Acordo de Processamento de Dados do QR Code AI

ACORDO DE PROCESSAMENTO DE DADOS (DPA)

Última atualização: 2 de março de 2026

Este Acordo de Processamento de Dados ("DPA") faz parte dos Termos de Serviço ("Acordo") entre a Supernovae, uma empresa registada em França em 27 Rue Wurtz, Juvisy-sur-Orge 91260, número de IVA FR67948452891 ("Subcontratante", "nós"), e a entidade que aceita este DPA ("Responsável pelo Tratamento", "você"), conjuntamente designadas por "Partes".

Este DPA aplica-se quando tratamos dados pessoais em seu nome no âmbito dos nossos serviços QR Code AI, incluindo através da API.

1. DEFINIÇÕES

• "Dados Pessoais" significa qualquer informação relativa a uma pessoa singular identificada ou identificável, conforme definido no artigo 4.º, n.º 1, do RGPD.
• "Tratamento" significa qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais, conforme definido no artigo 4.º, n.º 2, do RGPD.
• "Titular dos Dados" significa a pessoa singular identificada ou identificável a quem os Dados Pessoais dizem respeito.
• "Subcontratante" significa qualquer terceiro contratado pelo Subcontratante para tratar Dados Pessoais em nome do Responsável pelo Tratamento.
• "RGPD" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.
• "UK GDPR" significa o RGPD tal como transposto para o direito do Reino Unido pela Data Protection Act 2018.
• "SCCs" significa as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia para a transferência de Dados Pessoais para países terceiros.
• "Violação de Dados" significa uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais.

2. ÂMBITO E FUNÇÕES

2.1 Responsável pelo Tratamento e Subcontratante

Para efeitos deste DPA:

• Você (Responsável pelo Tratamento): Você determina as finalidades e os meios do tratamento de Dados Pessoais quando utiliza os nossos Serviços, em particular quando utiliza a nossa API para gerar QR codes para os seus próprios clientes ou integrar os nossos Serviços nos seus produtos.
• Nós (Subcontratante): Nós tratamos Dados Pessoais em seu nome de acordo com as suas instruções, conforme descrito neste DPA e no Acordo.

2.2 Quando este DPA se aplica

Este DPA aplica-se quando:

• Você utiliza a API do QR Code AI para gerar QR codes que tratam dados dos seus utilizadores finais (por exemplo, URLs que contêm informação pessoal, dados vCard, detalhes de contacto codificados em QR codes).
• Você utiliza as funcionalidades de rastreamento de QR code e análises do QR Code AI que recolhem dados de leitura dos seus utilizadores finais.
• Qualquer outro cenário em que tratamos Dados Pessoais em seu nome enquanto subcontratante.

Quando utiliza o QR Code AI como utilizador individual para fins próprios, atuamos como responsável pelo tratamento independente e a nossa Política de Privacidade rege o tratamento de dados.

3. DETALHES DO TRATAMENTO DE DADOS

3.1 Objeto e duração

Tratamos Dados Pessoais durante a vigência do Acordo para prestar os serviços QR Code AI, incluindo geração de QR codes, rastreamento, análises e funcionalidades relacionadas.

3.2 Natureza e finalidade do tratamento

• Gerar QR codes com base nos dados de entrada fornecidos pelo Responsável pelo Tratamento
• Rastrear leituras de QR code e recolher dados de análises
• Armazenar configurações de QR code e metadados associados
• Tratar pedidos de QR code artístico gerado por IA
• Fornecer relatórios e painéis de análises

3.3 Tipos de Dados Pessoais

Os tipos de Dados Pessoais tratados podem incluir:

• Informação de contacto (nomes, endereços de e-mail, números de telefone) codificada em QR codes
• URLs e endereços web
• Dados de localização provenientes de leituras de QR code
• Informação do dispositivo e endereços IP provenientes de leituras de QR code
• Prompts de texto e imagens fornecidos para geração de QR code com IA
• Quaisquer outros dados que o Responsável pelo Tratamento opte por codificar em QR codes

3.4 Categorias de Titulares dos Dados

• Utilizadores finais que fazem leituras de QR codes criados pelo Responsável pelo Tratamento
• Pessoas cuja informação de contacto é codificada em QR codes
• Utilizadores dos produtos ou serviços do Responsável pelo Tratamento que interagem com QR codes

4. OBRIGAÇÕES DO SUBCONTRATANTE

4.1 Instruções de tratamento

Trataremos Dados Pessoais apenas com base nas suas instruções documentadas, salvo se tal for exigido pelo direito da UE ou do Estado-Membro a que estejamos sujeitos. Nesse caso, informá-lo-emos desse requisito legal antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público.

4.2 Confidencialidade

Garantimos que as pessoas autorizadas a tratar Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.

4.3 Medidas de segurança

Implementamos medidas técnicas e organizacionais adequadas para assegurar um nível de segurança apropriado ao risco, incluindo:

• Encriptação de Dados Pessoais em trânsito (TLS/HTTPS) e em repouso
• Controlos de acesso e autenticação baseada em funções para sistemas internos
• Avaliações de segurança regulares e varrimento de vulnerabilidades
• Infraestrutura alojada com fornecedores certificados ISO 27001
• Proteção DDoS e firewall de aplicação web (Cloudflare)
• Backups regulares com armazenamento encriptado
• Registo e monitorização do acesso a Dados Pessoais

4.4 Subcontratantes

Utilizamos os subcontratantes listados na nossa página de Subprocessadores. Notificá-lo-emos de quaisquer alterações previstas aos subcontratantes através da atualização dessa página. Você pode opor-se a um novo subcontratante contactando-nos em [email protected] no prazo de 30 dias após a atualização. Se você se opuser e não conseguirmos acomodar razoavelmente a sua oposição, qualquer uma das partes pode rescindir a parte afetada dos Serviços.

Celebramos acordos escritos com todos os subcontratantes que impõem obrigações de proteção de dados não menos protetoras do que as previstas neste DPA.

4.5 Direitos dos Titulares dos Dados

Ajudá-lo-emos a responder a pedidos de Titulares dos Dados que exerçam os seus direitos ao abrigo da legislação aplicável de proteção de dados (acesso, retificação, apagamento, limitação, portabilidade, oposição). Se recebermos um pedido diretamente de um Titular dos Dados, redirecioná-lo-emos prontamente para si, salvo instrução em contrário.

4.6 Assistência para conformidade

Ajudá-lo-emos a assegurar a conformidade com as suas obrigações ao abrigo dos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação de que dispomos.

5. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

5.1 Prazo de notificação

Notificá-lo-emos de uma Violação de Dados sem demora injustificada e, em qualquer caso, no prazo de 72 horas após termos conhecimento da violação. A notificação será enviada para o endereço de e-mail associado à sua conta.

5.2 Conteúdo da notificação

A notificação incluirá, na medida do possível:

• Uma descrição da natureza da Violação de Dados, incluindo as categorias e o número aproximado de Titulares dos Dados e de registos afetados.
• O nome e os dados de contacto do nosso ponto de contacto para proteção de dados.
• Uma descrição das prováveis consequências da Violação de Dados.
• Uma descrição das medidas tomadas ou propostas para lidar com a Violação de Dados, incluindo medidas para mitigar os seus possíveis efeitos adversos.

5.3 Cooperação contínua

Cooperaremos consigo e prestaremos assistência razoável na investigação, mitigação e correção de qualquer Violação de Dados, bem como na realização de quaisquer notificações às autoridades de controlo ou aos Titulares dos Dados que você seja obrigado a efetuar.

6. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

6.1 Localização dos dados

Os Dados Pessoais são principalmente armazenados e tratados na União Europeia:

• França (UE) através da Scaleway
• Países Baixos (UE) através da DigitalOcean

6.2 Transferências fora da UE/EEE

Alguns dos nossos subcontratantes estão localizados fora da UE/EEE, principalmente nos Estados Unidos. Para estas transferências, baseamo-nos em:

• EU-US Data Privacy Framework: quando aplicável, para transferências para fornecedores sediados nos EUA certificados ao abrigo do quadro.
• Cláusulas Contratuais-Tipo (SCCs): incorporamos as SCCs aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914 da Comissão) nos nossos acordos com subcontratantes localizados fora da UE/EEE quando o Data Privacy Framework não se aplica.

6.3 Avaliação de impacto da transferência

Realizamos avaliações de impacto da transferência para transferências para países terceiros e implementamos medidas suplementares quando necessário para assegurar um nível adequado de proteção de dados.

7. AUDITORIAS E INSPEÇÕES

7.1 Direitos de auditoria

Você tem o direito de auditar a nossa conformidade com este DPA. Disponibilizaremos toda a informação necessária para demonstrar a conformidade e permitir e contribuir para auditorias, incluindo inspeções, realizadas por si ou por um auditor por si mandatado.

7.2 Processo de auditoria

As auditorias estão sujeitas às seguintes condições:

• Você deve fornecer um aviso prévio por escrito de, pelo menos, 30 dias antes de qualquer auditoria.
• As auditorias não podem ser realizadas mais do que uma vez por ano, salvo se exigido por uma autoridade de controlo ou na sequência de uma Violação de Dados.
• As auditorias devem ser realizadas durante o horário normal de funcionamento e não devem interferir de forma injustificada com as nossas operações.
• Você é responsável pelos custos de qualquer auditoria, salvo se a auditoria revelar uma violação material deste DPA.
• A informação confidencial dos nossos outros clientes não deve ser exposta durante a auditoria.

8. CONSERVAÇÃO E ELIMINAÇÃO DE DADOS

8.1 Durante o Acordo

Conservamos Dados Pessoais durante a vigência do Acordo, conforme necessário para prestar os Serviços.

8.2 Após a cessação

Após a cessação do Acordo ou mediante o seu pedido por escrito:

• Eliminaremos os Dados Pessoais dos nossos sistemas ativos no prazo de 30 dias.
• Os Dados Pessoais em arquivos de backup serão eliminados no prazo de 6 meses.
• Podemos conservar Dados Pessoais na medida exigida pela legislação aplicável (por exemplo, obrigações fiscais e contabilísticas), caso em que isolaremos e protegeremos esses dados e limitaremos o tratamento adicional ao que for exigido por lei.

8.3 Certificação

Mediante o seu pedido, forneceremos confirmação por escrito de que os Dados Pessoais foram eliminados de acordo com esta secção.

9. RESPONSABILIDADE

A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações de responsabilidade estabelecidas no Acordo. Nada neste DPA limita a responsabilidade de qualquer das partes perante Titulares dos Dados ou autoridades de controlo ao abrigo da legislação aplicável de proteção de dados.

10. LEI APLICÁVEL

Este DPA é regido pelas leis de França. Para Titulares dos Dados na UE, aplica-se o RGPD. Para Titulares dos Dados no Reino Unido, aplica-se o UK GDPR. Quaisquer litígios decorrentes deste DPA serão resolvidos de acordo com as disposições de resolução de litígios do Acordo.

11. COMO EXECUTAR ESTE DPA

Este DPA é incorporado e faz parte dos Termos de Serviço. Ao utilizar os Serviços QR Code AI, você concorda com este DPA.

Se necessitar de uma cópia deste DPA assinada separadamente para os seus registos, contacte-nos em [email protected] e forneceremos uma no prazo de 10 dias úteis.

12. CONTACTO

Para questões sobre este DPA ou sobre as nossas práticas de tratamento de dados:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]