⚠️ Versão draft beta. Este documento será revisto por advogado antes do lançamento comercial. Endereço fiscal será adicionado após constituição da empresa.
1. Objeto e Âmbito
Este Acordo de Tratamento de Dados (ATD) é celebrado entre o Cliente e Shiftera, de acordo com o Artigo 28 do Regulamento Geral de Proteção de Dados (RGPD - Regulamento UE 2016/679).
Shiftera atua como Processador de Dados em relação aos dados pessoais de colaboradores e utilizadores processados através do Serviço. O Cliente é o Controlador de Dados responsável pelas instruções de tratamento.
Este ATA aplica-se a todos os dados pessoais processados pela Shiftera ao prestar o Serviço, incluindo dados de conta, escalas, disponibilidades e logs de atividade.
2. Definições (RGPD Art. 4)
Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável (ex: nome, email, dados de localização ou identificadores online).
Controlador: A entidade (Cliente) que determina os fins e meios do tratamento de dados pessoais.
Processador: A entidade (Shiftera) que trata dados pessoais em nome do Controlador.
Dados de Pessoal: Dados pessoais de colaboradores, utilizadores e outras pessoas cujos dados são processados através do Serviço.
Violação de Dados Pessoais: Comprometimento de segurança que resulta em acesso, divulgação ou destruição não autorizada de dados pessoais.
Tratamento: Qualquer operação sobre dados pessoais (recolha, gravação, utilização, alteração, eliminação, etc.).
3. Natureza e Finalidade do Tratamento
3.1 Categorias de Dados Pessoais:
- Dados de identificação (nome, email, número de identificação)
- Dados de contacto (email, telefone)
- Dados de emprego (cargo, departamento, horários)
- Dados de disponibilidade e escalas
- Logs técnicos (IP, timestamps, ações realizadas)
3.2 Categorias de Titulares de Dados:
- Colaboradores da organização do Cliente
- Gestores e administradores de recursos humanos
- Utilizadores finais da plataforma Shiftera
3.3 Finalidade do Tratamento:
- Gestão de escalas e turnos
- Controlo de disponibilidades
- Processamento de pedidos de folgas e trocas
- Geração de relatórios laborais
- Validação de conformidade legal
4. Obrigações de Shiftera (Processador)
4.1 Processar Dados Apenas Conforme Instruções: Shiftera processa dados pessoais exclusivamente conforme as instruções documentadas do Cliente, incluindo quanto aos fins, duração, natureza e categorias de dados e titulares. Shiftera não processará dados para fins diferentes sem consentimento escrito prévio.
4.2 Confidencialidade: Shiftera garante que pessoas autorizadas a processar dados pessoais (colaboradores, subcontratados) são obrigadas por contrato ou lei a guardar sigilo.
4.3 Medidas de Segurança (Art. 32): Shiftera implementa medidas técnicas e organizacionais apropriadas:
- Encriptação SSL/TLS em trânsito (HTTPS obrigatório)
- Encriptação at-rest de dados na Supabase
- Row-Level Security (RLS) para isolamento de dados
- Passwords encriptadas com bcrypt
- Controlo de acesso baseado em funções (RBAC)
- Monitoramento contínuo de segurança via Sentry
- Backups regulares e testes de recuperação
- Política de autenticação forte (2FA disponível)
4.4 Cooperação com Direitos dos Titulares: Shiftera auxiliará o Cliente a responder a pedidos de titulares de dados (acesso, retificação, eliminação, portabilidade, etc.) no prazo estabelecido pelo RGPD (máx. 30 dias). O Cliente mantém responsabilidade final pela conformidade.
4.5 Notificação de Violações: Shiftera notificará o Cliente de qualquer violação de dados pessoais sem demora desnecessária e, em qualquer caso, num prazo não superior a 48 horas após identificação da violação.
5. Subprocessadores (Art. 28.2, 28.4)
5.1 Lista Atual de Subprocessadores:
| Subprocessador | Função | Localização |
|---|---|---|
| Supabase (supabase.com) | Base de dados e autenticação | Frankfurt, UE |
| Vercel (vercel.com) | Hospedagem e CDN | Regiões UE |
| Resend (resend.com) | Email transacional | UE |
| Sentry (sentry.io) | Rastreamento de erros | UE |
5.2 Autorização: O Cliente autoriza Shiftera a utilizar subprocessadores listados acima. Shiftera implementou medidas para garantir que subprocessadores cumprem obrigações equivalentes de proteção de dados.
5.3 Novos Subprocessadores: Antes de incluir novos subprocessadores, Shiftera notificará o Cliente com 30 dias de antecedência por email. O Cliente pode objetar por escrito dentro de 15 dias.
5.4 Obrigações Contratais: Shiftera obriga subprocessadores, por contrato, a cumprir com obrigações equivalentes ao RGPD Art. 28, incluindo confidencialidade, segurança e assistência em direitos dos titulares.
6. Direitos dos Titulares de Dados
Shiftera auxiliará o Cliente na garantia dos seguintes direitos dos titulares:
- Acesso (Art. 15): Fornecimento de cópia dos dados pessoais
- Retificação (Art. 16): Correção de dados inexatos
- Eliminação (Art. 17): Eliminação de dados ("direito ao esquecimento")
- Restrição (Art. 18): Limitação do tratamento
- Portabilidade (Art. 20): Dados em formato estruturado e portável
- Oposição (Art. 21): Objeção ao tratamento para fins específicos
O Cliente é responsável por responder aos pedidos de titulares no prazo legal (máx. 30 dias). Shiftera proporcionará assistência técnica e documental quando necessário.
7. Violações de Dados Pessoais (Art. 33)
7.1 Notificação Imediata: Em caso de violação que afete dados pessoais, Shiftera notificará o Cliente sem demora desnecessária e, em qualquer caso, num prazo não superior a 48 horas. A notificação incluirá:
- Descrição da natureza da violação
- Categorias e número aproximado de titulares afetados
- Efeitos prováveis da violação
- Medidas tomadas ou propostas para remediar
- Contacto para mais informações
7.2 Investigação: Shiftera investigará a violação e fornecerá ao Cliente informações suficientes para cumprir com as obrigações de notificação à autoridade supervisora (CNPD).
7.3 Resposta Técnica: Shiftera implementará medidas para conter a violação e evitar futuras ocorrências.
8. Auditoria e Inspeção (Art. 28.3.h)
O Cliente (ou auditor independente por seu pedido) tem direito a auditar as instalações e processos de Shiftera relacionados com o tratamento de dados pessoais, mediante notificação prévia de 30 dias por escrito. Shiftera fornecerá acesso a informações, registos de processamento, e documentação relevante. Shiftera pode estabelecer restrições razoáveis de sigilo ou segurança.
Shiftera não está sujeita a certificações de segurança formais (SOC 2, ISO 27001) no momento, mas implementa medidas de boas práticas conforme descrito neste ATA.
9. Eliminação ou Devolução de Dados
9.1 Após Términoe da Relação: Após rescisão do contrato de Serviço, Shiftera, conforme instruções escritas do Cliente, irá:
- Devolver todos os dados pessoais num formato estruturado e comum (JSON, CSV)
- Ou eliminar permanentemente todos os dados pessoais
9.2 Cópia de Segurança: Uma cópia de segurança pode ser mantida durante 30 dias para fins de conformidade legal, sendo depois eliminada permanentemente.
9.3 Processo de Eliminação: Shiftera elimina dados através de métodos seguros que impedem recuperação (sobrescrita, criptografia de chaves, destruição física se aplicável).
10. Lei Aplicável e Jurisdição
Este ATA é regido pelas leis de Portugal e pelo RGPD. As partes concordam com a jurisdição dos tribunais de Lisboa, Portugal, para qualquer disputa relacionada com este ATA.
11. Contacto e Escalada
Para questões sobre este ATA:
Email DPO: dpo@shiftera.app
Email Geral: hello@shiftera.app
Endereço: [Endereço fiscal a definir após constituição da empresa]
Vigência: Este Acordo de Tratamento de Dados entra em vigor com a aceitação pelos Termos de Serviço de Shiftera e permanece em vigor enquanto dados pessoais forem processados. Alterações serão notificadas conforme disposto acima.