← Back to HoraCerta

Data Processing Agreement (DPA)

(Data Processing Agreement · Art. 28 RGPD)

Last updated: 2026-05-04

Portuguese version. This document is legally binding in Portuguese. Translations into other languages are courtesy only — they do not change your rights or our obligations.

Preâmbulo

Este Acordo de Processamento de Dados (“DPA”) regula o tratamento de dados pessoais entre a HoraCerta (“Subcontratante”) e o Parceiro que utiliza a plataforma (“Responsável pelo Tratamento”), no contexto da utilização da plataforma SaaS HoraCerta para gestão de marcações, clientes e operações.

Este DPA aplica-se automaticamente a todos os parceiros HoraCerta activos e complementa os Termos de Utilização e a Política de Privacidade.

1. Partes

Subcontratante: HoraCerta, fornecida por Mauro Abrantes, NIF 263 647 307, com domicílio fiscal em Coimbra, Portugal. Email para questões de RGPD: privacidade@ahoracerta.pt.

Responsável pelo Tratamento: qualquer pessoa singular ou colectiva (parceiro / tenant) que utilize a plataforma HoraCerta para gerir os seus clientes e marcações.

2. Âmbito e objecto

A HoraCerta trata dados pessoais dos clientes finais do parceiro (i.e. os consumidores que marcam serviços) em nome e por conta do parceiro. O parceiro é o responsável pelo tratamento desses dados; a HoraCerta é o subcontratante.

Categorias de dados tratados:

  • Dados de identificação: nome, email, telemóvel, data de nascimento.
  • Dados de contacto: morada (quando aplicável a serviços ao domicílio).
  • Dados de marcações: serviços marcados, datas, valores, profissional atribuído, notas livres.
  • Dados de comunicação: envios de SMS / email / push, leituras, cliques.
  • Dados técnicos: IP (anonimizado), user-agent, timestamps de acesso.

Categorias de titulares:

  • Clientes finais do parceiro.
  • Colaboradores do parceiro com acesso à plataforma.

Finalidades: apenas as descritas nos Termos de Utilização — gestão de agenda, comunicação com clientes finais, processamento de pagamentos, relatórios operacionais e funcionalidades subscritas pelo parceiro.

Duração: enquanto o parceiro mantiver a sua subscrição activa, mais o período de retenção legalmente exigido (90 dias para backups; 5 anos para registos fiscais quando aplicável).

3. Obrigações da HoraCerta (subcontratante)

A HoraCerta compromete-se a:

  • Tratar os dados pessoais apenas mediante instruções documentadas do parceiro (incluindo as contidas neste DPA, nos Termos e na configuração da plataforma).
  • Garantir que o pessoal autorizado a tratar dados pessoais está sujeito a deveres de confidencialidade.
  • Implementar as medidas técnicas e organizativas adequadas (descritas em §5).
  • Não recorrer a sub-subcontratantes sem aviso prévio (lista mantida em §4).
  • Apoiar o parceiro no cumprimento das suas obrigações de resposta a pedidos dos titulares (acesso, rectificação, portabilidade, apagamento) através de funcionalidades self-service na plataforma e suporte técnico quando necessário.
  • Notificar o parceiro de qualquer violação de dados pessoais sem demora injustificada após tomar conhecimento, e em qualquer caso no prazo máximo de 72 horas.
  • Devolver ou apagar todos os dados pessoais ao fim do serviço, conforme escolha do parceiro, salvo obrigações legais de retenção.
  • Disponibilizar ao parceiro toda a informação necessária para demonstrar o cumprimento deste DPA.

4. Sub-subcontratantes autorizados

O parceiro autoriza a HoraCerta a recorrer aos sub-subcontratantes listados abaixo. Esta lista pode ser actualizada com aviso prévio de 30 dias por email; o parceiro pode opor-se à alteração rescindindo a subscrição sem penalização.

  • Hetzner Online GmbH (Alemanha) — alojamento de servidores e bases de dados. Datacenter na União Europeia.
  • Stripe Payments Europe Ltd. (Irlanda) — processamento de pagamentos por cartão e gestão de subscrições. Não armazenamos dados de cartão; o Stripe é responsável pela conformidade PCI-DSS.
  • Vonage (Reino Unido / EU) — envio de SMS transaccionais (lembretes, confirmações). Apenas o número de telemóvel e o conteúdo da mensagem são partilhados.
  • Provedor SMTP (Alemanha / EU) — envio de emails transaccionais. O nome do provedor é confirmado mediante pedido em privacidade@ahoracerta.pt.
  • Backblaze B2 (UE) — armazenamento secundário cifrado de cópias de segurança. Os ficheiros são encriptados com GPG AES-256 antes do envio; a Backblaze não tem acesso ao conteúdo.

5. Medidas de segurança

A HoraCerta aplica as seguintes medidas técnicas e organizativas:

  • Cifragem em trânsito: TLS 1.2+ em todas as conexões públicas; HSTS preload.
  • Cifragem em repouso: base de dados cifrada ao nível do disco; backups cifrados com GPG AES-256.
  • Controlo de acesso: autenticação JWT com expiração curta; passwords sempre em bcrypt; políticas de RLS (Row-Level Security) por tenant em todas as tabelas.
  • Segregação: dados de cada parceiro logicamente isolados via tenant_id em todas as queries; testes automatizados verificam que não há vazamento entre tenants.
  • Backups: diários, com verificação semanal de restauro; offsite duplo (Hetzner Storage Box + Backblaze B2).
  • Monitorização: Sentry para erros aplicacionais; alertas automáticos para falhas de cron, picos de erro 5xx, e falhas de pagamento.
  • Auditoria: logs imutáveis (append-only) de acções administrativas críticas em activity_log.
  • Gestão de vulnerabilidades: dependências actualizadas via Dependabot; análise automática de SAST em cada commit.

6. Localização e transferências internacionais

Os dados pessoais são armazenados em servidores na União Europeia (Alemanha, datacenter Hetzner). Não existem transferências sistemáticas para fora do EEE.

Sub-subcontratantes baseados fora do EEE (raro; apenas se aplicável a futuras integrações) operam ao abrigo de Cláusulas Contratuais Tipo da Comissão Europeia (Decisão 2021/914) e medidas suplementares avaliadas caso a caso.

7. Apoio nos pedidos dos titulares

A HoraCerta disponibiliza ao parceiro as seguintes ferramentas para cumprir os direitos dos titulares (RGPD Arts. 15-22):

  • Acesso e portabilidade: exportação dos dados de um cliente em formato JSON / CSV directamente do dashboard.
  • Rectificação: edição completa de fichas de cliente.
  • Apagamento: botão de eliminação de conta (cliente final ou parceiro). Os dados são marcados como eliminados (soft delete) e fisicamente removidos após 30 dias, salvo obrigações legais de retenção.
  • Oposição / restrição: opt-out granular por canal (email marketing, SMS, push) e por tenant.
  • Reclamação à CNPD: o titular pode sempre dirigir-se à Comissão Nacional de Protecção de Dados (cnpd.pt).

Se um pedido excede as capacidades self-service, a HoraCerta presta apoio técnico no prazo de 5 dias úteis.

8. Notificação de violação de dados

Em caso de violação de dados pessoais, a HoraCerta notifica o parceiro por email no prazo máximo de 72 horas após tomar conhecimento da violação, incluindo:

  • Natureza e âmbito da violação (categorias e número aproximado de titulares afectados).
  • Consequências prováveis.
  • Medidas tomadas ou propostas para mitigar a violação.
  • Contacto do responsável pela investigação.

9. Auditoria

O parceiro tem o direito de auditar o cumprimento deste DPA pela HoraCerta uma vez por ano civil, com aviso prévio de 30 dias e em horário comercial. Auditorias adicionais por suspeita fundamentada de incumprimento podem ser solicitadas a qualquer momento.

Para reduzir custos mútuos, a HoraCerta aceita demonstrar conformidade através de relatórios de terceiros (quando disponíveis), respostas a questionários SIG / VSA Lite, e visita virtual à infraestrutura.

10. Cessação e devolução de dados

Ao cessar o contrato, o parceiro pode escolher:

  • Exportação completa: ficheiro ZIP com todos os dados em formato CSV / JSON, disponível por 30 dias.
  • Eliminação imediata: apagamento lógico no momento do cancelamento; apagamento físico após 30 dias.

Se o parceiro não comunicar uma escolha, a HoraCerta retém os dados durante 90 dias (período de carência para reactivação) e depois elimina automaticamente.

11. Lei aplicável

Este DPA rege-se pela lei portuguesa e pelo RGPD (Regulamento (UE) 2016/679). Litígios são resolvidos no foro do Tribunal de Coimbra, sem prejuízo da competência da CNPD em matérias da sua jurisdição.

12. Contacto e DPA addendum

Para questões sobre este DPA, pedidos de DPA addendum (cláusulas adicionais específicas), ou notificação de violações:
privacidade@ahoracerta.pt

A HoraCerta responde a pedidos de DPA addendum no prazo de 5 dias úteis.