenamento e/ou processamento de dados pessoais seja efetuado.

    - ENCRIPTAÇÃO DE DADOS: Quando for necessário realizar a extração de dados pessoais fora do local onde estes são processados, seja por meios físicos ou por meios eletrónicos, deve avaliar-se a possibilidade de utilizar um método de encriptação para garantir a confidencialidade dos dados pessoais, em caso de acesso indevido à informação.

    - CÓPIA DE SEGURANÇA: Periodicamente, será efetuada uma cópia de segurança num segundo suporte distinto do utilizado para o trabalho diário. A cópia será armazenada em local seguro, diferente daquele em que o computador está localizado com os ficheiros originais, a fim de permitir a recuperação dos dados pessoais, em caso de perda de informação.

As medidas de segurança serão revistas periodicamente, sendo esta revisão efetuada por mecanismos automáticos (software ou programas de computador) ou manualmente. Considere que qualquer incidente de segurança de computador que tenha acontecido com algum conhecido possa ocorrer consigo e previna-se contra o mesmo.