Contrato de Subcontratação

ao abrigo do Art. 28.º do RGPD – entre o Responsável pelo Tratamento e a AX1S / AIGOY (Subcontratante)

Esta é uma tradução de cortesia em português. O contrato vinculativo e assinável é a versão alemã (“Auftragsverarbeitungsvertrag”); em caso de divergências, prevalece a versão alemã. As transferências acima contêm o original alemão.

Responsável pelo Tratamento

[Empresa / Nome]
[Rua, N.º]
[Código Postal, Localidade], [País]
representado por: [Nome]
“Responsável pelo Tratamento”

Subcontratante

Thomas Brandt, empresário em nome individual
operando sob a marca AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburg, Alemanha
“Subcontratante”

§ 1 Objeto e duração

Tratamento de dados pessoais pelo Subcontratante por conta do Responsável pelo Tratamento no contexto da disponibilização da plataforma AIGOY (Governação de IA, Risco e Compliance). O prazo corresponde ao contrato principal e termina com a sua cessação.

§ 2 Natureza, âmbito e finalidade

Disponibilização da plataforma AIGOY e dos seus módulos (Inventário de IA, Gestão de Risco, Gestão de Políticas, Reporte de Compliance, Portal da Administração, Centro de Formação, Denúncia de Irregularidades) e elaboração assistida por IA de políticas e avaliações de risco pelo Compliance CoWorker “Felix” segundo o princípio dos quatro olhos. Tratamento exclusivamente para a prestação dos serviços e segundo as instruções documentadas do Responsável pelo Tratamento.

§ 3 Tipos de dados e categorias de titulares dos dados

Tipos de dados pessoais (típicos):

Dados de base/de contacto (nome, e-mail profissional, departamento, função)
Dados de autenticação (palavra-passe codificada por hash, data/hora de início de sessão, token de sessão)
Dados de utilização e de registo da plataforma (incl. trilho de auditoria)
Dados de formação/competências (progresso nos módulos, certificados)
Dados de conteúdo introduzidos pelo Responsável pelo Tratamento (p. ex. políticas, riscos, relatórios)

Categorias de titulares dos dados: os colaboradores, quadros dirigentes e responsáveis do Responsável pelo Tratamento, utilizadores da plataforma e, se aplicável, terceiros cujos dados o Responsável pelo Tratamento introduz no âmbito dos seus processos de compliance.

As categorias especiais (Art. 9.º do RGPD) não fazem parte da utilização prevista; a sua introdução é da exclusiva responsabilidade do Responsável pelo Tratamento e deve ser evitada.

§ 4 Obrigações do Subcontratante

Nos termos do Art. 28.º, n.º 3, do RGPD, o Subcontratante compromete-se, em particular, a:

tratar os dados apenas segundo as instruções documentadas do Responsável pelo Tratamento (incl. transferências para países terceiros, salvo exigência legal).
assegurar que as pessoas autorizadas a tratar os dados estão sujeitas a um dever de confidencialidade.
aplicar as medidas técnicas e organizativas exigidas ao abrigo do Art. 32.º do RGPD (Anexo 1).
cumprir as condições para recorrer a outros subcontratantes (Art. 28.º, n.os 2 e 4) (§ 6, Anexo 2).
apoiar o Responsável pelo Tratamento no cumprimento dos direitos dos titulares dos dados (Art. 12.º a 23.º).
apoiar o Responsável pelo Tratamento nas obrigações ao abrigo dos Art. 32.º a 36.º (segurança, notificação de violações, AIPD).
apagar ou devolver os dados pessoais após o termo do tratamento, à escolha do Responsável pelo Tratamento (§ 10).
apresentar provas de conformidade e permitir auditorias (§ 9).

§ 5 Medidas técnicas e organizativas (MTO)

Aplicam-se as MTO constantes do Anexo 1 (Art. 32.º do RGPD). As medidas podem ser adaptadas ao progresso técnico, desde que o nível de proteção não seja reduzido.

§ 6 Subcontratantes

O Responsável pelo Tratamento concede autorização geral para os subcontratantes enumerados no Anexo 2. O Subcontratante celebra com eles contratos ao abrigo do Art. 28.º do RGPD que impõem obrigações equivalentes. As alterações são comunicadas com antecedência; o Responsável pelo Tratamento pode opor-se por motivos relevantes de proteção de dados. Para as transferências para países terceiros, aplicam-se garantias adequadas (Cláusulas Contratuais-Tipo ao abrigo do Art. 46.º, n.º 2, alínea c), do RGPD ou o Quadro de Proteção de Dados UE-EUA).

§ 7 Direitos dos titulares dos dados

O Subcontratante apoia o Responsável pelo Tratamento na resposta aos pedidos dos titulares dos dados e reencaminha sem demora indevida quaisquer pedidos que lhe sejam dirigidos diretamente.

§ 8 Notificação de violações de dados pessoais

O Subcontratante notifica o Responsável pelo Tratamento sem demora indevida após tomar conhecimento de uma violação de dados pessoais, com as informações exigidas ao abrigo do Art. 33.º do RGPD, para que o Responsável pelo Tratamento possa cumprir as suas obrigações ao abrigo dos Art. 33.º e 34.º do RGPD.

§ 9 Direitos de auditoria e de prova

As provas são fornecidas principalmente através de documentação adequada (p. ex. SOC 2 Type II da infraestrutura utilizada, relatórios de auditoria, documentação das MTO). Quando necessário, o Subcontratante possibilita auditorias com pré-aviso razoável e sem perturbação desproporcionada.

§ 10 Eliminação e devolução

Após o termo do tratamento, o Subcontratante apaga ou devolve todos os dados pessoais à escolha do Responsável pelo Tratamento e destrói as cópias, salvo se for aplicável uma obrigação legal de conservação. A eliminação é confirmada mediante pedido.

§ 11 Responsabilidade

A responsabilidade rege-se pelo Art. 82.º do RGPD e pelo contrato principal.

§ 12 Disposições finais

As alterações exigem forma escrita. Em caso de conflito, as disposições de proteção de dados deste contrato prevalecem sobre o contrato principal. Aplica-se o direito alemão.

Local, data – Responsável pelo Tratamento
Nome / função

Local, data – Subcontratante (AX1S / AIGOY)
Thomas Brandt

Anexo 1 – Medidas técnicas e organizativas (Art. 32.º do RGPD)

A AIGOY é desenvolvida na Alemanha, alojada na Alemanha e apoiada a partir da Alemanha.

Objetivo	Medida
Confidencialidade	Encriptação em trânsito (TLS 1.2+) e em repouso (AES-256); Row Level Security (RLS); acesso baseado em funções, com privilégio mínimo.
Integridade	Trilho de auditoria apenas por inserção (INSERT-only); cockpit de aprovação por quatro olhos – cada ação de escrita do Felix só produz efeitos após aprovação.
Disponibilidade e resiliência	Cópias de segurança regulares dentro da região da UE; infraestrutura reforçada (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Localização dos dados	Tratamento/armazenamento na UE (Frankfurt/Alemanha). Inferência de IA: sem treino sobre os dados; inferência na UE (AWS Bedrock Frankfurt) em preparação.
Separação	Separação lógica de inquilinos (tenant_id) imposta através de RLS.
Controlo de subcontratação	Contratos ao abrigo do Art. 28.º com todos os subcontratantes; CCT/DPF para transferências para países terceiros.

Anexo 2 – Subcontratantes aprovados

Subcontratante	Localização	Serviço / finalidade	Nota
IONOS SE	Montabaur, Alemanha 🇩🇪	Alojamento web	Contrato Art. 28.º
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (UE)	Backend, base de dados, autenticação, Edge Functions	Contrato Art. 28.º; SOC 2 Type II
Anthropic PBC	EUA 🇺🇸	Serviço de IA (modelo Claude) para análises / CoWorker Felix	Sem treino sobre os dados; CCT + DPF UE-EUA; Contrato Art. 28.º
Stripe Payments Europe, Ltd.	Dublin, Irlanda 🇮🇪 (UE)	Processamento de pagamentos	Apenas planos Business / Enterprise

Última atualização: maio de 2026. Este modelo é um ponto de partida e não constitui aconselhamento jurídico. Adapte-o ao caso concreto e submeta-o a revisão jurídica antes de o utilizar. Uma lista atualizada de subcontratantes está publicada na página Confiança e Segurança.