Acordo de tratamento de dados (DPA)
Acordo de Tratamento de Dados (DPA)
- Versão:
- 2026.04
- Em vigor desde:
- 01 de abril de 2026
O presente Acordo de Tratamento de Dados (“DPA”) é parte integrante e indissociável do Contrato de Prestação de Serviços (“MSA”) celebrado entre a Glivo LLC (“Glivo”) e o Cliente identificado na Encomenda. O DPA disciplina o tratamento de dados pessoais realizado pela Glivo em nome do Cliente no contexto da prestação dos Serviços, em cumprimento do Artigo 28 do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019.
Em caso de conflito entre este DPA e o MSA no que se refere ao tratamento de dados pessoais, prevalecem as disposições deste DPA.
1. Objeto e papéis das Partes
1.1 Âmbito
A Glivo poderá tratar dados pessoais (“Dados do Cliente”) em nome do Cliente como parte da prestação dos Serviços. Este DPA disciplina tal tratamento, em conformidade com o Regulamento (UE) 2016/679 (“RGPD”), com a Lei n.º 58/2019 (que assegura a execução do RGPD em Portugal) e demais legislação aplicável de proteção de dados (em conjunto, “Legislação de Proteção de Dados”).
1.2 Papéis
a. O Cliente atua como Responsável pelo Tratamento dos Dados do Cliente, sendo o responsável pelas decisões sobre finalidade e meios essenciais do tratamento (Art. 4.º, n.º 7 RGPD);
b. A Glivo atua como Subcontratante (Art. 4.º, n.º 8 RGPD), tratando os Dados do Cliente exclusivamente conforme as instruções documentadas do Cliente, conforme definido neste DPA, no MSA e nas configurações disponibilizadas pelos Serviços;
c. Para os dados de registo de Administradores e gestores diretamente recolhidos pela Glivo (nome, e-mail de início de sessão, dados de autenticação), a Glivo atua como Responsável pelo Tratamento, observados os termos da sua Política de Privacidade.
1.3 Detalhes do tratamento
Os detalhes sobre natureza, finalidade, duração, categorias de dados e titulares estão descritos no Anexo I deste DPA, em cumprimento do disposto no Art. 28.º, n.º 3 do RGPD.
2. Obrigações da Glivo (como Subcontratante)
2.1 Tratamento conforme instruções
A Glivo trata os Dados do Cliente apenas com base em instruções documentadas do Cliente (incluindo no que se refere a transferências internacionais), salvo quando outra obrigação legal exija tratamento diverso, hipótese em que a Glivo informa o Cliente previamente, exceto quando a lei vede tal comunicação por motivos importantes de interesse público.
São consideradas instruções documentadas do Cliente:
a. Os termos do MSA, deste DPA e da Encomenda; b. As configurações realizadas pelo Cliente nas ferramentas administrativas dos Serviços (papéis, permissões, retenção, métricas); c. Solicitações específicas formalizadas por escrito pelo Cliente.
2.2 Aviso ao Cliente
A Glivo notifica o Cliente sem demora, na medida em que a lei o permita, caso:
a. Considere que uma instrução do Cliente viola a Legislação de Proteção de Dados; b. Receba pedido juridicamente vinculativo de divulgação dos Dados do Cliente por autoridade pública.
2.3 Confidencialidade
A Glivo garante que toda a pessoa autorizada a tratar Dados do Cliente está vinculada a obrigação contratual ou legal de confidencialidade apropriada (Art. 28.º, n.º 3, alínea b) do RGPD), e recebeu formação adequada sobre proteção de dados.
2.4 Segurança (Art. 32 RGPD)
A Glivo implementa e mantém as medidas técnicas e organizativas adequadas descritas no Anexo II deste DPA, dimensionadas para garantir um nível de segurança adequado ao risco, designadamente para proteger os Dados do Cliente contra acesso não autorizado, perda, alteração, destruição ou divulgação acidental ou ilícita.
A Glivo poderá atualizar tais medidas para refletir a evolução tecnológica e melhores práticas, desde que o nível geral de proteção não seja reduzido materialmente.
2.5 Anonimização automática (PII)
Como medida adicional de segurança e privacidade, a Glivo aplica, antes da disponibilização das transcrições aos gestores do Cliente, anonimização automática de:
- Nomes próprios (de pessoas singulares e empresas terceiras);
- NIF, NIPC;
- Telefones e e-mails;
- Moradas e localizações.
A anonimização combina algoritmos de expressão regular e modelos de linguagem. A Glivo adota esforços razoáveis para que a anonimização seja efetiva, sem garantia absoluta de remoção em todos os casos, dada a natureza probabilística do processo.
2.6 Pedidos de titulares
A Glivo, na medida em que for legalmente permitido, notifica o Cliente caso receba diretamente pedido de exercício de direitos de titular relativo a Dados do Cliente.
A Glivo não responde a tais pedidos sem autorização prévia do Cliente, exceto quando o Cliente tenha autorizado, na configuração dos Serviços, o redirecionamento automático.
A Glivo, considerando a natureza do tratamento e na medida do tecnicamente possível, auxilia o Cliente com medidas técnicas e organizativas adequadas para que este possa atender pedidos de titulares dentro do prazo legal de um mês (Art. 12.º, n.º 3 RGPD).
2.7 Auxílio ao Cliente
A Glivo presta auxílio razoável ao Cliente, considerando a natureza do tratamento e as informações disponíveis, para que o Cliente cumpra as suas obrigações sob a Legislação de Proteção de Dados (Art. 28.º, n.º 3, alíneas e) e f) RGPD), incluindo:
a. Realização de Avaliações de Impacto sobre a Proteção de Dados (AIPD/DPIA) envolvendo o tratamento pela Glivo (Art. 35 RGPD); b. Consultas prévias à CNPD ou outras autoridades de controlo (Art. 36 RGPD); c. Resposta a investigações ou requisições de autoridades.
2.8 Notificação de violações de dados (Art. 33 RGPD)
A Glivo notifica o Cliente sem demora indevida após tomar conhecimento de violação de dados pessoais (data breach) que afete Dados do Cliente. A notificação inicial é enviada em até 48 horas da confirmação do incidente, e contém, na medida do conhecimento disponível:
a. Natureza do incidente, categorias e número aproximado de titulares e registos afetados; b. Provável consequência; c. Medidas adotadas ou propostas para conter e mitigar o incidente; d. Pessoa de contacto para informações adicionais.
A Glivo mantém o Cliente atualizado sobre a evolução das investigações e presta auxílio razoável para que o Cliente cumpra as suas obrigações:
- De notificação à autoridade de controlo competente (CNPD em Portugal) no prazo máximo de 72 horas após ter conhecimento da violação, conforme Art. 33 RGPD;
- De comunicação aos titulares afetados quando a violação for suscetível de implicar elevado risco para os seus direitos e liberdades, conforme Art. 34 RGPD.
2.9 Avaliação de conformidade e auditoria (Art. 28.º, n.º 3, alínea h) RGPD)
Mediante pedido razoável e por escrito do Cliente, e na medida exigida pela Legislação de Proteção de Dados, a Glivo:
a. Disponibiliza, no máximo uma vez por ano, as suas políticas de privacidade e segurança e demais informações necessárias para demonstrar conformidade com este DPA;
b. Permite inspeções e auditorias realizadas pelo Cliente ou por terceiro independente designado, mediante acordo de confidencialidade prévio, observados os seguintes parâmetros:
- A auditoria é realizada de forma a causar mínima interrupção às operações da Glivo;
- Limita-se ao âmbito necessário para verificar conformidade com este DPA;
- É realizada no máximo uma vez por ano, salvo em caso de incidente grave ou de exigência da autoridade de controlo;
- Os custos da auditoria correm por conta do Cliente, salvo se identificada não conformidade material da Glivo.
A Glivo poderá, em alternativa, disponibilizar relatórios de auditoria independentes (ex.: SOC 2, ISO 27001) para cumprir esta obrigação. Tais relatórios são considerados Informação Confidencial da Glivo.
2.10 Devolução ou eliminação dos dados (Art. 28.º, n.º 3, alínea g) RGPD)
Após o termo ou cessação do MSA, a Glivo, mediante instrução do Cliente dada em até 30 dias após o termo:
a. Devolve os Dados do Cliente em formato estruturado e amplamente utilizado; ou b. Procede à eliminação definitiva dos Dados do Cliente e suas cópias.
Decorridos 60 dias após o termo sem instrução em contrário, a Glivo procede à eliminação automática, ressalvada a conservação exigida por lei (registos financeiros, decisões judiciais, defesa em processos), hipótese em que os dados serão isolados e protegidos contra qualquer outro tratamento.
3. Obrigações do Cliente (como Responsável pelo Tratamento)
3.1 Notificações e autorizações
O Cliente declara, garante e mantém, durante todo o Termo, que:
a. Possui base legal adequada sob o RGPD para o tratamento dos dados pessoais inseridos nos Serviços (designadamente interesse legítimo para gravação de atendimentos comerciais, conforme Art. 6.º, n.º 1, alínea f), tendo realizado e documentado a respetiva avaliação de ponderação (LIA));
b. Forneceu todas as informações exigidas aos titulares de dados nos termos dos Arts. 13.º e 14.º do RGPD, em especial mediante:
- Sinalização visível de gravação nos pontos de atendimento;
- Política de privacidade acessível;
- Termo de Tomada de Conhecimento e Autorização assinado pelos vendedores antes da primeira utilização;
c. Realizou Avaliação de Impacto sobre a Proteção de Dados (AIPD/DPIA) quando aplicável (Art. 35 RGPD), em particular pela utilização de tecnologia inovadora ou pelo tratamento sistemático de dados de trabalhadores;
d. Cumpriu a legislação laboral aplicável sobre meios de vigilância à distância (Arts. 20.º e 21.º do Código do Trabalho), incluindo, quando aplicável, a obtenção de autorização da CNPD (Deliberação n.º 1638/2013) e a consulta à comissão de trabalhadores (Art. 21.º, n.º 1 do Código do Trabalho);
e. Possui todos os direitos, consentimentos e autorizações necessários para fornecer os Dados do Cliente à Glivo e autorizar o tratamento conforme este DPA.
3.2 Cooperação
O Cliente coopera razoavelmente com a Glivo para que esta cumpra as suas obrigações sob a Legislação de Proteção de Dados, especialmente no atendimento a titulares e autoridades.
3.3 Configurações e decisões
O Cliente reconhece e concorda que é responsável por certas configurações e decisões de design dos Serviços e pela sua implementação em conformidade com a Legislação de Proteção de Dados, incluindo:
a. Períodos de conservação dos dados (configuráveis nos Serviços); b. Atribuição de papéis e permissões aos Utilizadores Finais; c. Definição de métricas e prompts que orientam a análise da IA; d. Decisões de eliminação de gravações específicas; e. Escolha sobre exportação de dados para fora da plataforma.
3.4 Atendimento a titulares
O Cliente é o responsável primário por receber e responder a pedidos de titulares de dados (Arts. 12.º a 22.º RGPD). A Glivo atua apenas como auxiliar, conforme ponto 2.6.
3.5 Categorias especiais e dados de menores
O Cliente compromete-se a não inserir intencionalmente nos Serviços dados das categorias especiais (Art. 9 RGPD: saúde, religião, convicções políticas, orientação sexual, dados biométricos para identificação, dados genéticos) ou dados de menores. Caso esses dados surjam acidentalmente nas gravações, o Cliente reconhece os limites técnicos da anonimização automática.
4. Subcontratantes ulteriores (Art. 28.º, n.º 2 RGPD)
4.1 Autorização geral
O Cliente concede à Glivo autorização geral por escrito para contratar subcontratantes ulteriores para auxiliar na prestação dos Serviços, listados em https://glivo.ai/subprocessors (ou URL equivalente), atualizados periodicamente.
4.2 Notificação de novos subcontratantes ulteriores
A Glivo notifica o Cliente sobre novos subcontratantes ou substituição de subcontratantes existentes com antecedência razoável (mínimo de 15 dias), por meio de e-mail aos contactos informados ou aviso na plataforma.
4.3 Direito de oposição
O Cliente poderá opor-se à contratação de novo subcontratante no prazo de 15 dias após a notificação, mediante justificação razoável fundada em risco à proteção dos dados. Nesse caso, as Partes negoceiam de boa-fé alternativas comercialmente viáveis. Caso não se chegue a acordo, qualquer das Partes poderá rescindir o MSA proporcionalmente, com reembolso pro rata das taxas pré-pagas.
4.4 Obrigações dos subcontratantes ulteriores
A Glivo celebra com cada subcontratante ulterior contrato escrito que impõe obrigações comparáveis às deste DPA, em especial quanto à confidencialidade, segurança, instruções de tratamento e cooperação (Art. 28.º, n.º 4 RGPD).
4.5 Responsabilidade
A Glivo permanece plenamente responsável pelos atos e omissões dos seus subcontratantes ulteriores na mesma medida em que seria responsável caso tivesse praticado tais atos diretamente, ressalvadas as limitações de responsabilidade do MSA (Art. 28.º, n.º 4 RGPD).
5. Transferências internacionais de dados (Capítulo V do RGPD)
5.1 Múltiplas jurisdições
A Glivo poderá tratar Dados do Cliente em uma ou mais jurisdições, incluindo aquelas onde estejam localizados os seus subcontratantes ulteriores, prestadores e fornecedores de nuvem. Em particular, a Glivo LLC está sediada nos Estados Unidos da América.
5.2 Salvaguardas
Quando aplicável a transferência internacional para fora do Espaço Económico Europeu, a Glivo adota uma ou mais das seguintes salvaguardas previstas nos Arts. 44.º a 49.º do RGPD:
a. Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914), incluindo o módulo aplicável (responsável-subcontratante ou subcontratante-subcontratante ulterior); b. Decisões de adequação emitidas pela Comissão Europeia, quando aplicáveis (incluindo, para os EUA, a EU-U.S. Data Privacy Framework, quando vigente, relativamente a entidades certificadas); c. Avaliação de Impacto da Transferência (Transfer Impact Assessment, à luz do acórdão Schrems II do TJUE, processo C-311/18) para avaliar a legislação do país terceiro; d. Medidas suplementares técnicas (cifragem reforçada, anonimização prévia) e organizativas, nos termos das Recomendações 01/2020 do EDPB, quando necessário; e. Compromisso contratual dos subcontratantes ulteriores de não reterem os dados após o tratamento e de não os utilizarem para treinar modelos próprios; f. Pelas regras vinculativas para empresas (BCR), quando aplicáveis.
5.3 Transparência
A lista atualizada de subcontratantes ulteriores e respetivas localizações está disponível em https://glivo.ai/subprocessors ou pode ser solicitada por escrito ao EPD da Glivo.
6. Disposições adicionais — outras jurisdições
6.1 Cliente sujeito a regulamentações específicas
Quando o Cliente esteja sujeito a regulamentações setoriais para além do RGPD (ex.: regulamentações da saúde, financeiras, do setor público), as Partes poderão celebrar adendas específicas para atender a tais exigências, observadas as obrigações deste DPA como base mínima.
6.2 Não comercialização de dados
A Glivo declara expressamente que:
a. Não “vende” Dados do Cliente, em qualquer interpretação aplicável; b. Não partilha Dados do Cliente para publicidade comportamental ou cross-context; c. Não combina Dados do Cliente com dados pessoais de outras fontes para fins externos à prestação dos Serviços; d. Não usa Dados do Cliente para treinar modelos próprios da Glivo, salvo autorização expressa do Cliente.
7. Definições
- Autoridade de controlo: entidade pública independente competente para a supervisão da aplicação do RGPD; em Portugal, a Comissão Nacional de Proteção de Dados (CNPD).
- Dados do Cliente: dados pessoais tratados pela Glivo em nome do Cliente para a prestação dos Serviços.
- Dados pessoais: conforme definido no Art. 4.º, n.º 1 do RGPD.
- Categorias especiais: conforme definido no Art. 9.º do RGPD.
- Legislação de Proteção de Dados: RGPD, Lei n.º 58/2019 e demais legislação aplicável.
- Responsável pelo Tratamento: conforme definido no Art. 4.º, n.º 7 do RGPD.
- Subcontratante: conforme definido no Art. 4.º, n.º 8 do RGPD.
- Subcontratante ulterior: prestador contratado pela Glivo (subcontratante) para auxiliar no tratamento dos Dados do Cliente.
- Titular: conforme definido no Art. 4.º, n.º 1 do RGPD.
- Tratamento: conforme definido no Art. 4.º, n.º 2 do RGPD.
- Violação de dados pessoais: conforme Art. 4.º, n.º 12 do RGPD.
Anexo I — Detalhes do tratamento (Art. 28.º, n.º 3 RGPD)
1. Natureza e finalidade
Prestação dos Serviços de gravação, transcrição automática, anonimização de PII e análise por inteligência artificial de atendimentos comerciais, com objetivo de coaching e desenvolvimento profissional dos vendedores do Cliente.
2. Duração
Duração do MSA, acrescida do prazo necessário para devolução ou eliminação dos dados, conforme Cláusula 2.10.
3. Categorias de Dados do Cliente
a. Dados de registo de Utilizadores Finais (nome, e-mail, telemóvel, função, unidade); b. Áudio de atendimentos comerciais; c. Transcrições textuais dos atendimentos (com PII anonimizada); d. Análises e indicadores gerados pela IA; e. Dados de utilização dos Serviços (registos, sessões, dispositivos); f. Eventuais dados pessoais de clientes finais mencionados durante a conversa (sujeitos a anonimização automática).
4. Categorias de titulares
a. Clientes finais atendidos pelos Utilizadores Finais do Cliente; b. Vendedores que utilizam os Serviços; c. Gestores e administradores do Cliente; d. Eventualmente, terceiros mencionados nas conversas.
5. Categorias especiais
Não há intenção de tratar dados das categorias especiais (Art. 9 RGPD). O Cliente é orientado a evitar recolher tais dados durante atendimentos. Caso surjam acidentalmente, são submetidos à anonimização automática como camada adicional de proteção.
6. Frequência
Tratamento contínuo, conforme utilização dos Serviços pelo Cliente.
7. Períodos de conservação
| Categoria | Prazo padrão |
|---|---|
| Áudio bruto | 90 dias (configurável) |
| Transcrições anonimizadas | Conforme política do Cliente |
| Resultados de análise | Conforme política do Cliente |
| Dados de registo | Vínculo + prazos legais |
| Registos de auditoria | Até 6 anos |
Anexo II — Medidas técnicas e organizativas de segurança (Art. 32 RGPD)
1. Medidas técnicas
a. Cifragem em trânsito: TLS 1.2 ou superior em todas as ligações; b. Cifragem em repouso: AES-256 ou equivalente para áudios, transcrições e dados sensíveis; c. Isolamento de dados por organização (Row-Level Security na base de dados); d. Anonimização automática de PII em transcrições, antes da disponibilização aos gestores; e. Autenticação com palavra-passe forte, hash com algoritmos modernos (bcrypt/argon2), tokens com expiração; f. Controlo de acesso baseado em papéis (RBAC), princípio do menor privilégio; g. Registos de auditoria de acessos administrativos e operações sensíveis; h. Cópias de segurança regulares com política de retenção e teste periódico de restauro; i. Monitorização contínua de segurança e deteção de anomalias.
2. Medidas organizativas
a. Políticas internas de segurança da informação e privacidade; b. Formação periódica da equipa em proteção de dados e segurança; c. Termos de confidencialidade assinados por todos os colaboradores e prestadores; d. Revisão periódica de acessos e permissões; e. Plano de resposta a incidentes documentado e testado; f. Plano de continuidade de negócio e recuperação de desastres; g. Avaliação periódica de fornecedores e subcontratantes ulteriores; h. Encarregado da Proteção de Dados (EPD/DPO) designado.
3. Certificações
A Glivo opera em centros de dados certificados em padrões internacionais de segurança da informação (ISO 27001, SOC 2 Type II ou equivalentes). Certificações específicas podem ser solicitadas mediante NDA.
Anexo III — Subcontratantes ulteriores
A lista atualizada de subcontratantes ulteriores é mantida em https://glivo.ai/subprocessors (ou URL equivalente).
Categorias atuais incluem:
| Categoria | Finalidade |
|---|---|
| Fornecedor de nuvem | Alojamento de aplicação, base de dados e armazenamento |
| Modelos de linguagem (LLM) | Análise das transcrições, geração de insights |
| Transcrição de áudio | Conversão de áudio em texto |
| E-mail transacional | Envio de notificações e comunicações |
| Monitorização e registos | Observabilidade, segurança, uptime |
| Processamento de pagamentos | Cobrança das taxas (quando aplicável) |
A Glivo atualiza esta lista mediante notificação prévia ao Cliente, conforme Cláusula 4.
Aceitação
Ao aceitar o MSA, o Cliente aceita integralmente este DPA, declarando ter:
- Lido e compreendido todas as cláusulas e anexos;
- Capacidade legal para celebrar este DPA em nome da pessoa coletiva que representa;
- Conhecimento das obrigações do Cliente como Responsável pelo Tratamento, em especial quanto à recolha de bases legais, sinalização aos clientes finais e atendimento a titulares.
Glivo LLC — Wyoming, EUA · Encarregado da Proteção de Dados (EPD/DPO): [a definir] — hello@glivo.ai
Representante UE (Art. 27 RGPD): [a definir]
Versão: abril/2026.