Acordo de Processamento de Dados (APD) nos termos do art. 28.º RGPD entre Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – doravante designado «Subcontratante» – e o respetivo cliente – doravante designado «Responsável pelo tratamento» –

1. Objeto e duração do tratamento

(1) O Subcontratante presta ao Responsável pelo tratamento serviços no domínio da segurança informática e deteção de bots através do serviço «SilentShield.io».

(2) O objeto do tratamento é a análise automatizada e a filtragem de fluxos de dados para a deteção e prevenção de ataques e acessos abusivos.

(3) A duração do tratamento corresponde ao prazo do respetivo contrato principal.

2. Natureza e finalidade do tratamento

O tratamento é efetuado nomeadamente para as seguintes finalidades:

• Deteção e prevenção de acessos automatizados (bots)
• Proteção contra ataques (p. ex., DDoS, spam)
• Garantia da estabilidade e disponibilidade do sistema
• Análise de padrões de acesso para prevenção de ameaças

Podem ser tomadas decisões automatizadas (p. ex., bloqueio de pedidos) na medida em que tal seja necessário para a segurança do sistema.

3. Tipos de dados

• Endereços IP
• Dados de cabeçalho HTTP
• Informações sobre o navegador e o dispositivo
• Dados de acesso (marca temporal, URL, pedidos)
• Dados de interação e comportamento

4. Categorias de titulares de dados

• Visitantes dos sites do Responsável pelo tratamento
• Utilizadores dos serviços online do Responsável pelo tratamento

5. Obrigações do Responsável pelo tratamento

(1) O Responsável pelo tratamento é responsável pela legalidade do tratamento de dados.

(2) O Responsável pelo tratamento assegura que está autorizado a transmitir os dados ao Subcontratante.

(3) O Responsável pelo tratamento cumpre as suas obrigações de informação perante os titulares dos dados.

6. Obrigações do Subcontratante

O Subcontratante:

• trata os dados exclusivamente com base em instruções documentadas
• garante medidas técnicas e organizativas adequadas
• assegura a confidencialidade
• presta assistência relativamente aos direitos dos titulares dos dados
• presta assistência nas avaliações de impacto sobre a proteção de dados

7. Medidas técnicas e organizativas (MTO)

O Subcontratante implementa nomeadamente as seguintes medidas:

• Encriptação TLS/SSL
• Controlos de acesso e modelos de funções
• Registo e monitorização
• Proteção contra acessos não autorizados
• Auditorias de segurança regulares

8. Subcontratantes ulteriores

• Cloudflare, Inc. (EUA) – CDN, WAF, proxy, proteção DDoS
• STRATO AG (Alemanha) – Alojamento e infraestrutura

(2) O Subcontratante assegura que todos os subcontratantes ulteriores estão vinculados nos termos do art. 28.º RGPD.

(3) O Responsável pelo tratamento concede autorização geral para a utilização destes subcontratantes ulteriores.

(4) Uma lista atualizada de subcontratantes ulteriores é fornecida a pedido ou através do site.

9. Transferências para países terceiros

(1) Pode ocorrer uma transferência de dados pessoais para países terceiros (nomeadamente os EUA).

(2) Tais transferências são efetuadas exclusivamente em conformidade com o RGPD, nomeadamente através de:

• Cláusulas contratuais tipo da UE (art. 46.º RGPD)
• Se aplicável, o Quadro de Privacidade de Dados UE-EUA

10. Direitos de auditoria

(1) O Responsável pelo tratamento tem o direito de verificar o cumprimento deste acordo.

(2) O Subcontratante fornece informações adequadas para esse efeito.

(3) As auditorias devem ser anunciadas com prazo razoável e não devem interferir desproporcionadamente nas operações.

11. Eliminação de dados

Após a cessação do contrato, os dados pessoais são eliminados ou devolvidos por opção do Responsável pelo tratamento, salvo se existirem obrigações legais de conservação.

12. Responsabilidade

Aplicam-se as disposições de responsabilidade do contrato principal.