Registo de Subprocessadores
Última atualização: 20 de janeiro de 2025
Este documento lista todos os subprocessadores contratados pela ZappService (NevergetOld, Lda.) para processar dados de clientes em nome dos nossos clientes.
Este registo é mantido em conformidade com o Artigo 28(2) do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE e do nosso Acordo de Processamento de Dados.
O que é um Subprocessador?
Um subprocessador é qualquer fornecedor de serviços terceiro contratado pelo ZappService para ajudar na prestação dos nossos serviços. Estes fornecedores podem ter acesso ou processar dados de clientes como parte da prestação de infraestrutura, suporte ou outros serviços operacionais.
Todos os subprocessadores são cuidadosamente avaliados e vinculados por acordos de processamento de dados que garantem que tratam os dados pessoais em conformidade com o RGPD e os nossos padrões de segurança.
Como Notificamos Alterações
De acordo com a Secção 5.5 do nosso Acordo de Processamento de Dados:
- Aviso de 30 Dias: Fornecemos aviso por escrito pelo menos 30 dias antes de contratar qualquer novo subprocessador ou substituir um existente
- Método de Aviso: Email para o seu contacto principal e notificações no painel de administração
- Direito de Objeção: Pode opor-se a qualquer novo subprocessador dentro de 30 dias se tiver motivos razoáveis relacionados com conformidade de proteção de dados
Subprocessadores Atuais
Infraestrutura e Alojamento
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | OVH SAS | França (UE) | Alojamento VPS, alojamento de base de dados, infraestrutura principal | Todos os dados de clientes incluindo dados pessoais, pedidos de serviço, atividades, contratos | RGPD aplicável (baseado na UE) | | Cloudflare, Inc. | EUA (com centros de dados na UE) | Rede de entrega de conteúdos (CDN), proteção DDoS, serviços DNS, armazenamento de ficheiros R2 (região UE) | Endereços IP, cabeçalhos HTTP, conteúdo em cache, ficheiros e anexos carregados | Cláusulas Contratuais Padrão (CCP) da UE + centros de dados na UE |
Comunicação e Email
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | Amazon Web Services EMEA SARL | Irlanda (UE) | Entrega de email via Amazon SES | Endereços de email, conteúdo de email, dados de notificação | RGPD aplicável (baseado na UE) | | Postmark (Wildbit, LLC) | EUA (com servidores na UE) | Entrega de emails transacionais | Endereços de email, nomes de destinatários, conteúdo de email | Cláusulas Contratuais Padrão (CCP) da UE |
Processamento de Pagamentos
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | Stripe, Inc. | EUA (com operações na UE) | Processamento de pagamentos, gestão de subscrições | Nomes de clientes, endereços de email, métodos de pagamento, moradas de faturação | Cláusulas Contratuais Padrão (CCP) da UE + certificado PCI DSS | | Paddle.com Market Limited | Reino Unido | Processamento de pagamentos para certas regiões | Nomes de clientes, endereços de email, informações de faturação | Decisão de Adequação do Reino Unido + conformidade RGPD |
IA e Processamento de Voz
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | Mistral AI | França (UE) | Transcrição de voz para texto (modelo Voxtral) | Ficheiros de áudio temporários (eliminados em 5 segundos), texto transcrito | RGPD aplicável (baseado na UE) | | OpenRouter (Helicone, Inc.) | EUA | Roteamento de modelos de IA para compreensão de linguagem natural | Apenas texto transcrito, consultas anonimizadas | Cláusulas Contratuais Padrão (CCP) da UE | | Google Ireland Limited | Irlanda (UE) | Análise de código via API Gemini (apenas desenvolvimento) | Código-fonte (anonimizado, sem dados de clientes) | RGPD aplicável (baseado na UE) |
Análise e Monitorização
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | Umami Software | UE (auto-alojado) | Análise de website com foco em privacidade | Endereços IP (anonimizados), visitas de páginas, referências | RGPD aplicável (auto-alojado na UE) | | Sentry (Functional Software, Inc.) | EUA (com opção UE) | Rastreamento de erros e monitorização de aplicação | Endereços IP, registos de erros, stack traces | Cláusulas Contratuais Padrão (CCP) da UE |
Ferramentas de Desenvolvimento e Suporte
| Subprocessador | Localização | Finalidade | Categorias de Dados | Mecanismo de Transferência | |---------------|-------------|------------|---------------------|---------------------------| | GitHub, Inc. (Microsoft) | EUA | Alojamento de repositório de código | Código-fonte, histórico de commits (sem dados de clientes) | Não aplicável (sem dados pessoais de clientes) | | Laravel Forge (Taylor Otwell) | EUA | Provisionamento de servidores e implementação | Metadados de servidor, registos de implementação | Não aplicável (apenas infraestrutura) |
Princípios de Processamento de Dados
Todos os subprocessadores são obrigados a:
- Processar dados apenas mediante as nossas instruções - Nenhum uso independente de dados de clientes
- Implementar medidas de segurança apropriadas - Encriptação, controlos de acesso, monitorização
- Manter confidencialidade - Pessoal vinculado por acordos de confidencialidade
- Assistir com direitos dos titulares de dados - Apoiar pedidos de acesso, eliminação e portabilidade
- Reportar violações prontamente - Dentro de 24 horas após descoberta
- Permitir auditorias - Cliente ou auditores nomeados podem rever conformidade
- Eliminar ou devolver dados - Após cessação dos serviços
Categorias Especiais de Dados
O ZappService não processa intencionalmente "categorias especiais" de dados pessoais (dados sensíveis como dados de saúde, dados biométricos, crenças religiosas, etc.) conforme definido no Artigo 9.º do RGPD.
Se planeia armazenar categorias especiais de dados no ZappService, contacte-nos em hello@zappservice.com para discutir salvaguardas adicionais.
Proteções Específicas para Serviços de IA
Para subprocessadores que fornecem serviços de IA (Mistral AI, OpenRouter, Google Gemini):
Retenção de Dados
- Ficheiros de áudio: Eliminados dentro de 5 segundos após transcrição
- Texto transcrito: Não utilizado para treino de modelos de IA
- Registos de consultas: Retidos durante 30 dias para resolução de problemas, depois eliminados
Limites de Utilização
- Plano Gratuito: 10 comandos/dia
- Plano Starter: 50 comandos/dia
- Plano Professional: 200 comandos/dia
- Plano Enterprise: Ilimitado
Opt-Out
Os clientes podem desativar completamente as funcionalidades de IA em Definições > Privacidade > Processamento de IA.
Transferências Internacionais de Dados
União Europeia (UE/EEE)
Os dados processados dentro da UE/EEE estão sujeitos diretamente às proteções do RGPD.
Reino Unido
O Reino Unido beneficia de uma decisão de adequação, garantindo padrões de proteção de dados equivalentes.
Estados Unidos
Para subprocessadores baseados nos EUA:
- Cláusulas Contratuais Padrão (CCP) estão em vigor
- Medidas suplementares incluem encriptação e controlos de acesso
- Opções de localização de dados disponíveis para clientes Enterprise
Outras Jurisdições
Atualmente não contratamos subprocessadores noutras jurisdições. Qualquer expansão futura será notificada conforme o nosso procedimento de alteração de 30 dias.
Os Seus Direitos
Direito de Objeção
Pode opor-se à utilização de qualquer subprocessador se tiver motivos razoáveis relacionados com:
- Preocupações de conformidade de proteção de dados
- Medidas de segurança inadequadas
- Riscos de localização ou ambiente legal
- Histórico de conformidade do subprocessador
Como Objetar:
- Email para hello@zappservice.com dentro de 30 dias da notificação
- Forneça razões específicas para a sua objeção
- Trabalharemos consigo para encontrar uma solução alternativa ou permitir a cessação do serviço sem penalização
Direito de Auditoria
Clientes Enterprise têm o direito de auditar a conformidade dos subprocessadores:
- Uma vez por ano a custo do ZappService
- Auditorias adicionais a custo do cliente
- Revisão de certificações existentes (ISO 27001, SOC 2) disponível
Notificação de Alterações
Mantemos este registo e notificamos os clientes de alterações via:
- Notificação por Email: Enviado ao proprietário da conta e contacto de faturação
- Alerta no Painel: Notificação na aplicação ao fazer login
- Esta Página: Atualizada em tempo real com registo de alterações abaixo
Registo de Alterações
| Data | Tipo de Alteração | Subprocessador | Descrição | |------|-------------------|---------------|-----------| | 2025-01-20 | Inicial | Todos | Publicação inicial do registo abrangente de subprocessadores com infraestrutura realista de startup | | 2025-01-20 | Atualização | OVH SAS | Confirmado como fornecedor de infraestrutura principal (França) | | 2025-01-20 | Atualização | Cloudflare | Adicionados detalhes de armazenamento R2 (região UE) | | 2025-01-13 | Adição | Mistral AI | Adicionado para serviços de transcrição de voz (baseado na UE) | | 2025-01-13 | Adição | OpenRouter | Adicionado para processamento de consultas de IA | | 2024-12-01 | Adição | Umami Software | Substituiu Google Analytics com alternativa focada em privacidade |
Questões?
Para questões sobre os nossos subprocessadores ou práticas de processamento de dados:
- Email: hello@zappservice.com
- Encarregado de Proteção de Dados: hello@zappservice.com
- Morada: Torres Vedras, Portugal
Versão do Documento: 1.0 Data de Entrada em Vigor: 20 de janeiro de 2025 Próxima Revisão: 20 de abril de 2025