← Voltar

Acordo de Processamento de Dados (DPA)

Versão 2026-04-28 · Última atualização: 28 de abril de 2026

Este Acordo de Processamento de Dados (“DPA”) é parte integrante dos Termos de Serviço do ORAS e regula o tratamento de dados pessoais dos clientes finais das barbearias quando estes dados são processados através da plataforma. Aplica-se nos termos do artigo 28.º do Regulamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsável pelo tratamento (Controller): a barbearia subscritora do ORAS, identificada na sua conta.
  • Subcontratante (Processor): Verixian, Lda, com sede em Portugal.

2. Objecto e duração

A Verixian processa dados pessoais dos clientes finais da barbearia exclusivamente em nome desta, para os fins descritos na Cláusula 3. A duração do processamento é a duração da subscrição activa, mais 30 dias para recuperação de dados, após o que os dados são apagados (excepto quando exista obrigação legal de conservação; ver Cláusula 9).

3. Natureza, finalidade e tipos de dados

Categorias de titulares: clientes finais da barbearia.

Tipos de dados: nome, telefone, email, NIF (opcional), histórico de marcações, histórico de cartão de fidelização, notas internas introduzidas pela barbearia, dados de pagamento online (delegados à Stripe; a Verixian nunca vê dados de cartão).

Finalidades: agendamento e gestão de marcações, fidelização, comunicação transacional relacionada com marcações, faturação opcional via Moloni.

4. Obrigações da Verixian (Subcontratante)

  • Processar os dados apenas em conformidade com instruções documentadas da barbearia, que decorrem da utilização normal da plataforma e das funcionalidades configuradas.
  • Garantir que o pessoal autorizado a aceder aos dados está vinculado a obrigações de confidencialidade.
  • Implementar as medidas técnicas e organizativas descritas na Cláusula 6.
  • Apoiar a barbearia no cumprimento dos pedidos de exercício de direitos pelos titulares (acesso, rectificação, eliminação, portabilidade) através das funcionalidades de exportação e eliminação disponíveis em Definições → Os meus dados.
  • Notificar a barbearia sem atraso indevido (e nunca depois de 72 horas) caso tome conhecimento de uma violação de dados pessoais que afecte os dados processados em nome da barbearia.
  • Após o termo do serviço, eliminar ou devolver à barbearia todos os dados, salvo obrigação legal de conservação.

5. Subcontratantes ulteriores (subprocessadores)

A barbearia autoriza a Verixian a recorrer aos subprocessadores listados em Política de Privacidade § 5. Alterações materiais à lista (adição ou substituição de subprocessador) são comunicadas por email com pelo menos 30 dias de antecedência. Caso a barbearia se oponha por motivo razoável relacionado com protecção de dados, pode terminar a subscrição com reembolso pro-rata do período não usado.

Cada subprocessador está sujeito a obrigações contratuais equivalentes às deste DPA, incluindo Cláusulas Contratuais Tipo da Comissão Europeia para transferências internacionais quando aplicável.

6. Medidas técnicas e organizativas

  • Encriptação em repouso (AES-256) e em trânsito (TLS 1.2+).
  • Autenticação por Clerk com suporte para passkeys e MFA por email.
  • Controlo de acesso baseado em papéis (owner / staff) com isolamento por barbearia ao nível da base de dados (RLS, Row Level Security).
  • Registo de actividade de operações sensíveis (audit log).
  • Princípio do mínimo privilégio para acesso de equipa interna a produção; acessos pessoais e auditados.
  • Backups automáticos diários com retenção mínima de 7 dias, encriptados.
  • Não armazenamento de dados de cartão (delegado integralmente à Stripe, certificada PCI-DSS Level 1).

7. Transferências internacionais

Os dados aplicacionais residem em servidores Supabase na União Europeia. Subprocessadores nos EUA (Vercel, Stripe, Clerk, Resend, Apple) actuam ao abrigo das Cláusulas Contratuais Tipo da Comissão Europeia (Decisão 2021/914) e, quando aplicável, do EU-US Data Privacy Framework.

8. Auditoria

A Verixian disponibiliza, mediante pedido escrito razoável, as informações necessárias para demonstrar o cumprimento deste DPA, nomeadamente relatórios de incidentes, lista actualizada de subprocessadores e descrição das medidas técnicas em vigor. A barbearia pode solicitar uma auditoria no local com 30 dias de antecedência, no horário comercial, sem disrupção das operações; os custos da auditoria são suportados pela barbearia, salvo se a auditoria revelar incumprimento material por parte da Verixian.

9. Conservação por obrigação legal

Independentemente da terminação, certos dados podem ser conservados pelos prazos exigidos por lei (em particular, dados de faturação por 10 anos, conforme Código do IVA português). Estes dados são mantidos exclusivamente para cumprimento da obrigação legal e não são tratados para outros fins.

10. Aceitação

Este DPA considera-se aceite pela barbearia através do registo na plataforma e início da subscrição. A versão aceite e a data de aceitação são registadas no perfil da barbearia (Definições → Conformidade) e podem ser consultadas a qualquer momento.

11. Contacto

Para qualquer assunto de privacidade, incluindo o contacto com o Encarregado de Protecção de Dados (DPO): geral@verixian.com. Autoridade de controlo: CNPD.