Acordo de Subcontratação de Dados (DPA) — Modusend
Última atualização: 16 de julho de 2026
Este acordo, celebrado nos termos do artigo 28.º do RGPD, faz parte integrante do contrato de subscrição do Modusend entre a Nevergetold, Lda. (NIPC 510372945, [A PREENCHER — morada completa], Torres Vedras, Portugal — o "Subcontratante") e o Cliente (o "Responsável pelo Tratamento").
1. Objeto e natureza do tratamento
O Subcontratante trata dados pessoais por conta do Responsável, exclusivamente para a prestação do serviço Modusend: armazenamento e gestão de bases de contactos, gestão de consentimentos e exclusões, segmentação, envio de mensagens WhatsApp através da WhatsApp Business Platform, e produção de relatórios.
Categorias de titulares: contactos (clientes e potenciais clientes) do Responsável. Categorias de dados: nome, número de telefone, etiquetas e campos personalizados definidos pelo Responsável, registos de consentimento (origem, data, texto/versão), estado de subscrição/opt-out, metadados de mensagens (estados de entrega/leitura, datas, identificadores Meta). Não são tratadas categorias especiais de dados, salvo se o Responsável as introduzir em campos personalizados em violação do contrato. Duração: a vigência do contrato de subscrição.
2. Obrigações do Subcontratante
O Subcontratante obriga-se a:
- a) tratar os dados apenas mediante instruções documentadas do Responsável (incluindo as configuradas na plataforma), inclusive quanto a transferências internacionais, salvo obrigação legal — caso em que informa previamente o Responsável;
- b) garantir que as pessoas autorizadas a tratar os dados estão vinculadas a confidencialidade;
- c) aplicar as medidas técnicas e organizativas do Anexo I;
- d) respeitar as condições de subcontratação ulterior da cláusula 3;
- e) prestar assistência razoável ao Responsável na resposta a pedidos de exercício de direitos dos titulares, através de funcionalidades da plataforma (pesquisa, exportação, retificação, apagamento, supressão) ou mediante pedido;
- f) prestar assistência ao Responsável no cumprimento das obrigações dos artigos 32.º a 36.º do RGPD, tendo em conta a informação de que dispõe;
- g) notificar o Responsável sem demora injustificada, e no máximo em 48 horas, após ter conhecimento de uma violação de dados pessoais, com a informação exigida pelo artigo 33.º/3;
- h) disponibilizar a informação necessária para demonstrar o cumprimento deste acordo e permitir auditorias (cláusula 5).
3. Subcontratantes ulteriores
O Responsável autoriza, de forma geral, o recurso aos seguintes subcontratantes ulteriores:
| Entidade | Localização | Serviço |
|---|---|---|
| Hetzner Online GmbH | Alemanha / Finlândia (UE) | Alojamento de infraestrutura e dados |
| Meta Platforms Ireland Limited | Irlanda (UE) | WhatsApp Business Platform (entrega de mensagens) |
O Subcontratante informará o Responsável, com pelo menos 30 dias de antecedência, de qualquer alteração a esta lista, podendo o Responsável opor-se com fundamento razoável; mantendo-se a oposição, qualquer das partes pode resolver o contrato sem penalização. O Subcontratante impõe aos subcontratantes ulteriores obrigações equivalentes às deste acordo e responde perante o Responsável pelo respetivo cumprimento.
4. Transferências internacionais
Todos os dados são armazenados na UE (Hetzner). A entrega de mensagens pela Meta pode implicar transferências internacionais realizadas pela Meta ao abrigo das suas próprias garantias (cláusulas contratuais-tipo / EU-US Data Privacy Framework), nos termos dos contratos da WhatsApp Business Platform aceites pelo Responsável junto da Meta.
5. Auditorias
O Responsável pode auditar o cumprimento deste acordo, no máximo uma vez por ano (salvo após violação de dados), mediante pré-aviso de 30 dias, em horário laboral e sem acesso a dados de outros clientes. O Subcontratante pode satisfazer o pedido através de relatórios ou certificações independentes disponíveis.
6. Eliminação e devolução
Cessado o contrato, o Responsável dispõe de 8 dias para exportar os seus dados através da plataforma. Decorrido esse prazo, o Subcontratante elimina todos os dados pessoais tratados por conta do Responsável, salvo obrigação legal de conservação. Cópias de segurança são eliminadas no ciclo normal de rotação, no prazo máximo de 30 dias.
Anexo I — Medidas técnicas e organizativas
- Cifragem TLS em todas as comunicações; cifragem em repouso de credenciais, tokens de acesso Meta e segredos.
- Isolamento lógico multi-tenant por cliente, com scoping automático ao nível da camada de dados e políticas de autorização por papel (superadmin, administrador de agência, gestor do cliente, operador, leitor).
- Autenticação com palavras-passe cifradas (hashing forte); MFA disponível para administradores.
- Registo de auditoria imutável de importações, criações, aprovações, envios, pausas e exportações, isolado por cliente.
- Supressão técnica de opt-outs: qualquer exclusão impede permanentemente envios futuros; contactos sem consentimento registado são inelegíveis para campanhas de marketing.
- Verificação criptográfica de assinatura (X-Hub-Signature-256) em todos os webhooks recebidos da Meta; rejeição de pedidos não assinados.
- Cópias de segurança regulares, cifradas, com retenção máxima de 30 dias.
- Ambientes de desenvolvimento/teste sem dados pessoais reais de clientes.