Acordo de subcontratação sobre o tratamento de dados pessoais da Sage

(abril de 2025)

O presente Acordo de Subcontratação sobre o tratamento de Dados Pessoais com os seus anexos ("DPA") faz parte do contrato entre a Sage e o Cliente para o fornecimento de produtos de software da Sage ou serviços de aplicações de software baseados na nuvem ao Cliente ("Serviços") (o "Contrato").

 

Em caso de conflito entre os termos do presente DPA e qualquer outra parte do Acordo, aplicar-se-á a seguinte ordem de precedência: (1) qualquer Mecanismo de Transferência aplicável ao Contrato; (2) este DPA; e (3) qualquer outra parte do Contrato.

 

1. DEFINIÇÕES

   Os termos em maiúsculas utilizados no presente DPA que não estejam definidos no presente documento terão o significado que lhes é atribuído ao abrigo da Legislação de Proteção de Dados relevante, e uma lista de termos equivalentes na Legislação de Proteção de Dados pode ser encontrada no Anexo 3. Outros termos capitalizados neste DPA terão o significado que lhes é dado abaixo:

   "Decisão de Adequação": uma decisão da Comissão Europeia, ou de um governo ou organismo autorizado a emitir tal decisão, de acordo com a Legislação de Proteção de Dados, de que um país destinatário assegura um nível adequado de proteção de Dados Pessoais, de modo a que não seja necessário implementar outros passos/mecanismos ao abrigo da Legislação de Proteção de Dados em relação a uma Transferência Restrita para um País Não Adequado.

   "Afiliada": uma entidade que controla, direta ou indiretamente, ou é controlada por, ou está sob controlo comum, da entidade em causa. "Controlo" para efeitos desta definição significa a propriedade ou controlo (direta ou indiretamente) de pelo menos 50% dos direitos de voto na entidade, ou o poder de dirigir a gestão e as políticas da entidade.
   
   "Cliente": a entidade do Cliente que celebrou o Contrato e, quando aplicável, qualquer Afiliado do Cliente

   "Legislação de Proteção de Dados": quaisquer leis, regras e regulamentos locais, nacionais ou internacionais aplicáveis, relacionados com a privacidade, segurança, proteção de dados e/ou o Tratamento de Dados Pessoais, tal como alterados, substituídos ou suplantados de tempos a tempos. Dependendo do local onde o Cliente está sediado, isto pode incluir, mas não está limitado a: (a) o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 ("RGPD"); as leis de proteção de dados dos estados-membros da União Europeia ("UE"); e a Diretiva 2002/58/CE relativa à privacidade e às comunicações eletrónicas; (b) a Lei de Proteção de Dados do Reino Unido de 2018 (e os regulamentos elaborados ao abrigo da mesma) e o RGPD do Reino Unido; e os Regulamentos de Privacidade e Comunicações Eletrónicas (Diretiva CE) de 2003; (c) a Lei de Privacidade do Consumidor da Califórnia de 2018 ("CCPA"); a Lei de Direitos de Privacidade da Califórnia de 2020 ("CPRA"); (d) a Lei de Proteção de Informações Pessoais e Documentos Eletrónicos do Canadá (PIPEDA); (e) a Lei Federal Suíça sobre Proteção de Dados; (f) a Lei de Proteção de Informações Pessoais da África do Sul (POPIA); e (g) a Lei de Privacidade Australiana de 1988.

   "Titular de dados": uma pessoa singular identificada ou identificável que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores em linha ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

   "Informações desidentificadas": informações que não podem ser razoavelmente utilizadas para inferir informações sobre um determinado titular de dados ou para o associar de outra forma.

   "País Não Adequado": um país que não é abrangido por uma Decisão de Adequação.

   "Partes": as partes do presente DPA, especificamente (i) a Sage e (ii) o Cliente, cada uma delas uma "Parte".

   "Dados Pessoais": informação relativa a uma pessoa singular que está incluída nos dados fornecidos, introduzidos ou submetidos pelo Cliente, ou por uma das Afiliadas do Cliente, Utilizadores ou outros em nome do Cliente, nos Serviços fornecidos ao abrigo do Contrato, ou partilhados com a Sage por qualquer meio relacionado com os Serviços e o Contrato.

   "Transferência a um País Não adequado ": uma transferência de Dados Pessoais para um País Não Adequado.

   "Mecanismo de Transferência": o módulo relevante das cláusulas contratuais-tipo para uma Transferência a um País Não adequadonos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, implementado através da Decisão de Execução (UE) 2021/914 da Comissão de 4 de junho de 2021 ("SCC"), conforme adaptado para qualquer jurisdição na medida do permitido pelas Leis de Proteção de Dados, ou mecanismo semelhante em relação a qualquer outra jurisdição, como o modelo de Adenda do Reino Unido ou o modelo de Acordo de Transferência Internacional de Dados do Reino Unido, conforme emitido pelo ICO de acordo com o s.119A da Lei de Proteção de Dados de 2018.

   "Sage": a entidade Sage que executou o Contrato.

   "Dados Pessoais Sensíveis": quaisquer Dados Pessoais aos quais seja atribuído um nível mais elevado de proteção ao abrigo da Legislação de Proteção de Dados.

   "Subcontratante ulterior": outra parte contratada por um Subcontratante para ajudar no tratamento de dados pessoais em nome de um Responsável pelo Tratamento.

   "Utilizador": um indivíduo que está autorizado a utilizar os Serviços (por exemplo, indivíduos a quem foi fornecida uma identificação de utilizador e uma palavra-passe pelo Cliente, ou pela Sage a pedido do Cliente). Os utilizadores podem incluir empregados do Cliente, consultores, contratantes, agentes ou outros terceiros.
   
   

• FUNÇÕES DE TRATAMENTO
  
  
  • 2.1.Exceto conforme estabelecido no Anexo 1 (Finalidade(s) de Tratamento, parte (b)), as Partes concordam que, quando a Legislação de Proteção de Dados se aplica ao Tratamento de Dados Pessoais, o Cliente é o Responsável pelo Tratamento e a Sage é o Subcontratante em relação ao Tratamento (que é descrito mais detalhadamente no Anexo 1) e a Sage agirá de acordo com as instruções documentadas do Cliente e de acordo com a Legislação de Proteção de Dados na realização desse Tratamento.
  • 2.2.Quando o próprio Cliente atua como Subcontratante ao abrigo da Legislação de Proteção de Dados no Tratamento de Dados Pessoais descritos no Anexo 1 em nome dos seus próprios clientes ou de outras partes, a Sage será o Subcontratante ulterior do Cliente, e as obrigações neste DPA aplicar-se-ão à Sage como Subcontratante ulterior.
    
    

1. OBRIGAÇÕES DO CLIENTE
   
   
   • 3.1.O Cliente deverá cumprir a Legislação de Proteção de Dados e deverá garantir que quaisquer Afiliados do Cliente, Utilizadores, outros contactos do Cliente ou outros terceiros que possam utilizar os Serviços cumprem a Legislação de Proteção de Dados no Processamento de Dados Pessoais antes de os partilharem no âmbito da prestação de Serviços Sage ao Cliente.
   • 3.2.O Cliente garante, de forma contínua, que:
     • 3.2.1.tem uma base legal adequada ao abrigo da Legislação de Proteção de Dados para partilhar Dados Pessoais com a Sage no âmbito da prestação dos Serviços; e
     • 3.2.2.quando atua como Subcontratante ao abrigo da Legislação de Proteção de Dados, o Responsável pelo Tratamento relevante autorizou: (i) as instruções de Tratamento de Dados Pessoais do Cliente à Sage (conforme estabelecido neste DPA); (ii) a nomeação da Sage pelo Cliente como Subcontratante ulterior; e (iii) a utilização pela Sage de outros Subcontratantes ulteriores, conforme descrito na cláusula 4.9 (Utilização de Subcontratantes ulteriores).
   • 3.3.O Cliente concorda ainda que deverá:
     • 3.3.1.quando necessário, e conforme exigido pela Legislação de Proteção de Dados, fornecer informação suficiente aos Titulares dos Dados relativamente ao Tratamento dos seus Dados Pessoais, ou obter a mesma, para: (i) o Cliente partilhar os Dados Pessoais com a Sage para a prestação dos Serviços; e (ii) a Sage tratar os Dados Pessoais para os fins estabelecidos no Contrato e de acordo com a Legislação de Proteção de Dados;
     • 3.3.2.não fazer com que a Sage faça algo que a coloque em violação da Legislação de Proteção de Dados ou viole os direitos de qualquer Titular de Dados; e
     • 3.3.3.prestar assistência razoável à Sage no cumprimento das obrigações da Sage ao abrigo da Legislação de Proteção de Dados, incluindo através da celebração de quaisquer alterações ou aditamentos a este DPA que possam ser necessários para refletir quaisquer alterações nas atividades de Tratamento de Dados Pessoais do Cliente ou da Sage, ou de outra forma conforme exigido pela Legislação de Proteção de Dados.
       
       
2. OBRIGAÇÕES DA SAGE

   INSTRUÇÕES

   • 4.1.Ao celebrar o Contrato, em que a Sage atua como Subcontratante ou Subcontratante ulterior, o Cliente está a dar instruções à Sage para tratar os Dados Pessoais para fornecer os Serviços e qualquer apoio relacionado ao Cliente. As atividades de Tratamento de Dados Pessoais da Sage para estes fins estão descritas de forma mais completa no Anexo 1. O Cliente dá ainda instruções à Sage para cumprir as obrigações de Tratamento de Dados Pessoais da Sage como Subcontratante ou Subcontratante ulterior, conforme estabelecido no resto deste DPA.
   • 4.2.A Sage notificará o Cliente de qualquer requisito legal que possa impedir a Sage de cumprir as instruções do Cliente, conforme estabelecido neste DPA, exceto se o requisito legal o proibir.
   • 4.3.A Sage informará o Cliente sem demora se, na opinião da Sage, as instruções dadas pelo Cliente infringirem a Legislação de Proteção de Dados.
   • 4.4.A Sage notificará prontamente o Cliente se determinar que já não pode cumprir as suas obrigações ao abrigo da Legislação de Proteção de Dados ou do presente DPA.
   • 4.5.A Sage deverá cumprir a Legislação de Proteção de Dados enquanto esses Dados Pessoais estiverem sob o seu controlo.
   • 4.6.Quando se aplica a CCPA (com a redação que lhe foi dada pela CPRA):
     • 4.6.1.se a Sage receber Informação Desidentificada do Cliente, a Sage deve (a) tomar medidas razoáveis para garantir que a Informação Desidentificada não pode ser associada a um Titular de Dados ou a um agregado familiar, (b) comprometer-se publicamente a manter e utilizar a Informação Desidentificada de forma desidentificada, e (c) não tentar re-identificar a Informação Desidentificada, exceto com o único objetivo de determinar se os nossos tratamentos de desidentificação satisfazem os requisitos da Legislação de Proteção de Dados aplicável.
     • 4.6.2.Quando a Sage atua como Prestador de Serviços, a Sage não deve combinar Dados Pessoais com Dados Pessoais que receba de ou em nome de outra pessoa ou entidade, ou que recolha a partir das suas próprias interações com um Titular de Dados, exceto para realizar uma finalidade comercial, conforme definido na Legislação de Proteção de Dados aplicável.
     • 4.6.3.A Sage não partilhará, venderá, alugará, libertará, divulgará, disseminará, disponibilizará, transferirá ou comunicará de outra forma, oralmente, por escrito ou por meios eletrónicos ou outros, os Dados Pessoais a outra pessoa ou entidade para: (i) contrapartida monetária ou outra contrapartida valiosa; ou (ii) publicidade comportamental entre contextos para benefício de uma empresa em que não haja troca de dinheiro.
     • 4.6.4.O Cliente terá o direito, mediante notificação, de interromper e corrigir qualquer tratamento não autorizado de dados pessoais.

   SEGURANÇA

   • 4.7.A Sage deve ter sempre em vigor medidas técnicas e organizativas adequadas para evitar qualquer tratamento não autorizado ou ilegal, ou perda ou destruição acidental de Dados Pessoais, tendo em conta o estado da arte, os custos de implementação, a natureza do Tratamento de Dados Pessoais relevante e o risco para os direitos e liberdades dos Titulares de Dados relevantes. Tais medidas de segurança podem incluir:
     • 4.7.1.a pseudonimização ou cifragem de dados pessoais;
     • 4.7.2.a capacidade de restabelecer atempadamente a disponibilidade e o acesso aos dados pessoais em caso de incidente;
     • 4.7.3.a capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas de processamento; e
     • 4.7.4.um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas. Para mais pormenores, consultar: https://www.sage.com/pt-pt/confianca-seguranca/
   • 4.8.A Sage deve
     • 4.8.1.tomar medidas razoáveis para garantir a fiabilidade de todo o pessoal que possa ter acesso aos dados pessoais
     • 4.8.2.garantir que o acesso, caso exista, aos dados pessoais seja estritamente limitado às pessoas que precisam de conhecer e/ou aceder aos dados pessoais para os fins estabelecidos no Contrato; e
     • 4.8.3.garantir que o pessoal autorizado a tratar os dados pessoais se comprometeu a manter a confidencialidade ou está sujeito a uma obrigação legal adequada de confidencialidade.

    

   UTILIZAÇÃO DE SUBCONTRATANTES ULTERIORES

   • 4.9.O Cliente autoriza a utilização de Subcontratantes ulteriores pela Sage e a lista de critérios da Sage utilizados para selecionar e nomear um Subcontratante ulterior, que é a seguinte
     • 4.9.1.A Sage efetuará as devidas diligências razoáveis relativamente à privacidade dos dados e às medidas de segurança dos Subcontratantes ulteriores propostos antes de lhes facultar o acesso aos Dados Pessoais;
     • 4.9.2.A Sage realizará avaliações do impacto da proteção de dados antes de nomear um Subcontratante ulterior quando qualquer Tratamento de Dados Pessoais por um Subcontratante ulterior for suscetível de resultar num risco elevado para os direitos e liberdades dos Titulares dos Dados;
     • 4.9.3.conforme exigido pela Legislação de Proteção de Dados, a Sage assegurará que estabelece um contrato com qualquer Subcontratante ulterior nomeado que imponha ao Subcontratante ulterior, em substância, as mesmas obrigações de proteção de dados que são impostas à Sage neste DPA; e
     • 4.9.4.A Sage manterá as suas relações com os Subcontratantes ulteriores sob revisão e tomará quaisquer medidas adicionais que possam ser exigidas ao abrigo da Legislação de Proteção de Dados ou em relação a quaisquer alterações às atividades de Tratamento de Dados Pessoais do Cliente ou da Sage.
   • 4.10. A Sage continuará a ser totalmente responsável perante o Cliente pelo cumprimento das obrigações do Subcontratante ulterior no âmbito do contrato do Subcontratante ulterior com a Sage.
   • 4.11.A lista dos Subcontratantes da Sage pode ser encontrada aqui. Dada a organização internacional da Sage, as Afiliadas da Sage podem estar envolvidas no Tratamento de Dados Pessoais, em particular para fins de apoio. Quando tal acontece, as Afiliadas da Sage atuam como Subcontratantes ulteriores e os acordos de tratamento de dados intragrupo regem o Tratamento de Dados Pessoais. Contacte a Sage caso necessite de informações sobre Subcontratantes ulteriores para um Serviço que não esteja incluído na lista da ligação acima.
   • 4.12.Se a Sage pretender efetuar quaisquer alterações aos Subcontratantes ulteriores, a Sage atualizará a lista e informará o Cliente sempre que considerar que tal terá um efeito material sobre os Serviços prestados ao Cliente, conforme exigido pela Legislação de Proteção de Dados aplicável e conforme descrito nos termos específicos da região, e o Cliente poderá opor-se razoavelmente a tais alterações no prazo de trinta (30) dias.

   TRANSFERÊNCIAS INTERNACIONAIS

   • 4.13.O Cliente reconhece e aceita que a prestação dos Serviços pode envolver o Tratamento de Dados Pessoais pela Sage ou pelos seus Subcontratantes ulteriores em países fora do país em que o Cliente, as Afiliadas do Cliente ou os Utilizadores estão sediados, sujeito aos termos do presente DPA.
   • 4.14. A Sage deverá cumprir a Legislação de Proteção de Dados na realização de quaisquer transferências internacionais de Dados Pessoais. Dependendo da transferência e da região em que o Cliente, as Filiais do Cliente ou os Utilizadores estão localizados, aplicar-se-ão disposições específicas de transferência internacional que podem incluir, quando aplicável, os acordos de tratamento de dados intra-grupo da Sage ou qualquer outra Documentação de Transferência Restrita.
   • 4.15.O Cliente concorda que a Sage pode transferir Dados Pessoais entre Afiliadas da Sage nos termos dos seus acordos de tratamento de dados intra-grupo, que incorporam mecanismos de transferência de dados adequados.
   • 4.16. Quando a Legislação de Proteção de Dados se aplica a uma Transferência Restrita entre o Cliente e uma Afiliada da Sage e nenhum outro mecanismo de transferência válido se aplica a essa transferência, as SCCs da UE (módulo controlador-controlador, módulo controlador-processador, e/ou módulo processador-processador em conformidade) serão aplicadas dependendo das funções respetivas de cada parte como responsável pelo tratamento ou subcontratante, cujos detalhes estão definidos no Anexo 2.
     
     

   VIOLAÇÃO DE DADOS PESSOAIS

   • 4.17.No caso de uma Violação de Dados Pessoais, a Sage notificará o Cliente sem demora injustificada e tomará as medidas que a Sage considere razoavelmente necessárias e possíveis para conter e mitigar os efeitos de tal Violação de Dados Pessoais (sujeito a quaisquer instruções do Cliente sobre o mesmo).
   • 4.18.A notificação referida na cláusula 4.17 supra deve, no mínimo:
     • 4.18.1. descrever a natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados em causa e as categorias e o número aproximado de registos de dados pessoais em causa;
     • 4.18.2.comunicar o nome e os dados de contacto do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
     • 4.18.3.descrever as consequências prováveis da violação de dados pessoais; e
     • 4.18.4.descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para resolver o problema da violação de dados pessoais, incluindo, se for caso disso, as medidas destinadas a atenuar os seus eventuais efeitos negativos. Se, e na medida em que não seja possível fornecer as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem mais demoras injustificadas.

   AUDITORIA

   • 4.19.Sujeito a quaisquer disposições de auditoria no Contrato, a Sage fornecerá ao Cliente as informações razoavelmente necessárias para demonstrar a conformidade da Sage com este DPA ou permitirá que o Cliente realize uma auditoria do Tratamento da Sage dos Dados Pessoais relevantes, a custo e despesa exclusivos do Cliente.
   • 4.20.A frequência das auditorias definidas na cláusula 4.19 acima não deverá ser superior a uma vez por ano. Tal não prejudica o direito do Cliente de efetuar outras auditorias numa base ad hoc em caso de violações das obrigações de proteção de dados por parte da Sage ou dos Subcontratantes ulteriores da Sage.
     
     

   OUTROS

   • 4.21.A Sage deverá, sem atrasos indevidos, notificar o Cliente relativamente a qualquer comunicação de um Titular de Dados, Autoridade de Controlo ou outro organismo relativamente a Dados Pessoais.
   • 4.22. Tendo em conta a natureza do tratamento, a Sage deve
     • 4.22.1.prestar assistência ao Cliente através de medidas técnicas e organizativas adequadas, na medida do possível, para quaisquer obrigações que o Cliente tenha ao abrigo das Legislação de Proteção de Dados para responder a pedidos de indivíduos para o exercício dos seus direitos;
     • 4.22.2.fornecer ao Cliente assistência razoável para cumprir quaisquer obrigações que tenha ao abrigo da Legislação de Proteção de Dados relacionadas com: (i) garantir a segurança dos Dados Pessoais; (ii) notificações de Violações de Dados Pessoais às Autoridades de Controlo; (iii) consultas prévias com as Autoridades de Controlo; (iv) comunicação de quaisquer Violações de Dados Pessoais aos Titulares dos Dados; e (v) avaliações de impacto sobre a proteção de dados.
   • 4.23. Quando a Sage atua como Subcontratante ou Subcontratante ulterior em nome do Cliente, no final da prestação dos Serviços pela Sage, a Sage deverá, à escolha do Cliente, eliminar ou devolver ao Cliente todos os Dados Pessoais tratados pela Sage em nome do Cliente e eliminar as cópias existentes, a menos que a Legislação de Proteção de Dados exija o armazenamento dos Dados Pessoais.

Anexo 1 - DESCRIÇÃO DO TRATAMENTO DE DADOS PESSOAIS

Categorias de titulares de dados cujos dados pessoais são tratados

Dependendo dos Dados Pessoais que o Cliente, um Afiliado do Cliente ou um Utilizador submete aos Serviços, ou de outra forma partilha com a Sage, em relação aos Serviços fornecidos ao abrigo do Contrato, a Sage pode Tratar Dados Pessoais relacionados com os seguintes indivíduos:

• Empregados, contratantes, trabalhadores, candidatos ou outro pessoal do cliente;
• Fornecedores, clientes, parceiros comerciais ou potenciais clientes do cliente (quando essas partes são pessoas singulares);
• Utilizadores, na medida em que não estejam abrangidos acima; e
• Outros contactos que o Cliente possa ter (quando se trata de pessoas singulares e não abrangidas acima).

 

Categorias de dados pessoais tratados

Os Dados Pessoais que o utilizador submete aos Serviços fornecidos ao abrigo do Acordo, ou que partilha de outra forma com a Sage ou com uma Afiliada da Sage, para que a Sage forneça esses Serviços, são determinados pelo Utilizador à sua discrição. Como muitos dos nossos Serviços são personalizáveis, os Dados Pessoais submetidos/partilhados dependerão frequentemente das opções e do método de comercialização escolhido pelo Utilizador.

Segue-se uma análise dos Dados Pessoais tratados pela Sage para fornecer os nossos principais Serviços (desde que estes dados estejam relacionados com um indivíduo).

• Informações sobre o perfil da empresa: nome e dados de contacto, dados de registo, tipo de empresa, local de registo, dados de pagamento, informações e histórico de transações, registos fiscais, informações sobre relações e correspondência com a empresa.
• Informações sobre a fatura: nome e dados de contacto, informações sobre a conta, dados de registo, número de identificação fiscal, montante do pagamento, condições de pagamento e informações sobre os serviços abrangidos pela fatura.
• Informações sobre o cálculo das folhas de pagamento (apenas para produtos/complementos de cálculo das folhas de pagamento): nome e dados de contacto, números de registo/referência, montante da remuneração de base, tipos e montantes de impostos, tipos e montantes de deduções, montantes e frequência de pagamentos, dados da conta bancária, código fiscal, número da segurança social, período de pagamento, rendimentos brutos e líquidos, totais de horas, montantes de subsídio de doença e de férias.
• Informações de RH (apenas para produtos de RH/complementos de RH): nome, função, nível na organização, endereço e outros dados de contacto, informações sobre a folha de pagamentos (ver acima), data de nascimento, registos de avaliação, registos de ausência, registos de doença, informações sobre férias (datas de férias, duração, motivo, frequência), registos disciplinares e de queixas, histórico de empregos e salários, familiares mais próximos, dependências, informações de contacto de emergência.
• Informações de planeamento e previsão (apenas para produtos ou complementos de relatórios/previsões): informações nas categorias acima (conforme aplicável), registos de inventário, registos de encomendas e de armazenamento.
• Informações sobre a gestão de clientes (apenas para produtos/acessórios de gestão de clientes): nome, endereço e outras informações de contacto e outras informações pessoais em cartas e propostas de compromisso, informações sobre combate ao branqueamento de capitais (AML) e informações sobre conhecer o seu cliente (KYC).
• Informações capturadas através de qualquer funcionalidade adicional específica necessária (dependendo do tipo de funcionalidade): informações nas categorias acima (conforme aplicável), informações bancárias, informações de comunicação (tais como transações correspondentes a fatores de emissão que criam uma estimativa inicial da pegada de carbono), informações de previsão e predição (custos previstos, vendas, despesas, dinheiro, lucros, obrigações fiscais, faturas/faturas em atraso, orçamentos e comparações).

Os Dados Pessoais Sensíveis (incluindo dados de "Categoria Especial" ao abrigo do RGPD, ou seja, dados que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, e dados genéticos, dados biométricos com o objetivo de identificar exclusivamente uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular) podem, por vezes, ser capturados e transferidos em ligação com os Serviços, se partilhados por um Titular de Dados descrito acima.

A Sage garante que aplica restrições ou salvaguardas adicionais no que diz respeito ao Tratamento de Dados Pessoais Sensíveis, nomeadamente assegurando que: (i) o Tratamento de Dados Pessoais Sensíveis é evitado sempre que possível; (ii) são seguidos processos de responsabilização (por exemplo, a realização de avaliações sobre o impacto da proteção de dados) em relação ao Tratamento de Dados Pessoais Sensíveis; (iii) é dada formação adequada ao pessoal sobre o tratamento de Dados Pessoais Sensíveis; (iv) são aplicadas medidas contratuais e de diligência devida adicionais sempre que possível; e (v) são aplicadas anonimização, pseudonimização e proteção por palavra-passe aos Dados Pessoais Sensíveis sempre que possível.

Frequência do tratamento

Base contínua com base na utilização dos Serviços pelo Cliente ou por uma Filial do Cliente.

Natureza do tratamento

A Sage pode tratar os Dados Pessoais acima descritos das seguintes formas para fornecer os Serviços ao Cliente: recolha, registo, organização, estruturação, armazenamento, cópia, exibição, reformatação, adaptação ou alteração, anonimização, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição, sincronização com serviços na nuvem.

Objetivo(s) do tratamento

1. Os Dados Pessoais são Tratados pela Sage como Subcontratante (ou Subcontratante ulterior, quando o Cliente é um Subcontratante) para fornecer, proteger, apoiar, ativar, melhorar e manter os Serviços em ligação com o Contrato. Se o Cliente optar por subscrever ou interagir com quaisquer Serviços adicionais específicos (conforme descrito no Contrato), a Sage poderá carregar, copiar e/ou transferir os Dados Pessoais do Cliente para facilitar estas opções. Quando aplicável, isto pode incluir a sincronização dos Dados Pessoais do Cliente com determinados Serviços baseados na nuvem da Sage. Se o Cliente optar por ligar os Serviços a produtos ou serviços de terceiros, a Sage utilizará os Dados Pessoais do Cliente para efetuar essa ligação. Quando a Sage receber Dados Pessoais devido a essa ligação, a Sage utilizará esses Dados Pessoais em conformidade com o Contrato.
2. Se o Cliente instruir a Sage para Tratar Dados Pessoais como parte de um Serviço que utiliza inteligência artificial, tal poderá ser efetuado pela Sage como Responsável pelo Tratamento. A Sage também Trata Dados Pessoais como Responsável pelo Tratamento para os fins definidos no Aviso de Privacidade da Sage. Em todos esses casos, a Sage cumprirá todas as disposições relevantes deste DPA e os requisitos da Legislação de Proteção de Dados.

3. Não obstante qualquer disposição em contrário na secção anterior, onde a CCPA (conforme alterada pela CPRA) se aplica, se o Cliente optar ou de outra forma instruir a Sage a Tratar Dados Pessoais como parte de um Serviço que utiliza inteligência artificial, a Sage tratará os Dados Pessoais como um Prestador de Serviços para usos exclusivamente internos, quando permitido pela Legislação de Proteção de Dados aplicável.Quando a Legislação de Proteção de Dados proíbe a Sage de Tratar Dados Pessoais para utilizações exclusivamente internas, a Sage cumprirá o seguinte:
   1. A Sage tratará os Dados Pessoais apenas com o objetivo limitado e especificado de fornecer o Serviço que utiliza inteligência artificial.
   2. A Sage cumprirá a Legislação de Proteção de Dados aplicável, incluindo o fornecimento do mesmo nível de proteção para os Dados Pessoais que o exigido pela Legislação de Proteção de Dados.
   3. O Cliente pode tomar medidas razoáveis e adequadas para garantir que a Sage utiliza os Dados Pessoais de uma forma consistente com as obrigações impostas pela Legislação de Proteção de Dados aplicável, e o Cliente pode, mediante notificação, tomar medidas razoáveis e adequadas para remediar a utilização não autorizada de Dados Pessoais.

A Sage notificará prontamente o Cliente se determinar que já não pode cumprir as suas obrigações ao abrigo da Legislação de Proteção de Dados aplicável ou deste DPA.

Anexo 2 - Documentação de transferência restrita

 

OPÇÕES E ANEXOS I, II E III DAS SCC DA UE

1.1            OPÇÕES:

Módulo utilizado	O Módulo 1 das SCC deve ser utilizado quando o Cliente e a Sage atuam como responsáveis pelo tratamento dos Dados Pessoais. O Módulo 2 das SCC deve ser utilizado quando o Cliente atua como Responsável pelo Tratamentoe a Sage atua como Subcontratantedos Dados Pessoais. O Módulo 3 das SCC deve ser utilizado quando o Cliente atua como Subcontratantee a Sage atua como Subcontratantedos Dados Pessoais.
Cláusula 7 (Cláusula de atracagem)	A cláusula facultativa de acoplamento deve ser incluída
Cláusula 9 (a) (Utilização de subcontratantes)	Para os módulos 2 e 3, aplica-se a opção 2 e o prazo especificado deve ser um prazo razoável
Cláusula 11 (Recurso)	A língua facultativa não deve ser incluída
Cláusula 13 (Controlo)	A autoridade de controlo competente é a autoridade de controlo: a) do Estado-Membro da UE em que o exportador de dados está estabelecido; b) se o exportador de dados não tiver um estabelecimento na UE, do Estado-Membro da UE em que o representante do exportador de dados está estabelecido; ou c) se o exportador de dados não tiver um estabelecimento na UE e não for obrigado a nomear um representante, de um dos Estados-Membros em que as pessoas em causa estão localizadas
Cláusula 17 (Direito aplicável)	Para o Módulo 1, aplica-se a Opção 1 e a lei especificada será a lei aplicável do Acordo ou a lei aplicável do país em que o exportador de dados tem a sua sede, e para os Módulos 2 e 3,aplica-se a Opção 2 e a lei especificada será a lei aplicável do Acordo ou, se não se encontrar no EEE/Reino Unido, a lei aplicável do país em que o exportador de dados tem a sua sede, (em cada casoapenas para as SCC da UE)
Cláusula 18 (Escolha do foro e da jurisdição)	De acordo com as disposições do Acordo relativas à jurisdição ou, se não se encontrar no EEE/Reino Unido, a lei aplicável do país em que o exportador de dados está estabelecido (apenas para as SCC da UE).

 

As secções adicionais do módulo "Transferências entre Subcontratantes" constantes das cláusulas 14, 15 e 16 devem ser incluídas sempre que o módulo "Transferências entre Subcontratantes" se aplique à transferência.

ANEXO I A: LISTA DAS PARTES:

Exportador(es) de dados: Cliente

Nome e endereço: tal como fornecidos à Sage

Nome, cargo e dados de contacto da pessoa a contactar: tal como fornecidos à Sage

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: obter os Serviços ao abrigo do Contrato.

Assinatura e data: conforme acordo confirmado ou executado pelo Cliente

Função (controlador/processador): Responsável pelo Tratamento ou Subcontratante, consoante a função do Cliente.

Importador(es) de dados: (consoante o serviço): Brightpearl, Inc., Intacct Software Private Ltd, Ocrex Australia Pty Ltd, Ocrex, Inc. (US), Sage Budgeta, Inc., Sage Business Solutions Pty Limited, Sage Business Technology (India) Private Limited (Anteriormente conhecida como Ocrex Enterprises Private Limited), Sage Global Services Limited, Sage Intacct, Inc., Sage Software Holdings, Inc., Sage Software, Inc., Sage Software North America, Sage South Africa Proprietary Limited, e possivelmente outros importadores na Sage Software North America, Sage South Africa Proprietary Limited, e possivelmente outros importadores no Serviço, Sage Software Holdings, Inc., Sage Software, Inc., Sage Software North America, Sage South Africa Proprietary Limited, e possivelmente outros importadores do grupo Sage de tempos a tempos (ver páginas de assinatura)

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: prestar os Serviços ao abrigo do Acordo.

 

Função (responsável pelo tratamento / subcontratante): Subcontratante

 

ANEXO I B: DESCRIÇÃO DA TRANSFERÊNCIA:

Ver Anexo 1.

Adicionalmente:

(a) A frequência da transferência (por exemplo, se os dados são transferidos numa base pontual ou contínua): os Dados Pessoais podem ser transferidos numa base contínua durante a duração dos Serviços.

(b) O período durante o qual os Dados Pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período: os Dados Pessoais descritos no Anexo 1 serão conservados durante o tempo necessário para a prestação dos Serviços e para que o importador de dados cumpra quaisquer requisitos ou obrigações legais aplicáveis.

(c) Para transferências para (sub)contratantes, especificar também o objeto, a natureza e a duração do tratamento: o objeto, a natureza e a duração da subcontratação são os descritos no Apêndice 1 e acima.

ANEXO I C: AUTORIDADE DE CONTROLO COMPETENTE

De acordo com a Cláusula 13 (Supervisão) das Opções

ANEXO II: MEDIDAS TÉCNICAS E ORGANIZATIVAS

Disponível em https://www.sage.com/pt-pt/confianca-seguranca/ou mediante pedido

 

ANEXO II: MEDIDAS TÉCNICAS E ORGANIZATIVAS

De acordo com a Parte 3 da DPA

ANEXO III: LISTA DE SUBCONTRATANTES

Ver cláusula 5 da DPA

 

ANEXO III: LISTA DE SUBCONTRATANTES

Ver aqui

 

1.2       PARTES 1 E 2 DA ADENDA DO REINO UNIDO (os termos definidos utilizados na presente secção terão o significado que lhes é atribuído na Adenda do Reino Unido. Se não estiverem definidos na Adenda do Reino Unido, terão o significado que lhes é atribuído no DPA).

Parte 1: Quadros

Quadro 1: Partes

Data de início	Data de início do acordo
As partes	Exportador (que envia a Transferência Restrita)	Importador (que recebe a Transferência Restrita)
Dados das partes	Cliente	Como indicado na secção 1.1 do presente Anexo 2.
Contacto principal	Conforme fornecido à Sage	Como indicado na secção 1.1 do presente Anexo 2.

 

Quadro 2: SCC, módulos e cláusulas selecionadas da UE

Adenda SCC da UE

A versão das SCC aprovadas da UE à qual a presente adenda é anexada.

Módulo	Módulo em funcionamento	Cláusula 7 (Cláusula de atracagem)	Cláusula 11 (Opção)	Cláusula 9a (Autorização prévia ou autorização geral)	Cláusula 9a (Período de tempo)	Os Dados Pessoais recebidos do importador são combinados com os Dados Pessoais recolhidos pelo Exportador?
1	Módulo 1	Sim	Não	N/A	N/A	Pode ocorrer ocasionalmente, em função das necessidades do Exportador
2	Módulo 2	Sim	Não	Autorização geral	Período de tempo razoável	Pode ocorrer ocasionalmente, em função das necessidades do Exportador
3	Módulo 3	Sim	Não	Autorização geral	Período de tempo razoável	Pode ocorrer ocasionalmente, em função das necessidades do Exportador

 

Quadro 3: Informações do apêndice

"Informação do Apêndice" significa a informação que deve ser fornecida para os módulos selecionados, tal como consta do Apêndice das SCC aprovadas da UE (exceto as Partes), e que, no caso da presente Adenda, consta da secção 1.1 do presente Anexo 2.

 

Quadro 4: Fim da presente adenda em caso de alteração da Adenda Aprovada

Terminar a presente adenda quando a Adenda aprovada for alterada

As Partes podem pôr termo à presente Adenda nos termos da Secção‎19: Importador Exportador nenhuma das partes

Parte 2: Cláusulas obrigatórias

Parte 2: Cláusulas Obrigatórias da Adenda Aprovada, sendo o modelo de Adenda B.1.0 emitido pela OIC e apresentado ao Parlamento em conformidade com a secção 119A da Lei de Proteção de Dados de 2018, em 2 de fevereiro de 2022, tal como revisto ao abrigo da secção‎‎ 18 das referidas Cláusulas Obrigatórias, são incorporadas no presente documento.

1.3            PARTES 1 - 4 DA IDTA DO REINO UNIDO

Parte 1: Quadros

Quadro 1: Partes e assinaturas

Ver secção 1.1 do presente Anexo 2.

Quadro 2: Detalhes da transferência

Lei do país do Reino Unido que rege a IDTA:	Inglaterra e País de Gales
Local principal para a apresentação de acções judiciais pelas Partes	Inglaterra e País de Gales
O estatuto do Exportador	Ver secção 1.1 do presente Anexo 2
O estatuto do Importador	Ver secção 1.1 do presente Anexo 2
Acordos associados	(a) Se o importador for um responsável pelo tratamento -o Acordo (incluindo o APD) (b) Se o Importador for o Subcontratante ou o subcontratante ulterior do Exportador- o Acordo (incluindo o DPA) (c) Se o Exportador for um Subcontratante ou Subcontratante ulterior- o(s) acordo(s) entre o Exportador e a(s) Parte(s) que estabelece(m) as instruções do Exportador para o Tratamento dos Dados Transferidos
Prazo	O importador pode tratar os dados transferidos durante o período de tempo que se segue: O período de vigência do Acordo Vinculado (a)
Terminar o IDTA antes do fim do prazo de vigência	As partes podem rescindir o ACDI antes do termo do prazo de vigência mediante um pré-aviso escrito de seis meses, tal como previsto na secção 29 (Como rescindir este ACDI sem que haja uma infração).
Terminar a IDTA quando a IDTA aprovada muda	Quais as partes que podem pôr termo ao ACDI, tal como previsto na secção‎29.2: Importador ou exportador
O Importador pode efetuar outras transferências dos Dados Transferidos?	O Importador pode transferir os Dados Transferidos para outra organização ou pessoa (que seja uma entidade jurídica diferente) em conformidade com a Secção 16.1 (Transferência dos Dados Transferidos).
Restrições específicas quando o Importador pode transferir os Dados Transferidos	Não existem restrições específicas.
Datas de revisão	As Partes devem rever os requisitos de segurança sempre que haja uma alteração dos dados transferidos, das finalidades, das informações do importador, da ARC ou da avaliação dos riscos.

Quadro 3: Dados transferidos

Dados transferidos	Ver Anexo 1 do DPA
Categorias especiais de dados pessoais e condenações e infracções penais	Ver Anexo 1 do DPA
Sujeitos de dados relevantes	Ver Anexo 1 do DPA
Objetivo	Ver Anexo 1 do DPA

Quadro 4: Requisitos de Segurança

Ver Anexo II do Esquema 2

Cláusulas obrigatórias

São incorporados os seguintes elementos: Parte 4: Cláusulas Obrigatórias da IDTA Aprovada, sendo o modelo IDTA A.1.0 emitido pela OIC e apresentado ao Parlamento em conformidade com o artigo 119.º-A da Lei da Proteção de Dados de 2018, em 2 de fevereiro de 2022, tal como revisto ao abrigo da Secção‎ 5.4 das referidas Cláusulas Obrigatórias.

1.4 ASSINATURAS DOS AFILIADOS DA SAGE (na medida em que atuam como importadores de dados): ver páginas aqui.

 

Anexo 3 - Termos equivalentes

 

Termo no DPA	Termos equivalentes noutras leis de proteção de dados
Dados Pessoais	Informações pessoais, informações pessoais identificáveis
Controlador	Responsável, Empresa
Violação de Dados Pessoais	Compromisso de segurança, violação de dados POPIA
Subcontratante	Operador, prestador de serviços, empreiteiro
Titular dos dados	Consumidor

Download em formato PDF