ACORDO GERAL DE TRATAMENTO DE DADOS THE DIGITAL PO BOX

1. Partes

  1. The Digital PO Box - Marca registada da The Bizz Hub LLC-FZ, escritório no The Meydan Grandstand, 6.º andar, Meydan Road, Nad Al Sheba, Dubai, E.A.U., registada sob o número 2536783.01. Doravante denominada: "Processador".
  2. Responsável pelo Tratamento - A pessoa singular ou coletiva que celebra um acordo com o Processador para (entre outras coisas) o processamento de correio e utiliza o serviço de digitalização para esse fim. Doravante denominado: "Responsável pelo Tratamento".
  3. O Responsável pelo Tratamento e o Processador são doravante denominados coletivamente como as "Partes".

Este Acordo aplica-se independentemente de o Cliente (Responsável pelo Tratamento) agir a título pessoal ou empresarial.

Este Acordo de Tratamento de Dados aplica-se exclusivamente à digitalização de itens de correio contendo dados pessoais. Para todas as outras categorias de dados pessoais tratados pela TBH (incluindo dados de conta, dados de faturação e dados de comunicação), a TBH atua como um responsável pelo tratamento independente, conforme descrito na sua Declaração de Privacidade.

2. Definições

  1. RGPD: O Regulamento Geral sobre a Proteção de Dados (UE) 2016/679.
  2. Dados pessoais: Quaisquer dados que possam ser associados, direta ou indiretamente, a uma pessoa singular identificada ou identificável e que possam constar no correio do Responsável pelo Tratamento quando este é digitalizado.
  3. Tratamento (ou "Tratar"): Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, tais como o armazenamento, transmissão, disponibilização, etc.
  4. Violação de Dados / Incidente de Segurança: Uma violação de segurança que conduza (potencialmente) à destruição, perda, alteração ou divulgação não autorizada de, ou ao acesso não autorizado a, dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
  5. Sempre que este acordo se referir a definições do RGPD, esses termos têm o mesmo significado que no Artigo 4.º do RGPD.
  6. Cliente / Responsável pelo Tratamento: No presente Acordo, o Cliente atua como Responsável pelo Tratamento na aceção do Artigo 4.º(7) do RGPD, e a The Digital PO Box atua como Processador na aceção do Artigo 4.º(8) do RGPD.

3. Finalidade e âmbito

  1. Este Acordo de Tratamento de Dados aplica-se apenas quando o Responsável pelo Tratamento utiliza o serviço de digitalização do Processador.
  2. Enquanto responsável pelo tratamento, o Responsável pelo Tratamento detém dados pessoais. O Processador trata esses dados pessoais apenas em nome do Responsável pelo Tratamento, digitalizando e, se necessário, reencaminhando itens de correio que possam conter dados pessoais.

4. Papéis e responsabilidades

  1. Responsável:
    • determina as finalidades e os meios do tratamento de dados pessoais no serviço postal;
    • é e permanece, em última instância, responsável pela licitude do tratamento e pelo cumprimento do RGPD;
    • apenas instrui o Processador para digitalizar dados pessoais e disponibilizá-los através dos sistemas acordados.
  2. Processador:
    • apenas realiza o tratamento em nome e sob a responsabilidade do Responsável pelo Tratamento, conforme estipulado neste Acordo e no Acordo Específico de Serviço subjacente;
    • não tem controlo independente sobre a finalidade e os meios do tratamento.

5. Obrigações do processador

O Processador garante as seguintes obrigações de acordo com o Artigo 28.º do RGPD:

5.1 Confidencialidade

  1. O Processador e os seus colaboradores afiliados (e quaisquer sub-processadores) tratarão confidencialmente os dados pessoais de que tenham conhecimento.
  2. Este dever de confidencialidade continuará a aplicar-se também após a cessação do presente Acordo de Tratamento de Dados.

5.2 Medidas de segurança adequadas

  1. O Processador tomará as medidas de segurança técnicas e organizativas adequadas para proteger os dados pessoais contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danos acidentais.
  2. As medidas técnicas incluem, por exemplo, firewalls, antivírus, palavras-passe fortes e (quando relevante) encriptação de acordo com as normas ISO 27001 e ISO 27701. As medidas organizativas incluem restrições de acesso, triagem de pessoal e encerramento de áreas onde os dados são tratados.
  3. As medidas de segurança estão, no mínimo, em conformidade com os requisitos do Artigo 32.º do RGPD e são adequadas à natureza dos dados tratados (isto pode variar por item postal).

5.3 Tratamento dentro da UE/EEE

  1. O Processador não permitirá que o tratamento de dados pessoais ocorra fora do Espaço Económico Europeu (EEE), a menos que tal transferência esteja coberta por garantias adequadas, incluindo as Cláusulas Contratuais-Tipo da UE (CCT) ou mecanismos equivalentes que assegurem um nível de proteção adequado, ou quando exigido por lei.
  2. Para transferências para o Reino Unido ou para os Emirados Árabes Unidos, o Processador aplica as mesmas garantias contratuais, técnicas e organizativas descritas na Declaração de Privacidade da TDPB.

5.4 Sem Tratamento Adicional

  1. O Processador tratará apenas os dados pessoais de acordo com as instruções do Responsável pelo Tratamento. A utilização para outros fins (por exemplo, marketing próprio) não é permitida.

5.5 Assistência no cumprimento de obrigações

  1. Na medida do razoavelmente possível, o Processador assistirá o Responsável pelo Tratamento no cumprimento das obrigações ao abrigo do RGPD, tais como o tratamento de pedidos dos titulares dos dados ou a realização de avaliações de impacto sobre a proteção de dados (AIPD).

5.6 Prestação de informações e auditoria

  1. Prestar informações
    O Processador deve, mediante primeiro pedido e na medida do razoavelmente necessário, fornecer ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento das Obrigações ao abrigo deste Acordo de Tratamento de Dados e do RGPD.
  2. Apoio à conformidade
    Se o Responsável pelo Tratamento tiver razões fundamentadas para o fazer (por exemplo, verificação periódica ou suspeita de irregularidades), o Processador cooperará com auditorias ou inspeções, incluindo (quando apropriado) a disponibilização de documentação técnica ou relatórios.
  3. Condições de auditoria
      O Responsável pelo Tratamento anunciará uma auditoria ou inspeção pretendida por escrito com pelo menos 30 dias úteis de antecedência, com uma descrição clara do âmbito e da finalidade, para que o Processador se possa preparar e a continuidade do serviço não seja desnecessariamente comprometida.
    • As auditorias não afetarão a confidencialidade de outros Responsáveis pelo Tratamento ou a segurança de sistemas que também contenham dados de terceiros. O Responsável pelo Tratamento concorda que a auditoria possa ser realizada por um terceiro independente, sob confidencialidade, de forma a proteger a privacidade de outros Responsáveis pelo Tratamento.
    • Os custos de uma auditoria, incluindo horas-homem do Processador, serão suportados pelo Responsável pelo Tratamento, exceto se for estabelecido que o Processador está a agir em violação deste Acordo de Tratamento de Dados ou do RGPD, caso em que o Processador suportará os custos razoáveis da auditoria.
  4. Resultados e melhorias
    O Processador informará o Responsável pelo Tratamento das conclusões relevantes de uma auditoria ou inspeção e, se aplicável, proporá ou implementará medidas de melhoria para continuar a garantir o cumprimento deste Acordo de Tratamento de Dados e do RGPD.

5.7 Tratamento por Sistemas de IA

Este Artigo aplica-se a todas as operações assistidas por IA realizadas pelo Processador e faz parte das medidas técnicas e organizativas exigidas ao abrigo do Artigo 28.º do RGPD.

Garantias adequadas, incluindo, mas não se limitando às Cláusulas Contratuais-Tipo da UE e mecanismos equivalentes de transferência do Reino Unido e EAU, aplicam-se a qualquer tratamento realizado pela OpenAI.

6. Sub-processadores

6.1 Sem Ativação Sem Permissão

  1. O Processador não contratará terceiros adicionais (sub-processadores) para o tratamento efetivo de dados pessoais sem o consentimento (específico ou geral) do Responsável pelo Tratamento.
  2. Se o Processador tiver uma permissão geral do Responsável pelo Tratamento, o Processador informará o Responsável pelo Tratamento pelo menos catorze (14) dias antes da adição ou substituição de um sub-processador, mediante notificação através do Portal do Responsável pelo Tratamento ou por e-mail, para que o Responsável pelo Tratamento se possa opor a tal.

6.2 Sub-processador Atual para Digitalização

  1. O Responsável pelo Tratamento reconhece e concorda que o Processador já contrata um sub-processador para a digitalização de itens de correio. Este sub-processador está vinculado às mesmas obrigações (de privacidade) incluídas neste Acordo de Tratamento de Dados, de modo a que também cumpra o RGPD.
  2. O Responsável pelo Tratamento pode solicitar informações ao Processador sobre a identidade e localização deste sub-processador, bem como sobre a forma como são asseguradas as garantias adequadas.

6.3 Acordos com sub-processadores

  1. Se o Processador contratar um sub-processador, o Processador fornecerá um acordo escrito com esse sub-processador, que inclua pelo menos as mesmas obrigações (de privacidade) que neste Acordo de Tratamento, para que o sub-processador cumpra o RGPD.
  2. O Processador permanece o ponto de contacto principal para o Responsável pelo Tratamento em todos os momentos e mantém a responsabilidade (contratual) pelo tratamento efetuado pelo sub-processador.

7. Violações de Dados (Incidentes de Segurança)

7.1 Obrigação de notificar

  1. No caso de um incidente de segurança estabelecido ou suspeito (possível violação de dados) que se relacione com os dados pessoais tratados pelo Processador, o Processador comunicará tal facto ao Responsável pelo Tratamento sem demora injustificada.
  2. O Processador fornecerá o máximo de informações relevantes possível, para que o Responsável pelo Tratamento possa cumprir a sua própria obrigação de notificar a autoridade de controlo (e quaisquer titulares dos dados).

7.2 Apoio

  1. O Processador apoiará o Responsável pelo Tratamento em quaisquer investigações ou medidas que precisem de ser tomadas em resultado da violação de dados (tais como investigações forenses, medidas corretivas).

8. Pedidos dos Titulares dos Dados

8.1 Tratamento pelo Responsável pelo Tratamento

  1. Se o Processador receber um pedido (por exemplo, acesso, retificação, apagamento) diretamente de um titular dos dados, o Processador reencaminhará este pedido ao Responsável pelo Tratamento sem demora irrazoável.
  2. O Responsável pelo Tratamento é responsável pelo tratamento posterior destes pedidos.

8.2 Cooperação

  1. O Processador deverá, na medida do razoavelmente possível, cooperar para permitir que o Responsável pelo Tratamento cumpra as suas obrigações (Artigos 12.º–22.º do RGPD).

9. Vigência e Cessação

9.1 Duração

  1. Este Acordo de Tratamento de Dados entra em vigor no início do acordo principal (Responsável pelo Tratamento - Processador) e permanece válido enquanto o Processador tratar dados pessoais no contexto do serviço de digitalização.

9.2 Cessação

  1. Todas as digitalizações e dados pessoais relacionados serão eliminados ou destruídos no prazo de noventa (90) dias a partir da data de carregamento original, ou trinta (30) dias após a cessação do serviço de digitalização, consoante o que ocorrer mais tarde, a menos que se aplique uma obrigação legal de conservação ou o Responsável pelo Tratamento instrua uma transferência por escrito.
  2. Sempre que tenha sido mantido um arquivo digital, o Processador manterá as digitalizações pelo mesmo período máximo de noventa (90) dias antes da eliminação ou destruição final.
  3. Exceções e conservação legal: Se o Responsável pelo Tratamento e o Processador forem obrigados por lei (por exemplo, fiscal ou administrativa) a conservar determinados dados por um período de tempo mais longo, o Processador pode, após consulta com o Responsável pelo Tratamento, continuar a conservar os dados por esse período (legal) específico.
  4. Pedido de transferência: O Responsável pelo Tratamento pode solicitar a transferência das digitalizações num ficheiro digital ou outra forma acordada dentro do período referido no parágrafo 2. O Processador cooperará com tal, na medida do razoavelmente possível. Os custos associados a tal podem ser cobrados ao Responsável pelo Tratamento, salvo acordo em contrário.
  5. Garantia de remoção: Após os períodos referidos neste artigo, o Processador assegurará que os dados pessoais (digitalizações) sejam completamente eliminados ou destruídos, de modo a que deixem de estar acessíveis ou recuperáveis. O Processador pode fornecer uma confirmação de destruição mediante pedido.

10. Responsabilidade

  1. As disposições de responsabilidade dos Termos e Condições Gerais do Processador aplicam-se igualmente a este Acordo de Tratamento de Dados. Em todos os casos, a responsabilidade cumulativa total do Processador, seja contratual, extracontratual ou outra, não excederá o montante total pago pelo Responsável pelo Tratamento ao Processador pelos serviços de digitalização relevantes durante os doze (12) meses anteriores ao evento que deu origem à reclamação.
  2. O Processador não será responsável por quaisquer danos indiretos, consequenciais ou especiais, incluindo, mas não se limitando a lucros cessantes, perda de dados ou de goodwill, exceto em casos de negligência grave ou dolo por parte do Processador.
  3. O Responsável pelo Tratamento permanece o único responsável pela licitude do tratamento de dados pessoais e por garantir que as suas instruções cumprem a legislação de proteção de dados aplicável.

11. Disposições Diversas

  1. Quaisquer alterações a este Acordo devem ser feitas por escrito (incluindo formato eletrónico) e aceites por ambas as Partes (por exemplo, através de mecanismos de aceitação eletrónica).
  2. As partes envidam esforços conjuntos para cumprir o RGPD e outra legislação de privacidade aplicável.
  3. Este Acordo de Tratamento de Dados será regido e interpretado de acordo com as leis de Inglaterra e do País de Gales. As Partes envidarão todos os esforços razoáveis para resolver qualquer litígio amigavelmente. Se as Partes não conseguirem chegar a um acordo amigável no prazo de trinta (30) dias, o litígio será resolvido definitivamente por arbitragem ao abrigo das Regras do Tribunal de Arbitragem Internacional de Londres (LCIA), regras essas que se consideram incorporadas por referência. A sede da arbitragem será Londres, Reino Unido, e a língua da arbitragem será o inglês. A sentença proferida pelo árbitro será definitiva e vinculativa para ambas as Partes.
    Nada nesta cláusula privará um consumidor da proteção conferida pelas leis imperativas do seu país de residência.
  4. Avisos e Atualizações: Quaisquer avisos ou comunicações ao abrigo deste Acordo de Tratamento de Dados, incluindo atualizações ou alterações, serão fornecidos eletronicamente através do Portal do Cliente ou por e-mail para o endereço de contacto registado pelo Responsável pelo Tratamento. A utilização continuada do serviço de digitalização após a notificação constitui a aceitação dos termos atualizados, a menos que o Responsável pelo Tratamento se oponha por escrito no prazo de catorze (14) dias.
  5. No caso de quaisquer contradições ou diferenças entre esta versão em inglês e quaisquer traduções, a versão em inglês prevalecerá. As traduções são fornecidas apenas por conveniência e não criam quaisquer obrigações ou direitos legais.

Este documento faz parte do Quadro Legal da The Digital PO Box.

Versão: 1.4 / Data: 18-11-2025