Acordo de Tratamento de Dados (DPA)
Última atualização: 25 de março de 2026
1. Introdução
O presente Acordo de Tratamento de Dados (doravante, “DPA”) constitui um anexo aos Termos e Condiçõesentre a Digital Technologies OU (“Pilotium”, “Subcontratante do tratamento”) e o cliente (“Cliente”, “Responsável pelo tratamento”). Este DPA tem por objeto garantir o cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD, Regulamento UE 2016/679) e demais legislação aplicável em matéria de proteção de dados.
Ao utilizar os serviços da Pilotium, o Cliente aceita os termos deste DPA.
2. Funções das partes
- Responsável pelo tratamento (Controlador): O Cliente, que determina as finalidades e os meios do tratamento dos dados pessoais dos seus leads, membros e clientes do ginásio.
- Subcontratante do tratamento (Processador): A Pilotium (Digital Technologies OÜ), que trata os dados pessoais em nome e por conta do Cliente em conformidade com as instruções deste DPA.
A Pilotium também atua como responsável pelo tratamento dos seus próprios dados (dados de conta do Cliente, dados de faturação, dados de utilização da plataforma), cujo tratamento é regido pela Política de Privacidade.
3. Dados pessoais tratados
No âmbito da prestação do Serviço, a Pilotium pode tratar as seguintes categorias de dados pessoais por conta do Cliente:
| Categoria de dados | Exemplos |
|---|---|
| Dados identificativos de leads | Nome, telefone, email, cidade |
| Dados de interação | Mensagens de WhatsApp com agentes de IA, respostas a formulários de captação, reservas de aulas experimentais |
| Dados de inquéritos | Respostas de membros do ginásio (anonimizadas para perfis de audiência) |
| Dados de campanha | Métricas publicitárias associadas a leads (impressões, cliques, conversões) |
Categorias de titulares dos dados: Leads (potenciais clientes do ginásio), membros atuais do ginásio (em caso de inquéritos), pessoas que interagem com os anúncios do Cliente.
4. Finalidade e duração do tratamento
A Pilotium tratará os dados pessoais exclusivamente para as seguintes finalidades:
- Gestão de campanhas publicitárias nas Plataformas Publicitárias (Meta, Google, TikTok, Snapchat) em nome do Cliente
- Qualificação de leads mediante agentes de inteligência artificial
- Gestão de reservas de aulas experimentais
- Geração de relatórios e analíticas de desempenho para o Cliente
- Notificações ao Cliente sobre novos leads e estado de campanhas
O tratamento manter-se-á durante a vigência da subscrição do Cliente e durante os 30 dias posteriores ao cancelamento (período de retenção). Após esse período, os dados serão eliminados nos termos do ponto 9.
5. Obrigações da Pilotium como Subcontratante
A Pilotium compromete-se a:
- Tratar os dados pessoais unicamente em conformidade com as instruções documentadas do Cliente e com as finalidades estabelecidas neste DPA, salvo quando uma obrigação legal o exija (caso em que a Pilotium informará previamente o Cliente, exceto quando a lei o proíba)
- Garantir que todas as pessoas autorizadas a tratar os dados se comprometeram à confidencialidade
- Implementar as medidas técnicas e organizativas de segurança descritas no ponto 7
- Não subcontratar o tratamento sem a autorização prévia do Cliente, nos termos do ponto 6
- Assistir o Cliente no cumprimento das suas obrigações de resposta a pedidos de exercício de direitos dos titulares dos dados (acesso, retificação, apagamento, portabilidade, etc.)
- Assistir o Cliente no cumprimento das suas obrigações em matéria de segurança do tratamento, notificação de violações de segurança, avaliações de impacto e consultas prévias à autoridade de controlo
- Por opção do Cliente, suprimir ou devolver todos os dados pessoais uma vez finalizada a prestação do serviço, nos termos do ponto 9
- Pôr à disposição do Cliente toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas no RGPD Art. 28
6. Subcontratantes ulteriores do tratamento
O Cliente concede à Pilotium uma autorização geral para recorrer a subcontratantes ulteriores do tratamento. Os subcontratantes ulteriores atuais são:
| Subcontratante ulterior | Finalidade | Localização |
|---|---|---|
| Meta Platforms, Inc. | Publicação e gestão de anúncios | UE/EUA (DPF) |
| Google LLC | Publicação e gestão de anúncios | UE/EUA (DPF) |
| TikTok Inc. | Publicação e gestão de anúncios | EUA/Singapura (SCC) |
| Anthropic PBC | Agente conversacional de IA | EUA (DPF) |
| Hetzner Online GmbH | Alojamento de servidores e base de dados | UE (Alemanha) |
| Brevo (Sendinblue) SAS | Envio de emails transacionais | UE (França) |
| Resend Inc. | Envio de emails transacionais | EUA (DPF) |
A Pilotium informará o Cliente de qualquer adição ou substituição de subcontratantes ulteriores com um pré-aviso mínimo de 30 dias. Se o Cliente se opuser a um novo subcontratante ulterior por motivos justificados de proteção de dados, e a objeção não for resolvida num prazo de 30 dias, o Cliente poderá resolver o contrato sem penalização.
A Pilotium garante que todos os subcontratantes ulteriores estão vinculados por obrigações de proteção de dados equivalentes às estabelecidas neste DPA.
7. Medidas de segurança
A Pilotium implementa as seguintes medidas técnicas e organizativas para proteger os dados pessoais:
- Cifragem: TLS 1.2+ em trânsito, AES-256-CBC em repouso
- Controlo de acesso: Acesso baseado em funções (princípio do mínimo privilégio), autenticação por chave SSH, palavras-passe cifradas com bcrypt
- Segurança de rede: Firewall (UFW), proteção contra intrusões (fail2ban), proteção DDoS (Cloudflare)
- Alojamento: Servidores localizados na UE (Hetzner Online GmbH, Alemanha)
- Cópias de segurança: Cópias de segurança periódicas na UE
- Dados de pagamento: Processados pela Stripe (certificada PCI-DSS); os dados de cartão não são armazenados nos servidores da Pilotium
- Confidencialidade: Todo o pessoal com acesso a dados pessoais está sujeito a obrigações de confidencialidade
- Monitorização: Supervisão contínua de sistemas e alertas de segurança
8. Violações de segurança
Em caso de violação de segurança que afete dados pessoais tratados por conta do Cliente, a Pilotium:
- Notificará o Cliente sem demora injustificada e, em qualquer caso, num prazo máximo de 48 horas a contar do momento em que tenha conhecimento da violação
- Fornecerá ao Cliente toda a informação disponível sobre a natureza da violação, as categorias de dados afetados, as consequências prováveis e as medidas adotadas ou propostas para a remediar
- Cooperará plenamente com o Cliente para o cumprimento das obrigações de notificação à autoridade de controlo (Art. 33 RGPD) e aos titulares dos dados (Art. 34 RGPD)
- Documentará todas as violações de segurança e as medidas corretivas adotadas
9. Devolução e supressão de dados
Após o cancelamento da subscrição do Cliente:
- O Cliente poderá solicitar a exportação dos seus dados de leads e campanhas durante os 30 dias posteriores ao cancelamento
- Decorrido o período de retenção de 30 dias, a Pilotium suprimirá todos os dados pessoais tratados por conta do Cliente, salvo quando uma obrigação legal exija a sua conservação (caso em que os dados serão mantidos bloqueados e acessíveis apenas para cumprir a referida obrigação)
- A Pilotium fornecerá ao Cliente confirmação escrita da supressão, mediante pedido
10. Direitos dos titulares dos dados
Se a Pilotium receber um pedido de um titular dos dados (lead ou outra pessoa cujos dados sejam tratados por conta do Cliente) para exercer os seus direitos ao abrigo do RGPD (acesso, retificação, apagamento, portabilidade, oposição, etc.):
- A Pilotium informará o Cliente do referido pedido sem demora injustificada
- A Pilotium não responderá diretamente ao pedido, salvo autorização do Cliente ou exigência legal
- A Pilotium prestará ao Cliente a assistência razoável necessária para dar resposta ao pedido
11. Transferências internacionais
Quando o tratamento de dados pessoais por conta do Cliente implique transferências para fora do Espaço Económico Europeu, a Pilotium garante a aplicação das salvaguardas adequadas:
- Decisões de adequação da Comissão Europeia (Art. 45 RGPD)
- EU-U.S. Data Privacy Framework (DPF) para prestadores aderentes
- Cláusulas contratuais tipo (SCC) aprovadas pela Comissão Europeia para os demais casos
12. Auditoria
A Pilotium porá à disposição do Cliente toda a informação razoavelmente necessária para demonstrar o cumprimento das obrigações estabelecidas neste DPA e no RGPD Art. 28. O Cliente (ou um auditor designado, sujeito a confidencialidade) poderá realizar uma auditoria anual, com um pré-aviso mínimo de 30 dias, em horário comercial e sem interferir com as operações da Pilotium.
13. Responsabilidade
A responsabilidade de cada parte no âmbito deste DPA é regida pelas limitações estabelecidas nos Termos e Condições. Nada neste DPA limita a responsabilidade de nenhuma das partes perante os titulares dos dados nem perante as autoridades de proteção de dados nos termos do RGPD.
14. Vigência
Este DPA entra em vigor com a aceitação dos Termos e Condições e permanecerá em vigor enquanto a Pilotium tratar dados pessoais por conta do Cliente. As obrigações de confidencialidade e as relativas à supressão de dados sobreviverão à cessação deste DPA.
15. Legislação aplicável
Este DPA é regido pela mesma legislação aplicável aos Termos e Condições (legislação da República da Estónia para clientes da UE).
16. Contacto
Para qualquer questão relacionada com este DPA ou com o tratamento de dados pessoais, contacte-nos em [email protected].