← Início

Acordo de Tratamento de Dados

Entre o Negócio (responsável pelo tratamento) e a dok (subcontratante), nos termos do artigo 28.º do RGPD.

Última atualização: 6 de julho de 2026

Estes serviços são disponibilizados pela Dok (adiante «dok», «nós» ou «a plataforma»). Contacto: geral@dok.pt · +351 910 249 092.

Este Acordo de Tratamento de Dados («DPA») faz parte integrante dos Termos e Condições e aplica-se ao tratamento, pela dok, de dados pessoais dos Clientes finais por conta do Negócio. Em caso de conflito com os Termos quanto ao tratamento destes dados, prevalece este DPA.

1. Objeto e papéis

  • O Negócio é o responsável pelo tratamento dos dados pessoais dos seus Clientes finais.
  • A dok é subcontratante e trata esses dados exclusivamente por conta e sob instruções documentadas do Negócio, para prestar o serviço descrito nos Termos.
  • A Stripe atua como responsável independente (ou subcontratante próprio) quanto ao processamento de pagamentos, nos termos dos seus próprios acordos.

2. Objeto, duração, natureza e finalidade

  • Natureza e finalidade: alojamento, gestão e processamento de dados necessários à venda de mensalidades e produtos, gestão de clientes, comunicações transacionais e, quando ativado, faturação e marketing.
  • Duração: enquanto vigorar o contrato entre o Negócio e a dok, sem prejuízo dos prazos de conservação legalmente exigidos.
  • Tipos de dados e categorias de titulares: descritos no Anexo A.

3. Obrigações da dok como subcontratante

Nos termos do artigo 28.º do RGPD, a dok obriga-se a:

  • Tratar os dados apenas com base em instruções documentadas do Negócio, incluindo o uso da própria plataforma, salvo obrigação legal em contrário (caso em que informa o Negócio, se permitido).
  • Informar o Negócio se, no seu entender, uma instrução violar o RGPD ou outra legislação de proteção de dados aplicável.
  • Assegurar que as pessoas autorizadas a tratar os dados estão vinculadas a um dever de confidencialidade.
  • Implementar medidas técnicas e organizativas adequadas à segurança do tratamento (artigo 32.º), descritas no Anexo B.
  • Respeitar as condições de recurso a subcontratantes ulteriores (secção 4).
  • Auxiliar o Negócio, na medida do possível, a responder a pedidos de exercício de direitos dos titulares.
  • Auxiliar o Negócio no cumprimento das obrigações dos artigos 32.º a 36.º (segurança, notificação de violações, avaliações de impacto), tendo em conta a natureza do tratamento e a informação disponível.
  • A pedido do Negócio, eliminar ou devolver os dados no termo da prestação do serviço, salvo obrigação legal de conservação.
  • Disponibilizar ao Negócio a informação necessária para demonstrar o cumprimento destas obrigações e permitir auditorias razoáveis, sujeitas a pré-aviso e a deveres de confidencialidade.

4. Subcontratantes ulteriores

O Negócio autoriza a dok a recorrer aos subcontratantes ulteriores listados no Anexo C. A dok impõe a esses subcontratantes obrigações de proteção de dados equivalentes às deste DPA e permanece responsável pelo seu cumprimento. A dok informará o Negócio de alterações previstas à lista, dando-lhe a oportunidade de se opor por motivos razoáveis.

5. Transferências internacionais

Quando o tratamento implique transferências de dados para fora do Espaço Económico Europeu, a dok assegura a existência de garantias adequadas, nomeadamente as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.

6. Violações de dados

A dok notifica o Negócio sem demora injustificada após ter conhecimento de uma violação de dados pessoais que afete os dados tratados por conta do Negócio, fornecendo a informação razoavelmente disponível para que o Negócio cumpra os seus deveres de notificação.

7. Duração e cessação

Este DPA vigora enquanto a dok tratar dados por conta do Negócio. No termo do contrato aplicam-se os prazos de conservação e o processo de anonimização ou eliminação previstos nos Termos (12 meses), sem prejuízo das obrigações legais de conservação de registos.

Anexo A — Detalhes do tratamento

  • Categorias de titulares: Clientes finais do Negócio.
  • Categorias de dados: identificação e contacto (nome, e-mail, telefone, data de nascimento, morada, NIF); dados de compra e utilização (subscrições, produtos, pagamentos); consentimento de marketing e respetivo registo. Os dados de cartão são tratados diretamente pela Stripe.
  • Operações de tratamento: recolha, registo, organização, conservação, consulta, utilização, comunicação a subcontratantes ulteriores e eliminação.

Anexo B — Medidas de segurança

  • Isolamento de dados por negócio ao nível da base de dados (RLS).
  • Cifra de credenciais e de chaves sensíveis (em repouso).
  • Comunicações cifradas em trânsito (TLS).
  • Verificação de assinatura dos webhooks e idempotência.
  • Limitação de tentativas e proteção anti-bot.
  • Registos de auditoria de ações sensíveis.
  • Controlo de acessos e princípio do menor privilégio.

Anexo C — Subcontratantes ulteriores

  • Supabase — base de dados e autenticação.
  • Vercel — alojamento.
  • Resend — envio de e-mails.
  • Inngest — processamento de tarefas em segundo plano (envio de e-mails, faturação, sincronizações).
  • Sentry — monitorização de erros.
  • Upstash — limitação de tentativas.
  • Cloudflare — proteção anti-bot.
  • InvoiceXpress — faturação (quando ativada pelo Negócio).

A Stripe não integra esta lista de subcontratantes ulteriores: no processamento de pagamentos, atua como responsável independente, ao abrigo dos seus próprios acordos (secção 1).

Para questões relativas a este DPA: geral@dok.pt.