Legal · B2B

Contrato de Tratamento de Dados

Data Processing Agreement (DPA) · Art. 28 RGPD · Lei n.º 58/2019 · Última atualização: 6 de abril de 2026

O presente Contrato de Tratamento de Dados ("DPA") é celebrado entre a Neobotic, Lda., na qualidade de Subcontratante, e o cliente empresarial que subscreveu os Termos de Serviço da plataforma Neobotic Hub, na qualidade de Responsável pelo Tratamento. Este DPA é parte integrante e inseparável do contrato principal de serviços. Em caso de conflito entre este DPA e os Termos de Serviço, as disposições deste DPA prevalecem em matéria de proteção de dados.

1. Partes e definições

Para efeitos do presente DPA, entende-se por:

  • "Responsável pelo Tratamento" ou "Responsável": O cliente empresarial (tenant) que subscreve a plataforma Neobotic Hub e determina as finalidades e os meios do tratamento de dados pessoais dos seus utilizadores finais, residentes ou colaboradores.
  • "Subcontratante" ou "Processador": A Neobotic, Lda., empresa com sede em Portugal, NIF PT 515 XXX XXX, que trata os dados pessoais por conta e segundo as instruções documentadas do Responsável.
  • "RGPD": Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
  • "Lei n.º 58/2019": Lei portuguesa que assegura a execução, na ordem jurídica nacional, do RGPD, de 8 de agosto de 2019.
  • "Dados Pessoais": Qualquer informação relativa a uma pessoa singular identificada ou identificável, conforme definida no Art. 4(1) do RGPD, tratada através da plataforma Neobotic Hub no contexto da relação contratual.
  • "Violação de Dados Pessoais": Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso não autorizado a dados pessoais transmitidos, conservados ou de outro modo tratados.
  • "Sub-subcontratante": Qualquer terceiro contratado pelo Subcontratante para prestar serviços que impliquem o tratamento de dados pessoais do Responsável.

Contacto do Subcontratante para matérias de proteção de dados

Neobotic, Lda.

NIF: PT 515 XXX XXX · Sede: Portugal (União Europeia)

Encarregado de Proteção de Dados (DPO): privacidade@neobotic.ao

2. Objeto e duração

O presente DPA rege o tratamento de dados pessoais efetuado pelo Subcontratante (Neobotic, Lda.) por conta do Responsável no âmbito da prestação dos serviços da plataforma Neobotic Hub — plataforma multi-tenant de gestão e automação de edifícios inteligentes (IoT).

O DPA entra em vigor na data de aceitação dos Termos de Serviço pelo Responsável e mantém-se em vigor enquanto o contrato principal de serviços se encontrar ativo. Cessa automaticamente com a rescisão ou expiração do contrato principal, sem prejuízo das obrigações de eliminação e devolução de dados previstas na Cláusula 11.

3. Natureza e finalidade do tratamento

O Subcontratante trata dados pessoais exclusivamente para as seguintes finalidades, determinadas e documentadas pelo Responsável:

  • Gestão de identidade e controlo de acesso: autenticação dos utilizadores do Responsável, gestão de sessões, controlo de acesso baseado em papéis (RBAC) e auditoria de ações na plataforma.
  • Operação de dispositivos IoT: recolha de estados de dispositivos, transmissão de comandos, execução de regras de automação e armazenamento de histórico de eventos via protocolo MQTT.
  • Monitorização de energia: recolha, armazenamento e apresentação de métricas de consumo energético associadas a dispositivos e divisões.
  • Gestão de câmaras IP: proxy de snapshots e streams RTSP/HLS/WebRTC via MediaMTX self-hosted; registo de acessos aos feeds de câmara (logs de acesso, não conteúdo de vídeo).
  • Notificações e comunicações: envio de notificações push para dispositivos móveis registados e emails transacionais (alertas de segurança, reset de password).
  • Segurança e conformidade: audit logging de ações administrativas, deteção de anomalias, prevenção de acesso não autorizado e cumprimento de obrigações legais.

O Subcontratante não utiliza os dados pessoais do Responsável para fins próprios, designadamente para análise de mercado, publicidade, elaboração de perfis comerciais ou qualquer finalidade não prevista no presente DPA.

4. Tipo de dados pessoais tratados

No âmbito dos serviços prestados, o Subcontratante trata as seguintes categorias de dados pessoais:

CategoriaDados concretos
Dados de identificação e contaNome completo, endereço de email, função (role) na organização, hash de password (Argon2id), data de criação/última alteração de conta.
Dados de autenticaçãoSegredo TOTP cifrado (AES-256-GCM), hashes dos códigos de recuperação 2FA, histórico dos últimos 5 hashes de password, tokens de reset (expiração: 1h).
Dados de dispositivos IoTIdentificadores de dispositivos, estados (ligado/desligado, temperatura, humidade, consumo), comandos executados, timestamps de eventos, configurações e credenciais de acesso cifradas.
Métricas de energiaConsumo em kWh por dispositivo e por divisão, timestamps de medição, histórico configurável (máx. 2 anos).
Logs de acesso a câmarasRegisto de quem acedeu a que câmara e quando (user ID, timestamp, IP de origem). O Subcontratante não armazena conteúdo de vídeo — streams ficam em infraestrutura self-hosted do Responsável.
Tokens de notificação pushToken de dispositivo móvel para envio de notificações push, cifrado em repouso (AES-256-GCM).
Dados técnicos e de auditoriaEndereço IP, user-agent, timestamps de sessão, audit log de ações administrativas (365 dias de retenção em Redis), logs de execução de regras de automação.
Dados de consentimento (RGPD)Data e versão do consentimento RGPD dado pelo utilizador (consent_given_at, consent_version).

Nota: O tratamento de categorias especiais de dados pessoais (Art. 9 RGPD) não é previsto nem autorizado no âmbito da plataforma Neobotic Hub. O Responsável compromete-se a não introduzir tais dados no sistema sem acordo escrito prévio.

5. Categorias de titulares de dados

Os dados pessoais tratados no âmbito deste DPA referem-se às seguintes categorias de titulares:

  • Utilizadores finais do Responsável: Administradores, técnicos e operadores do tenant que acedem à plataforma Neobotic Hub para gerir dispositivos, regras e configurações.
  • Residentes e ocupantes: Pessoas singulares que habitam ou frequentam os espaços onde os dispositivos IoT geridos pelo Responsável estão instalados, cujos dados de comportamento (presença, consumo) podem ser indiretamente recolhidos.
  • Colaboradores e funcionários do Responsável: Profissionais que utilizam a plataforma no exercício das suas funções laborais (técnicos de manutenção, gestores de facilities, pessoal de segurança).
  • Visitantes: Pessoas cuja entrada/saída pode ser registada por sistemas de controlo de acesso ou câmaras geridos pelo Responsável através da plataforma.

6. Obrigações do Subcontratante (Art. 28 RGPD)

Nos termos do Art. 28(3) do RGPD, o Subcontratante compromete-se a:

a) Tratar apenas segundo instruções documentadas

O Subcontratante trata os dados pessoais exclusivamente com base nas instruções documentadas do Responsável, tal como definidas nos Termos de Serviço e no presente DPA. Se o Subcontratante entender que uma instrução viola o RGPD ou a Lei n.º 58/2019, informará imediatamente o Responsável por escrito, podendo suspender o cumprimento dessa instrução até resolução.

b) Confidencialidade

O Subcontratante garante que as pessoas autorizadas a tratar os dados pessoais assumiram compromissos de confidencialidade ou estão sujeitas a obrigação legal de sigilo equivalente. O acesso aos dados é restrito ao pessoal técnico estritamente necessário para a prestação do serviço, numa base de necessidade de conhecimento (need-to-know).

c) Medidas de segurança (Art. 32 RGPD)

O Subcontratante implementa e mantém medidas técnicas e organizacionais adequadas ao risco, incluindo (mas não limitado a):

  • Cifra TLS 1.3 em todas as comunicações em trânsito
  • Hashing de passwords com Argon2id (64 MiB memória, 3 iterações, paralelismo 1)
  • Cifra AES-256-GCM para dados sensíveis em repouso (segredos TOTP, tokens push)
  • Tokens JWT RS256 com expiração curta (access token 15 min, refresh token 7 dias)
  • Blocklist de tokens revogados em Redis com TTL automático
  • Rate limiting por IP e por conta com janela deslizante Redis
  • Row-Level Security (RLS) no PostgreSQL — isolamento total entre tenants ao nível da base de dados
  • Verificação de passwords comprometidas via HIBP k-anonimato (sem envio de password em claro)
  • Backups cifrados com chave GPG, retenção de 12 meses com rotação automática
  • Audit logging completo e imutável de todas as ações administrativas
  • Notificação de violação de dados à CNPD em 72h (Art. 33 RGPD)

d) Sub-subcontratantes (Art. 28(2) e (4) RGPD)

O Subcontratante não contrata novos sub-subcontratantes sem autorização prévia (específica ou geral) do Responsável. A lista atual de sub-subcontratantes autorizados consta da Cláusula 7. O Responsável outorga autorização geral para alterações à lista de sub-subcontratantes, sujeita a notificação prévia de 30 dias e direito de oposição fundamentada. O Subcontratante impõe às entidades sub-subcontratadas obrigações equivalentes às do presente DPA (Art. 28(4) RGPD).

e) Assistência ao Responsável

O Subcontratante presta toda a assistência necessária ao Responsável para:

  • Responder a pedidos de exercício de direitos dos titulares (Cláusula 8)
  • Cumprir as obrigações dos Arts. 32–36 do RGPD (segurança, notificação de violações, AIPD, consulta prévia)
  • Realizar avaliações de impacto sobre a proteção de dados (AIPD), fornecendo informações técnicas relevantes

f) Informação e cooperação

O Subcontratante coloca à disposição do Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente DPA, e coopera com auditorias e inspeções realizadas pelo Responsável ou por auditor mandatado por este (ver Cláusula 10).

7. Sub-subcontratantes autorizados

O Responsável autoriza expressamente a utilização dos seguintes sub-subcontratantes, todos localizados dentro da União Europeia e operados em modo self-hosted pelo Subcontratante (sem transferência de dados para infraestrutura de terceiros):

Entidade / SoftwareFinalidadeLocalizaçãoModelo
PostgreSQL (self-hosted)Base de dados relacional — armazenamento de todos os dados do tenant (dispositivos, utilizadores, regras, métricas, webhooks)Portugal / UESelf-hosted — sem cloud de terceiros
Redis (self-hosted)Cache em memória — sessões, blocklist de JTI, rate limiting, audit logs (365d TTL), TOTP noncesPortugal / UESelf-hosted — sem cloud de terceiros
EMQX (self-hosted)Broker MQTT — comunicação em tempo real entre dispositivos IoT e a plataforma, com namespacing por tenantPortugal / UESelf-hosted — sem cloud de terceiros
MediaMTX (self-hosted pelo Responsável)Proxy RTSP/HLS/WebRTC para câmaras IP — instalado na infraestrutura do próprio ResponsávelInfraestrutura do ResponsávelSelf-hosted pelo Responsável

O Subcontratante notificará o Responsável com um mínimo de 30 dias de antecedência relativamente a qualquer alteração planeada à lista acima (adição ou substituição de sub-subcontratantes), dando ao Responsável a oportunidade de se opor a tais alterações antes da sua implementação. Em caso de oposição fundamentada e não resolvida, o Responsável pode rescindir o contrato sem penalização.

8. Assistência ao exercício de direitos dos titulares

Tendo em conta a natureza do tratamento, o Subcontratante assiste o Responsável no cumprimento da sua obrigação de responder a pedidos de exercício de direitos pelos titulares de dados, ao abrigo dos Arts. 15 a 22 do RGPD:

Direito (RGPD)Mecanismo de assistência
Art. 15 — AcessoExportação de todos os dados do utilizador em formato JSON via API REST (GET /users/{id}/export) ou via interface de administração.
Art. 16 — RetificaçãoAtualização de dados via API ou interface de administração pelo administrador do tenant.
Art. 17 — ApagamentoEliminação lógica imediata (soft-delete) com eliminação física nos 30 dias seguintes; eliminação forçada disponível via API para o administrador do tenant.
Art. 18 — Limitação do tratamentoSuspensão da conta do utilizador sem eliminação de dados, mantendo acesso do Responsável ao registo.
Art. 20 — PortabilidadeExportação de dados pessoais em formato JSON estruturado, por tenant ou por utilizador, via API.
Art. 21 — OposiçãoDesativação de funcionalidades específicas de elaboração de perfis ou análise de comportamento, mediante instrução escrita do Responsável.

O Subcontratante responde a pedidos de assistência do Responsável no prazo de 5 dias úteis, de modo a permitir ao Responsável cumprir o prazo de 30 dias previsto no Art. 12(3) do RGPD. Pedidos que exijam exportação ou eliminação de volumes significativos de dados podem ser acordados com prazo alargado, mediante comunicação escrita.

9. Segurança e notificação de incidentes

O Subcontratante implementa e mantém as medidas técnicas e organizacionais descritas na Cláusula 6(c). Em caso de Violação de Dados Pessoais que possa afetar os dados do Responsável, o Subcontratante compromete-se a:

  • Notificação imediata: Informar o Responsável sem demora injustificada e, quando possível, no prazo máximo de 24 horas após tomar conhecimento da violação, por email para o endereço de contacto de segurança designado pelo Responsável.
  • Conteúdo da notificação: Fornecer, pelo menos: (i) descrição da natureza da violação; (ii) categorias e número aproximado de titulares afetados; (iii) categorias e volume aproximado de registos afetados; (iv) consequências prováveis; (v) medidas tomadas ou propostas para remediar a situação.
  • Cooperação com a CNPD: Prestar toda a assistência ao Responsável na notificação obrigatória à CNPD (Art. 33 RGPD, prazo: 72h) e, se aplicável, na comunicação aos titulares afetados (Art. 34 RGPD).
  • Documentação: Documentar todas as violações de dados, incluindo as que não careçam de notificação, disponibilizando o registo ao Responsável mediante pedido.

10. Direito de auditoria

O Subcontratante coloca à disposição do Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no Art. 28 do RGPD e permite a realização de auditorias, incluindo inspeções, nas seguintes condições:

  • O Responsável (ou auditor terceiro mandatado por este e sujeito a acordo de confidencialidade) pode solicitar auditoria mediante aviso prévio escrito de 30 dias.
  • As auditorias realizam-se em horário laboral, de modo a não perturbar as operações normais do Subcontratante, e têm uma frequência máxima de uma por ano civil, salvo em caso de suspeita fundamentada de violação deste DPA.
  • O Subcontratante pode substituir uma inspeção in loco pela apresentação de relatório de auditoria de segurança independente (ISO 27001, SOC 2 ou equivalente), caso disponível e recente (emitido nos últimos 12 meses).
  • Os custos de auditoria são da responsabilidade do Responsável, exceto quando a auditoria revelar incumprimento material deste DPA por parte do Subcontratante.

O Subcontratante disponibiliza ainda, a pedido e sem encargos, os seguintes documentos de conformidade: política de segurança da informação, lista de sub-subcontratantes atualizada, registos de atividades de tratamento (Art. 30 RGPD) e resultados de testes de penetração anonimizados.

11. Devolução e eliminação de dados na cessação

Na cessação do presente DPA (por rescisão do contrato principal, expiração ou outro motivo), o Subcontratante compromete-se a:

Exportação antes da cessação

Durante o prazo de aviso prévio de rescisão e até à data efetiva de cessação, o Responsável pode exportar todos os seus dados (dispositivos, regras, utilizadores, métricas de energia, webhooks, logs) em formato JSON estruturado via API ou interface de administração, sem qualquer custo adicional.

Período de graça (30 dias)

Após a cessação efetiva do contrato, os dados são conservados em modo de leitura durante 30 dias corridos, exclusivamente para permitir exportação de emergência pelo Responsável. O acesso à plataforma fica suspenso, mas a API de exportação permanece disponível mediante autenticação.

Eliminação irreversível

Decorridos os 30 dias do período de graça, o Subcontratante procede à eliminação segura e irreversível de todos os dados do Responsável, incluindo dados em bases de dados ativas, caches Redis, backups e quaisquer cópias em sistemas de arquivo. A eliminação inclui a destruição criptográfica das chaves de cifra específicas do tenant (key shredding).

Exceções legais à eliminação

Excetuam-se da eliminação os dados sujeitos a obrigação legal de conservação, designadamente registos de faturação e contabilísticos (prazo: 10 anos, nos termos do Código Comercial e da legislação fiscal portuguesa). Esses dados são anonimizados ou pseudonimizados na medida do possível.

Certificado de eliminação

A pedido do Responsável, o Subcontratante emite um certificado escrito de eliminação no prazo de 15 dias úteis após a conclusão do processo, descrevendo as categorias de dados eliminadas e os métodos utilizados.

12. Transferências internacionais de dados

O Subcontratante não transfere dados pessoais do Responsável para países terceiros fora do Espaço Económico Europeu (EEE). Todos os dados são tratados e armazenados em servidores localizados em Portugal ou noutro Estado-membro da União Europeia.

Qualquer alteração à localização geográfica do tratamento será comunicada ao Responsável com antecedência mínima de 30 dias e ficará sujeita às garantias previstas nos Arts. 44–49 do RGPD (decisão de adequação, cláusulas contratuais-tipo ou regras vinculativas para empresas, conforme aplicável). O Responsável pode opor-se fundamentadamente a tais transferências.

13. Responsabilidade

As partes reconhecem que, nos termos do Art. 82 do RGPD, cada uma é responsável pelos danos causados por tratamento que não cumpra o RGPD ou que seja efetuado contra as instruções lícitas da outra parte:

  • O Subcontratante é responsável pelos danos causados pelo tratamento sempre que não tenha cumprido as obrigações do RGPD especificamente dirigidas aos subcontratantes, ou quando tenha atuado fora das instruções lícitas do Responsável ou contra essas instruções.
  • O Responsável é responsável pelos danos causados pelo tratamento que tenha efetuado em violação do RGPD, e pelos danos resultantes de instruções ilícitas dadas ao Subcontratante.
  • A responsabilidade total do Subcontratante perante o Responsável, no âmbito deste DPA, está limitada ao valor pago pelo Responsável nos 12 meses anteriores ao evento que originou a reclamação, exceto em casos de dolo ou culpa grave.

Esta limitação não afeta a responsabilidade do Subcontratante perante os titulares de dados ou as autoridades de supervisão nos termos do RGPD.

14. Lei aplicável e resolução de litígios

O presente DPA é regido pelo direito português, em especial pelo RGPD (Regulamento UE 2016/679), pela Lei n.º 58/2019, de 8 de agosto, e demais legislação nacional de proteção de dados pessoais em vigor.

Qualquer litígio emergente da interpretação, validade ou execução do presente DPA que não seja resolvido amigavelmente no prazo de 30 dias após notificação escrita de uma das partes será submetido à competência exclusiva dos tribunais da comarca de Lisboa.

As partes podem apresentar reclamação ou participação à CNPD — Comissão Nacional de Proteção de Dados (autoridade de supervisão competente em Portugal, Art. 77 RGPD) sem prejuízo de qualquer outra via de recurso administrativa ou judicial.

Contacto para questões DPA

Neobotic, Lda.

NIF: PT 515 XXX XXX · Sede: Portugal (União Europeia)

DPO / Proteção de Dados: privacidade@neobotic.ao

Suporte técnico: suporte@neobotic.ao

Segurança / Incidentes: seguranca@neobotic.ao

Política de PrivacidadeTermos de ServiçoContactoNeobotic, Lda. · NIF: PT 515 XXX XXX