Última atualização: 9 de março de 2026
Acordo de Processamento de Dados
Este Acordo de Processamento de Dados ("DPA") faz parte dos Termos de Serviço ("Acordo") entre a BrickGRC ("Subcontratante", "nós") e o Cliente ("Responsável pelo Tratamento", "você") e rege o processamento de dados pessoais pela BrickGRC em nome do Cliente em conexão com a plataforma BrickGRC. Este DPA é celebrado nos termos do Artigo 28.º do Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 ("RGPD").
1. Definições
"Responsável pelo Tratamento" significa o Cliente, que determina as finalidades e os meios de processamento de dados pessoais através da utilização da plataforma BrickGRC.
"Subcontratante" significa a BrickGRC, que processa dados pessoais em nome do Responsável pelo Tratamento em conexão com a prestação do Serviço.
"Titular dos Dados" significa uma pessoa singular identificada ou identificável cujos dados pessoais são processados ao abrigo deste DPA.
"Dados Pessoais" significa qualquer informação relativa a um Titular dos Dados conforme definido no Artigo 4.º, n.º 1, do RGPD.
"Tratamento" significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não, conforme definido no Artigo 4.º, n.º 2, do RGPD.
"Sub-subcontratante" significa qualquer terceiro contratado pelo Subcontratante para processar dados pessoais em nome do Responsável pelo Tratamento.
"RGPD" significa o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho.
Os termos em maiúsculas não definidos neste DPA terão os significados que lhes são atribuídos no Acordo ou no RGPD, conforme aplicável.
2. Âmbito e Funções
O Cliente atua como Responsável pelo Tratamento e a BrickGRC atua como Subcontratante relativamente aos dados pessoais processados através do Serviço. A BrickGRC processará dados pessoais apenas com base em instruções documentadas do Responsável pelo Tratamento, incluindo as instruções estabelecidas neste DPA e no Acordo, salvo se for obrigada a fazê-lo por lei da União Europeia ou de um Estado-Membro à qual o Subcontratante esteja sujeito. Nesse caso, o Subcontratante informará o Responsável pelo Tratamento desse requisito legal antes do processamento, salvo se essa lei proibir tal informação por motivos importantes de interesse público.
A BrickGRC informará imediatamente o Responsável pelo Tratamento se, na sua opinião, uma instrução do Responsável pelo Tratamento infringir o RGPD ou outras disposições aplicáveis de proteção de dados da União Europeia ou dos Estados-Membros.
3. Tipos de Dados Pessoais Processados
As categorias de dados pessoais processados ao abrigo deste DPA podem incluir, dependendo da utilização do Serviço pelo Responsável pelo Tratamento:
Dados de Conta: Nomes, endereços de email, cargos, nomes de organizações e credenciais de autenticação dos utilizadores que acedem à plataforma.
Dados de Conformidade: Informação contida em engagements de conformidade, itens de trabalho, avaliações de maturidade e registos relacionados que possam incluir dados pessoais sobre indivíduos dentro da organização do Responsável pelo Tratamento.
Documentos Carregados: Ficheiros, políticas, procedimentos, documentos de evidência e outros materiais carregados pelo Responsável pelo Tratamento que possam conter dados pessoais.
Dados de Interação com IA: Prompts, consultas e conteúdo submetido a funcionalidades com IA como o assistente de conformidade, inteligência documental e ligação automática de evidências, que possam incluir dados pessoais dos registos de conformidade do Responsável pelo Tratamento.
Dados do Diretório de Colaboradores: Se o Responsável pelo Tratamento utilizar integrações de sincronização de diretório de colaboradores (por ex., através de Bricks de sistemas de RH), nomes de colaboradores, endereços de email, departamentos, funções e dados organizacionais relacionados podem ser processados.
Registos de Auditoria: Registos de ações de utilizadores na plataforma, incluindo carimbos temporais, endereços IP, identificadores de utilizadores e descrições de atividades realizadas.
4. Finalidade do Tratamento
A BrickGRC processa dados pessoais exclusivamente com a finalidade de fornecer os serviços da plataforma BrickGRC conforme descrito no Acordo, incluindo: operar e manter a plataforma; fornecer funcionalidades de gestão de conformidade, inteligência documental, ligação de evidências, pontuação de maturidade e geração de relatórios; fornecer assistência de conformidade com IA; autenticar utilizadores e impor controlos de acesso; gerar trilhas de auditoria; realizar backups e garantir a continuidade do serviço; e fornecer suporte ao cliente.
A BrickGRC não processará dados pessoais para qualquer finalidade diferente das estabelecidas neste DPA e no Acordo, e não venderá, alugará ou explorará comercialmente dados pessoais de outra forma.
5. Duração do Tratamento
A BrickGRC processará dados pessoais durante a vigência do Acordo, acrescido de qualquer período de retenção necessário para o Responsável pelo Tratamento exportar os seus dados e para a BrickGRC concluir a eliminação de acordo com a Secção 12 deste DPA. O processamento cessará após a expiração ou rescisão do Acordo, sujeito às disposições de eliminação e devolução de dados aqui estabelecidas.
6. Sub-subcontratantes
O Responsável pelo Tratamento concede à BrickGRC autorização geral para contratar sub-subcontratantes para auxiliar na prestação do Serviço. Uma lista atual de sub-subcontratantes é mantida na nossa Política de Privacidade. A BrickGRC garantirá que cada sub-subcontratante está vinculado por obrigações de proteção de dados não menos protetoras do que as estabelecidas neste DPA.
A BrickGRC notificará o Responsável pelo Tratamento com pelo menos 30 dias de antecedência de qualquer adição ou substituição pretendida de um sub-subcontratante, fornecendo ao Responsável pelo Tratamento informação suficiente para avaliar a alteração. A notificação será fornecida por email para o endereço associado à conta do Responsável pelo Tratamento.
O Responsável pelo Tratamento pode opor-se à nomeação de um novo sub-subcontratante notificando a BrickGRC por escrito no prazo de 14 dias após a receção da notificação. A objeção deve basear-se em motivos razoáveis relacionados com a proteção de dados. Após a receção de uma objeção, a BrickGRC trabalhará de boa fé com o Responsável pelo Tratamento para resolver a preocupação. Se as partes não conseguirem resolver a objeção no prazo de 30 dias, o Responsável pelo Tratamento pode rescindir o Serviço afetado sem penalização mediante aviso por escrito.
A BrickGRC permanece totalmente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações de cada sub-subcontratante ao abrigo deste DPA. Quando um sub-subcontratante não cumprir as suas obrigações de proteção de dados, a BrickGRC será responsável perante o Responsável pelo Tratamento pelos atos e omissões desse sub-subcontratante como se fossem os da própria BrickGRC.
7. Medidas de Segurança
A BrickGRC implementa e mantém medidas técnicas e organizativas adequadas para proteger os dados pessoais contra processamento não autorizado ou ilícito, perda acidental, destruição ou danos. Estas medidas incluem, sem limitação:
Encriptação em Repouso: Credenciais e segredos sensíveis são encriptados utilizando encriptação AES-256-GCM. O armazenamento da base de dados é encriptado ao nível do sistema de ficheiros.
Encriptação em Trânsito: Todos os dados transmitidos entre o cliente e o Serviço são protegidos utilizando TLS 1.2 ou superior. As comunicações API com sub-subcontratantes terceiros são encriptadas em trânsito.
Segurança de Palavras-passe: As palavras-passe dos utilizadores são transformadas com hash e salt utilizando a função de derivação de chave scrypt. As palavras-passe em texto simples nunca são armazenadas nem registadas.
Controlo de Acesso Baseado em Funções: A plataforma impõe controlo de acesso baseado em funções (RBAC) com cinco funções distintas — Proprietário, Administrador, Auditor, Editor e Visualizador — cada uma com permissões granulares que garantem que os utilizadores apenas podem aceder a dados e realizar ações adequadas à sua função.
Isolamento Lógico de Tenants: Os dados de cada organização são logicamente isolados dentro da plataforma. Todas as consultas à base de dados e operações de API são delimitadas à organização autenticada, prevenindo o acesso a dados entre tenants.
Bloqueio de Conta: As contas de utilizador são temporariamente bloqueadas após 5 tentativas consecutivas de autenticação falhadas para proteção contra ataques de força bruta.
Autenticação de Dois Fatores: A plataforma suporta autenticação de dois fatores (2FA) utilizando Palavras-passe Únicas Baseadas em Tempo (TOTP), proporcionando uma camada adicional de segurança da conta.
Revisões de Segurança: A BrickGRC realiza revisões de segurança regulares da sua infraestrutura, código da aplicação e controlos de acesso para identificar e remediar potenciais vulnerabilidades.
Backups Encriptados: Os backups da base de dados e armazenamento de ficheiros são encriptados e armazenados de forma segura. Os procedimentos de backup são testados periodicamente para garantir a recuperabilidade dos dados.
A BrickGRC avaliará regularmente a adequação destas medidas e atualizá-las-á conforme necessário para responder a riscos de segurança em evolução e desenvolvimentos tecnológicos, tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do processamento, bem como os riscos para os titulares dos dados.
8. Direitos dos Titulares dos Dados
A BrickGRC assistirá o Responsável pelo Tratamento no cumprimento das suas obrigações de responder a pedidos de Titulares dos Dados que exerçam os seus direitos ao abrigo do RGPD, incluindo os direitos de acesso, retificação, apagamento, limitação do processamento, portabilidade dos dados e oposição. Tal assistência será prestada através de medidas técnicas e organizativas adequadas, na medida do possível.
Se a BrickGRC receber um pedido diretamente de um Titular dos Dados relativamente aos dados do Responsável pelo Tratamento, a BrickGRC notificará prontamente o Responsável pelo Tratamento do pedido e não responderá diretamente ao Titular dos Dados, salvo se autorizada pelo Responsável pelo Tratamento ou exigido pela legislação aplicável.
9. Notificação de Violação de Dados
A BrickGRC notificará o Responsável pelo Tratamento sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que afete os dados do Responsável pelo Tratamento. A notificação será feita para o endereço de email associado à conta do Responsável pelo Tratamento e, quando disponível, através do sistema de notificações da plataforma.
A notificação de violação incluirá, na medida do razoavelmente disponível: uma descrição da natureza da violação de dados pessoais, incluindo as categorias e número aproximado de Titulares dos Dados e registos de dados pessoais afetados; o nome e dados de contacto do ponto de contacto da BrickGRC para mais informações; uma descrição das consequências prováveis da violação; e uma descrição das medidas tomadas ou propostas para resolver a violação, incluindo medidas para mitigar os seus possíveis efeitos adversos.
Quando não for possível fornecer todas as informações no momento da notificação inicial, a BrickGRC fornecerá as informações por fases sem demora injustificada adicional. A BrickGRC cooperará com o Responsável pelo Tratamento e tomará medidas comerciais razoáveis para auxiliar na investigação, mitigação e remediação da violação.
10. Transferências Internacionais de Dados
A infraestrutura principal da BrickGRC está alojada na União Europeia, especificamente em centros de dados da Hetzner localizados na Alemanha. Os dados pessoais são armazenados e processados na UE/EEE por predefinição.
Quando os dados pessoais são transferidos para sub-subcontratantes localizados fora da UE/EEE (por exemplo, para fornecedores de IA para funcionalidades com IA), a BrickGRC garantirá que existem salvaguardas adequadas de acordo com o Capítulo V do RGPD, incluindo a utilização de Cláusulas Contratuais Tipo (CCT) adotadas pela Comissão Europeia, decisões de adequação ou outros mecanismos de transferência aprovados.
Quando o Responsável pelo Tratamento configura o seu próprio fornecedor de IA terceiro através do sistema Bricks, o Responsável pelo Tratamento reconhece que as transferências de dados para esse fornecedor são regidas pelo próprio acordo do Responsável pelo Tratamento com o fornecedor, e o Responsável pelo Tratamento é responsável por garantir que existem salvaguardas de transferência adequadas.
11. Direitos de Auditoria
A BrickGRC disponibilizará ao Responsável pelo Tratamento toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas neste DPA e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Responsável pelo Tratamento ou por um auditor mandatado pelo Responsável pelo Tratamento.
As auditorias serão realizadas sujeitas às seguintes condições: o Responsável pelo Tratamento fornecerá pelo menos 30 dias de aviso prévio por escrito da sua intenção de realizar uma auditoria; as auditorias serão realizadas durante o horário normal de funcionamento da BrickGRC; o Responsável pelo Tratamento e os seus auditores celebrarão obrigações de confidencialidade adequadas (NDA) antes da auditoria; as auditorias serão realizadas de forma a minimizar a perturbação das operações da BrickGRC; e o Responsável pelo Tratamento suportará os custos da auditoria, salvo se a auditoria revelar incumprimento material por parte da BrickGRC.
A BrickGRC pode satisfazer pedidos de auditoria fornecendo ao Responsável pelo Tratamento certificações relevantes, relatórios de auditoria ou resumos de avaliações independentes de terceiros, quando disponíveis, que o Responsável pelo Tratamento pode aceitar em substituição de uma auditoria no local, a seu critério.
12. Eliminação e Devolução de Dados
Após a expiração ou rescisão do Acordo, a BrickGRC fornecerá ao Responsável pelo Tratamento um período de 30 dias durante o qual o Responsável pelo Tratamento pode exportar todos os dados pessoais da plataforma utilizando as ferramentas de exportação disponíveis. A BrickGRC fará esforços razoáveis para assistir o Responsável pelo Tratamento na exportação de dados mediante pedido.
Após a expiração do período de exportação de 30 dias, a BrickGRC eliminará todos os dados pessoais no prazo de 90 dias, incluindo todas as cópias armazenadas em sistemas de produção, backups e ambientes de recuperação de desastres, salvo se a retenção for exigida pela legislação aplicável da União Europeia ou de um Estado-Membro. Quando a retenção for legalmente exigida, a BrickGRC informará o Responsável pelo Tratamento da base legal e limitará o processamento na medida exigida por essa obrigação legal.
A BrickGRC fornecerá confirmação escrita da eliminação de dados mediante pedido do Responsável pelo Tratamento.
13. Confidencialidade
A BrickGRC garantirá que as pessoas autorizadas a processar dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação estatutária adequada de confidencialidade. O acesso a dados pessoais será limitado ao pessoal que necessita de acesso para desempenhar as suas funções em conexão com a prestação do Serviço.
14. Avaliações de Impacto sobre a Proteção de Dados
A BrickGRC prestará assistência razoável ao Responsável pelo Tratamento com avaliações de impacto sobre a proteção de dados e consultas prévias com autoridades de supervisão, na medida exigida ao abrigo dos Artigos 35.º e 36.º do RGPD, tendo em conta a natureza do processamento e a informação disponível à BrickGRC.
15. Lei Aplicável
Este DPA é regido e interpretado de acordo com as leis da República Portuguesa e as disposições aplicáveis do RGPD. Quaisquer disputas decorrentes deste DPA serão submetidas à jurisdição exclusiva dos tribunais de Lisboa, Portugal, sem prejuízo dos direitos dos Titulares dos Dados ou das autoridades de supervisão ao abrigo do RGPD.
16. Contacto
Para questões relativas a este Acordo de Processamento de Dados ou a questões de proteção de dados, contacte-nos em [email protected].