1. Partes
-
The Digital PO Box - Marca registada da The Bizz Hub LLC-FZ, escritório no The Meydan Grandstand, 6.º andar, Meydan Road, Nad Al Sheba, Dubai, E.A.U., registada sob o número 2536783.01. Doravante denominada: "Processador".
- Responsável pelo Tratamento - A pessoa singular ou coletiva que celebra um acordo com o Processador para (entre outras coisas) o processamento de correio e utiliza o serviço de digitalização para esse fim. Doravante denominado: "Responsável pelo Tratamento".
- O Responsável pelo Tratamento e o Processador são doravante denominados coletivamente como as "Partes".
Este Acordo aplica-se independentemente de o Cliente (Responsável pelo Tratamento) agir a título pessoal ou empresarial.
Este Acordo de Tratamento de Dados aplica-se exclusivamente à digitalização de itens de correio contendo dados pessoais. Para todas as outras categorias de dados pessoais tratados pela TBH (incluindo dados de conta, dados de faturação e dados de comunicação), a TBH atua como um responsável pelo tratamento independente, conforme descrito na sua Declaração de Privacidade.
5. Obrigações do processador
O Processador garante as seguintes obrigações de acordo com o Artigo 28.º do RGPD:
5.1 Confidencialidade
- O Processador e os seus colaboradores afiliados (e quaisquer sub-processadores) tratarão confidencialmente os dados pessoais de que tenham conhecimento.
- Este dever de confidencialidade continuará a aplicar-se também após a cessação do presente Acordo de Tratamento de Dados.
5.2 Medidas de segurança adequadas
- O Processador tomará as medidas de segurança técnicas e organizativas adequadas para proteger os dados pessoais contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danos acidentais.
- As medidas técnicas incluem, por exemplo, firewalls, antivírus, palavras-passe fortes e (quando relevante) encriptação de acordo com as normas ISO 27001 e ISO 27701. As medidas organizativas incluem restrições de acesso, triagem de pessoal e encerramento de áreas onde os dados são tratados.
- As medidas de segurança estão, no mínimo, em conformidade com os requisitos do Artigo 32.º do RGPD e são adequadas à natureza dos dados tratados (isto pode variar por item postal).
5.3 Tratamento dentro da UE/EEE
- O Processador não permitirá que o tratamento de dados pessoais ocorra fora do Espaço Económico Europeu (EEE), a menos que tal transferência esteja coberta por garantias adequadas, incluindo as Cláusulas Contratuais-Tipo da UE (CCT) ou mecanismos equivalentes que assegurem um nível de proteção adequado, ou quando exigido por lei.
- Para transferências para o Reino Unido ou para os Emirados Árabes Unidos, o Processador aplica as mesmas garantias contratuais, técnicas e organizativas descritas na Declaração de Privacidade da TDPB.
5.4 Sem Tratamento Adicional
- O Processador tratará apenas os dados pessoais de acordo com as instruções do Responsável pelo Tratamento. A utilização para outros fins (por exemplo, marketing próprio) não é permitida.
5.5 Assistência no cumprimento de obrigações
- Na medida do razoavelmente possível, o Processador assistirá o Responsável pelo Tratamento no cumprimento das obrigações ao abrigo do RGPD, tais como o tratamento de pedidos dos titulares dos dados ou a realização de avaliações de impacto sobre a proteção de dados (AIPD).
5.6 Prestação de informações e auditoria
- Prestar informações
O Processador deve, mediante primeiro pedido e na medida do razoavelmente necessário, fornecer ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento das Obrigações ao abrigo deste Acordo de Tratamento de Dados e do RGPD.
- Apoio à conformidade
Se o Responsável pelo Tratamento tiver razões fundamentadas para o fazer (por exemplo, verificação periódica ou suspeita de irregularidades), o Processador cooperará com auditorias ou inspeções, incluindo (quando apropriado) a disponibilização de documentação técnica ou relatórios.
- Condições de auditoria
O Responsável pelo Tratamento anunciará uma auditoria ou inspeção pretendida por escrito com pelo menos 30 dias úteis de antecedência, com uma descrição clara do âmbito e da finalidade, para que o Processador se possa preparar e a continuidade do serviço não seja desnecessariamente comprometida.
- As auditorias não afetarão a confidencialidade de outros Responsáveis pelo Tratamento ou a segurança de sistemas que também contenham dados de terceiros. O Responsável pelo Tratamento concorda que a auditoria possa ser realizada por um terceiro independente, sob confidencialidade, de forma a proteger a privacidade de outros Responsáveis pelo Tratamento.
- Os custos de uma auditoria, incluindo horas-homem do Processador, serão suportados pelo Responsável pelo Tratamento, exceto se for estabelecido que o Processador está a agir em violação deste Acordo de Tratamento de Dados ou do RGPD, caso em que o Processador suportará os custos razoáveis da auditoria.
- Resultados e melhorias
O Processador informará o Responsável pelo Tratamento das conclusões relevantes de uma auditoria ou inspeção e, se aplicável, proporá ou implementará medidas de melhoria para continuar a garantir o cumprimento deste Acordo de Tratamento de Dados e do RGPD.
5.7 Tratamento por Sistemas de IA
- Âmbito da utilização de IA: O Processador pode utilizar sistemas de IA (incluindo OpenAI) exclusivamente para apoiar a comunicação com o cliente e a melhoria do serviço interno. As ferramentas de IA não são utilizadas no tratamento de itens de correio ou quaisquer dados pessoais fornecidos pelo Responsável pelo Tratamento.
- Sem tratamento de dados do Responsável pelo Tratamento: Os sistemas de IA não recebem nem tratam dados pessoais provenientes dos itens de correio do Responsável pelo Tratamento, digitalizações, instruções de reencaminhamento ou quaisquer outros dados tratados ao abrigo deste Acordo.
- Anonimização: Apenas dados de conversação anonimizados ou pseudonimizados—não relacionados com pessoas singulares identificadas ou identificáveis—podem ser tratados utilizando sistemas de IA. Tais dados não podem ser atribuídos ao Responsável pelo Tratamento ou a quaisquer titulares dos dados.
- Obrigações do sub-processador: A OpenAI atua como um sub-processador técnico. O Processador assegura que a OpenAI está contratualmente vinculada à confidencialidade, requisitos de segurança de dados e às restrições estabelecidas neste Acordo.
- Sem decisões automatizadas: Os sistemas de IA não são utilizados para tomar decisões que produzam efeitos jurídicos ou impactos similarmente significativos nos titulares dos dados na aceção do Artigo 22.º do RGPD, RGPD do Reino Unido ou PDPL dos EAU.
- Garantias técnicas: O Processador manterá medidas que impeçam que quaisquer dados pessoais identificáveis sejam transmitidos para sistemas de IA, e assegurará que todo o tratamento por IA permaneça estritamente separado dos dados do Responsável pelo Tratamento.
Este Artigo aplica-se a todas as operações assistidas por IA realizadas pelo Processador e faz parte das medidas técnicas e organizativas exigidas ao abrigo do Artigo 28.º do RGPD.
Garantias adequadas, incluindo, mas não se limitando às Cláusulas Contratuais-Tipo da UE e mecanismos equivalentes de transferência do Reino Unido e EAU, aplicam-se a qualquer tratamento realizado pela OpenAI.