Acordo de Tratamento de Dados

Acordo de Tratamento de Dados

Versão 2026-05-20

Rascunho / texto provisório. Este documento é um ponto de partida a aguardar revisão jurídica. Os clientes do mercado intermédio que necessitem de um DPA assinado por ambas as partes devem escrever para teams@trueings.com. Forneceremos a versão atual revista pelos juristas a pedido.

Este Acordo de Tratamento de Dados («DPA») complementa o Master Subscription Agreement entre a Trueings e a sua organização. Aborda a forma como os dados pessoais são tratados quando a sua organização participa no canal B2B2C da Trueings.

1. Funções e responsabilidades

Os seus colaboradores são os titulares dos dados cujos dados pessoais fluem pela Trueings. Você (a organização) é o comprador do conjunto de licenças; a Trueings é a responsável pelo tratamento dos dados de conta dos colaboradores e do conteúdo de feedback; os seus colaboradores são também responsáveis pelo tratamento no que respeita às suas próprias contas e às pessoas que convidam a responder.

A sua organização não tem acesso ao conteúdo de feedback dos colaboradores. O DPA confirma essa fronteira por escrito.

2. O que tratamos em nome dos seus colaboradores

  • Dados de conta: o email de conta escolhido por cada colaborador que resgata, o nome de apresentação, o país, a profissão e a credencial de afiliação à entidade patronal (email profissional + nome de apresentação da entidade patronal, janela ativa associada à licença).
  • Conteúdo de feedback: turnos de entrevista conversacional dos respondentes que o colaborador convida, armazenados como transcrições em bruto até 30 dias após a síntese, depois eliminados automaticamente.
  • Resultado sintetizado: o relatório anonimizado e filtrado por confidencialidade, acessível apenas ao colaborador.

3. Fronteira de confidencialidade

A sua organização recebe apenas métricas agregadas e cegas ao conteúdo (taxa de resgate, taxa de conclusão, NPS de satisfação com a ferramenta, quando recolhido). A sua organização não tentará identificar que colaborador resgatou que licença, nem inferir o conteúdo do feedback a partir dos dados de envolvimento, nem obrigar os colaboradores a partilhar os seus relatórios.

4. Subcontratantes

Utilizamos os seguintes subcontratantes. A lista reflete os fornecedores em utilização ativa; as alterações significativas são notificadas com pelo menos trinta dias de antecedência.

  • Supabase: Postgres gerido e autenticação sem palavra-passe. Região UE.
  • Anthropic: inferência de modelos de linguagem. Alojada nos EUA; transferências cobertas por Cláusulas Contratuais-Tipo. Aplica-se um acordo de retenção zero ao tráfego da nossa organização, pelo que o conteúdo não é retido para além da inferência e não é utilizado para treino.
  • Resend: entrega de email transacional. Região UE.
  • Stripe: processamento de pagamentos para os planos pagos. Não armazenamos dados de cartões.

5. Retenção

  • Transcrições conversacionais em bruto: eliminadas automaticamente trinta dias após a finalização do relatório de cada colaborador.
  • Relatórios sintetizados: conservados durante a vigência da conta do colaborador (que subsiste à sua saída da organização).
  • Registos de licenças: conservados durante a vigência da conta da sua organização mais um período de arquivo legal para faturação.

6. Transferências transfronteiriças

Os dados são tratados essencialmente na União Europeia. As transferências para subcontratantes fora da UE (atualmente: Anthropic, EUA) são cobertas por Cláusulas Contratuais-Tipo e minimizadas ao que o serviço exige (apenas inferência de LLM; sem fluxo de dados identificativos em paralelo).

7. Medidas de segurança

Mantemos medidas técnicas e organizativas consentâneas com a sensibilidade dos dados, incluindo segurança ao nível da linha sobre dados pessoais, armazenamento encriptado em trânsito + em repouso, controlos de acesso por princípio do menor privilégio, e uma superfície de operador auditada para qualquer acesso entre inquilinos.

8. Direitos dos titulares dos dados

Os colaboradores podem exercer os seus direitos RGPD (acesso, retificação, eliminação, portabilidade) diretamente a partir do seu painel Trueings ou escrevendo para privacy@trueings.com. A sua organização não está envolvida nestes pedidos, de forma consentânea com a fronteira de confidencialidade acima.

9. Vigência e cessação

Este DPA mantém-se em vigor enquanto o MSA estiver em vigor E enquanto a Trueings retiver quaisquer dados pessoais tratados em nome dos seus colaboradores. A cessação aciona os prazos de retenção padrão acima.

10. Contacto

DPA assinado por ambas as partes, notificações de subcontratantes, questionários de segurança: teams@trueings.com. Pedidos de titular dos dados (colaborador): privacy@trueings.com.