Acordo de tratamento de dados 

Data de entrada em vigor: 28/03/2026

Acordo de Tratamento de Dados (ATD)

O presente Acordo de Tratamento de Dados (“ATD”) é celebrado entre:

  • Responsável pelo tratamento: A entidade Cliente identificada nos Termos de Serviço ou Plano de Subscrição aplicáveis da Bomdiu (doravante “Responsável pelo tratamento” ou “o utilizador”); e
  • Subcontratante: Bomdiu SINGLE MEMBER PC, sociedade registada na Grécia (GEMI: 190310106000, NIF: EL803131996), com sede social em Geor. Gennimata 21, 555 35 Thessaloniki, Grécia (doravante “Subcontratante”, “Bomdiu”, “nós” ou “nosso(a)(s)”).

Conjuntamente designados como as “Partes.”

O presente ATD complementa e faz parte integrante do acordo celebrado entre as Partes para a prestação do conjunto de produtos B2B da Bomdiu para o setor da alimentação e bebidas, conforme regulado pelos Termos de Serviço (o “Acordo”). Em caso de conflito entre o presente ATD e o Acordo, o presente ATD prevalecerá no que respeita a questões de proteção de dados.

1. Definições

Os termos não definidos no presente documento terão o significado que lhes é atribuído no Acordo ou no Regulamento (UE) 2016/679 (“RGPD”).

  • “Dados Pessoais”: Qualquer informação relativa a uma pessoa singular identificada ou identificável que seja tratada pelo Subcontratante em nome do Responsável pelo tratamento no âmbito do Serviço.
  • “Tratamento”: Qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais, conforme definido no Art. 4.º, n.º 2, do RGPD.
  • “Subcontratante ulterior”: Qualquer terceiro contratado pelo Subcontratante para tratar Dados Pessoais em nome do Responsável pelo tratamento.
  • “Violação de Dados”: Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso a Dados Pessoais transmitidos, conservados ou de outro modo tratados.
  • “CCT”: As Cláusulas Contratuais-Tipo para a transferência de dados pessoais para países terceiros, adotadas pela Comissão Europeia.
  • “Legislação Aplicável em Matéria de Proteção de Dados”: O RGPD, a Lei Helénica de Proteção de Dados (Lei 4624/2019) e qualquer outra legislação aplicável da UE ou de um Estado-Membro em matéria de proteção de dados.

2. Âmbito e Finalidade do Tratamento

2.1. Objeto

O Subcontratante trata Dados Pessoais em nome do Responsável pelo tratamento para disponibilizar a plataforma B2B da Bomdiu para o setor da alimentação e bebidas, incluindo gestão de encomendas, gestão de catálogos, sincronização de dados, inteligência empresarial e processamento de documentos assistido por IA.

2.2. Duração

O tratamento prosseguirá durante a vigência do Acordo. Após a cessação, aplicar-se-ão as disposições da Secção 11 do presente ATD.

2.3. Natureza e Finalidade do Tratamento

O Subcontratante trata Dados Pessoais para as seguintes finalidades:

  • Alojamento e operação da plataforma e das suas funcionalidades
  • Facilitação de encomendas e comunicações entre Fornecedores e Compradores
  • Sincronização de dados com Serviços Conectados (por exemplo, sistemas ERP)
  • Extração e organização de dados empresariais a partir de documentos (faturas, encomendas, catálogos) assistidas por IA
  • Disponibilização de funcionalidades de análise e inteligência empresarial
  • Envio de comunicações eletrónicas transacionais (confirmações de encomenda, notificações)
  • Prestação de apoio ao cliente

2.4. Tipos de Dados Pessoais

  • Informações de contacto: nomes, endereços de correio eletrónico, números de telefone, moradas de entrega
  • Informações de colaboradores/pessoal: nomes, cargos, funções na plataforma
  • Dados de encomendas e transações: históricos de encomendas, mensagens de conversação entre Fornecedor e Comprador
  • Identificadores técnicos: endereços IP (tratados de forma transitória), credenciais de conta (com hash)

2.5. Categorias de Titulares dos Dados

  • Colaboradores e prestadores de serviços do Responsável pelo tratamento (Utilizadores Autorizados)
  • Pessoas de contacto dos clientes do Responsável pelo tratamento (Compradores) ou fornecedores (Fornecedores)
  • Pessoal de entrega e contactos logísticos

3. Obrigações do Responsável pelo Tratamento

O Responsável pelo tratamento deve:

  1. Assegurar que as suas instruções para o tratamento de Dados Pessoais estão em conformidade com a Legislação Aplicável em Matéria de Proteção de Dados.
  2. Ter obtido todos os consentimentos necessários ou estabelecido uma base jurídica lícita para o tratamento dos Dados Pessoais fornecidos ao Subcontratante.
  3. Informar o Subcontratante, sem demora injustificada, de quaisquer pedidos de titulares dos dados que receba diretamente, na medida em que estejam relacionados com as atividades de tratamento do Subcontratante.
  4. Ser o único responsável pela exatidão, qualidade e licitude dos Dados Pessoais fornecidos ao Subcontratante.

4. Obrigações do Subcontratante

4.1. Instruções de Tratamento

O Subcontratante tratará os Dados Pessoais apenas com base em instruções documentadas do Responsável pelo tratamento, incluindo no que respeita a transferências de Dados Pessoais para um país terceiro, salvo se a tal for obrigado pelo direito da UE ou do Estado-Membro a que o Subcontratante está sujeito. Nesse caso, o Subcontratante informará o Responsável pelo tratamento dessa exigência legal antes do tratamento, a menos que a lei proíba tal notificação.

As Partes acordam que o Acordo (incluindo o presente ATD) e a utilização do Serviço pelo Responsável pelo tratamento constituem as instruções documentadas completas e definitivas do Responsável pelo tratamento ao Subcontratante. Quaisquer instruções adicionais ou alternativas devem ser acordadas separadamente por escrito.

4.2. Confidencialidade

O Subcontratante assegurará que as pessoas autorizadas a tratar Dados Pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

4.3. Medidas de Segurança

O Subcontratante implementará medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, conforme apropriado:

  • Cifragem de Dados Pessoais em trânsito (SSL/TLS) e em repouso
  • Medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento
  • A capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada em caso de incidente físico ou técnico
  • Controlos de acesso rigorosos e mecanismos de autenticação (acesso baseado em funções)
  • Auditorias e testes de segurança regulares
  • Sistemas de cópia de segurança com armazenamento cifrado e um ciclo de retenção máximo de 30 dias

O Subcontratante analisará e atualizará regularmente estas medidas para refletir alterações na tecnologia, nas ameaças e na natureza dos dados tratados.

4.4. Assistência ao Responsável pelo Tratamento

O Subcontratante, tendo em conta a natureza do tratamento e as informações ao seu dispor, assistirá o Responsável pelo tratamento através de medidas técnicas e organizativas adequadas, na medida do possível, no cumprimento da obrigação do Responsável pelo tratamento de dar resposta aos pedidos dos titulares dos dados ao abrigo do Capítulo III do RGPD (acesso, retificação, apagamento, limitação, portabilidade e oposição).

O Subcontratante assistirá igualmente o Responsável pelo tratamento no cumprimento das seguintes obrigações:

  • Obrigação de notificação de violações de Dados Pessoais (Artigos 33.º e 34.º do RGPD)
  • Avaliações de impacto sobre a proteção de dados (Artigo 35.º do RGPD)
  • Consulta prévia à autoridade de controlo (Artigo 36.º do RGPD)

Quando essa assistência exigir um esforço significativo para além do funcionamento normal do Serviço, o Subcontratante poderá cobrar uma taxa razoável com base nos custos efetivos do Subcontratante.

5. Subcontratantes Ulteriores

5.1. Autorização Geral

O Responsável pelo tratamento concede ao Subcontratante autorização geral por escrito para contratar Subcontratantes ulteriores para a realização de atividades de tratamento específicas em nome do Responsável pelo tratamento. O Subcontratante assegurará que cada Subcontratante ulterior está vinculado por obrigações de proteção de dados não menos protetoras do que as estabelecidas no presente ATD.

5.2. Subcontratantes Ulteriores Atuais

Os Subcontratantes ulteriores atuais do Subcontratante à data do presente ATD estão listados no Anexo B. Uma lista atualizada é igualmente mantida na Política de Privacidade.

5.3. Alterações aos Subcontratantes Ulteriores

O Subcontratante notificará o Responsável pelo tratamento de quaisquer alterações previstas relativas à adição ou substituição de Subcontratantes ulteriores com pelo menos trinta (30) dias de antecedência relativamente ao início do tratamento de Dados Pessoais pelo novo Subcontratante ulterior, dando assim ao Responsável pelo tratamento a oportunidade de se opor a tais alterações.

5.4. Direito de Oposição

Se o Responsável pelo tratamento tiver uma objeção razoável e documentada a um novo Subcontratante ulterior com base em motivos de proteção de dados, o Responsável pelo tratamento notificará o Subcontratante por escrito no prazo de quinze (15) dias a contar da receção da notificação do Subcontratante. As Partes discutirão a objeção de boa-fé com vista a alcançar uma resolução comercialmente razoável.

Se não for possível alcançar uma resolução no prazo de trinta (30) dias a contar da objeção do Responsável pelo tratamento, o Responsável pelo tratamento poderá resolver o Acordo (ou a parte afetada do Serviço) mediante notificação escrita, sem penalização. O Subcontratante reembolsará quaisquer taxas pré-pagas correspondentes à parte não utilizada do período de subscrição após a data efetiva da resolução.

5.5. Responsabilidade pelos Subcontratantes Ulteriores

O Subcontratante permanecerá plenamente responsável perante o Responsável pelo tratamento pelo cumprimento das obrigações de cada Subcontratante ulterior ao abrigo do presente ATD.

6. Transferências Internacionais de Dados

6.1. Princípio Geral

O Subcontratante não transferirá Dados Pessoais para um país fora do Espaço Económico Europeu (EEE) sem que estejam implementadas as garantias adequadas exigidas pelo Capítulo V do RGPD.

6.2. Mecanismos de Transferência

Quando sejam necessárias transferências para fora do EEE, o Subcontratante recorre a um ou mais dos seguintes mecanismos:

  • Cláusulas Contratuais-Tipo da UE (CCT): O Subcontratante celebrou CCT (Decisão de Execução da Comissão (UE) 2021/914) com os Subcontratantes ulteriores relevantes.
  • Quadro de Proteção de Dados UE-EUA (DPF): Para Subcontratantes ulteriores sediados nos EUA que estejam certificados ao abrigo do DPF, o Subcontratante poderá recorrer ao DPF como mecanismo de transferência válido. O Subcontratante verifica periodicamente o estado de certificação desses Subcontratantes ulteriores.
  • Medidas Suplementares: Quando exigido por Avaliações de Impacto das Transferências (AIT), o Subcontratante implementa salvaguardas técnicas ou organizativas adicionais, tais como cifragem em trânsito e em repouso.

6.3. Avaliações de Impacto das Transferências

O Subcontratante realiza Avaliações de Impacto das Transferências para transferências de dados para países terceiros e disponibilizará resumos ao Responsável pelo tratamento mediante pedido razoável.

7. Notificação de Violação de Dados

7.1. Notificação ao Responsável pelo Tratamento

O Subcontratante notificará o Responsável pelo tratamento sem demora injustificada, e em qualquer caso no prazo de quarenta e oito (48) horas, após tomar conhecimento de uma Violação de Dados que afete Dados Pessoais tratados em nome do Responsável pelo tratamento.

7.2. Conteúdo da Notificação

A notificação incluirá, na medida do conhecido no momento:

  1. Uma descrição da natureza da Violação de Dados, incluindo as categorias e o número aproximado de titulares dos dados e de registos de Dados Pessoais afetados.
  2. O nome e os dados de contacto do ponto de contacto do Subcontratante para obtenção de informações adicionais.
  3. Uma descrição das consequências prováveis da Violação de Dados.
  4. Uma descrição das medidas adotadas ou propostas para fazer face à Violação de Dados, incluindo medidas para atenuar os seus eventuais efeitos adversos.

Se não for possível fornecer todas as informações em simultâneo, o Subcontratante fornecerá as informações por fases, sem demora adicional injustificada.

7.3. Cooperação

O Subcontratante cooperará com o Responsável pelo tratamento e tomará medidas comerciais razoáveis para assistir na investigação, mitigação e remediação da Violação de Dados. O Subcontratante não informará terceiros sobre uma Violação de Dados sem consultar previamente o Responsável pelo tratamento, salvo se exigido por lei.

8. Auditorias e Inspeções

8.1. Direitos de Auditoria

O Subcontratante disponibilizará ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no Artigo 28.º do RGPD e no presente ATD, e permitirá e contribuirá para a realização de auditorias, incluindo inspeções, conduzidas pelo Responsável pelo tratamento ou por um auditor independente mandatado pelo Responsável pelo tratamento.

8.2. Procedimentos de Auditoria

As auditorias estarão sujeitas às seguintes condições:

  1. O Responsável pelo tratamento fornecerá um pré-aviso escrito de pelo menos trinta (30) dias antes de uma auditoria, salvo se a auditoria for exigida devido a uma Violação de Dados ou a uma ordem de uma autoridade de controlo.
  2. As auditorias serão realizadas durante o horário normal de expediente e de forma a não perturbar de modo irrazoável as operações do Subcontratante.
  3. O Responsável pelo tratamento suportará os custos de qualquer auditoria por si iniciada, salvo se a auditoria revelar uma violação material do presente ATD por parte do Subcontratante.
  4. As auditorias não excederão uma (1) por ano civil, salvo se tiver ocorrido uma Violação de Dados ou uma autoridade de controlo ordenar ou solicitar uma auditoria adicional.
  5. O auditor (se for um terceiro) estará vinculado por obrigações de confidencialidade aceitáveis para o Subcontratante.

8.3. Provas Alternativas

O Subcontratante poderá satisfazer os pedidos de auditoria fornecendo ao Responsável pelo tratamento relatórios de auditoria de terceiros relevantes, certificações (por exemplo, SOC 2, ISO 27001) ou outras provas de conformidade, desde que tais provas respondam de forma razoável aos objetivos de auditoria do Responsável pelo tratamento.

9. Tratamento Assistido por IA

9.1. Âmbito

O Subcontratante utiliza tecnologias de inteligência artificial e aprendizagem automática como parte do Serviço para auxiliar na extração, organização e tratamento de dados empresariais a partir de documentos tais como faturas, encomendas e catálogos.

9.2. Subcontratantes Ulteriores para IA

Os Dados Pessoais tratados através de funcionalidades de IA poderão ser transmitidos aos seguintes Subcontratantes ulteriores de IA (igualmente listados no Anexo B):

  • Cloudflare (Workers AI): Para inferência de IA na infraestrutura da Cloudflare, incluindo modelos de código aberto. Localização dos dados: UE (principal), EUA. Mecanismo de transferência: DPF UE-EUA; CCT.
  • Google (Vertex AI): Para inferência de IA. Localização dos dados: região da UE. Mecanismo de transferência: CCT; DPA Google.

9.3. Minimização dos Dados

Apenas os dados estritamente necessários para disponibilizar a funcionalidade de IA relevante são transmitidos aos Subcontratantes ulteriores de IA.

9.4. Proibição de Treino de Modelos

Os Dados Pessoais tratados através de funcionalidades de IA são utilizados exclusivamente para inferência e não são utilizados para treinar modelos de IA. O Subcontratante assegura que os seus Subcontratantes ulteriores de IA estão contratualmente proibidos de conservar ou utilizar Dados Pessoais para fins de treino de modelos.

9.5. Supervisão Humana

Os resultados gerados por IA são apresentados para revisão e confirmação humana antes de qualquer ação ser tomada. Nenhuma decisão automatizada com efeitos jurídicos ou igualmente significativos é tomada exclusivamente por IA sem revisão humana.

10. Decisões Automatizadas

O Subcontratante não efetua decisões individuais automatizadas nem definição de perfis que produzam efeitos jurídicos relativamente aos titulares dos dados ou que os afetem de forma igualmente significativa, conforme definido no Artigo 22.º do RGPD. Se tal se alterar, o Subcontratante notificará o Responsável pelo tratamento e atualizará o presente ATD em conformidade.

11. Devolução e Eliminação de Dados

11.1. Exportação de Dados

Após a cessação ou caducidade do Acordo, o Responsável pelo tratamento disporá de um período de noventa (90) dias (“Período de Recuperação”) para exportar os seus Dados Pessoais do Serviço. O Subcontratante disponibilizará os dados para exportação num formato estruturado, de uso corrente e de leitura automática (por exemplo, CSV ou JSON através das funcionalidades de exportação da plataforma ou API).

11.2. Eliminação

Após o Período de Recuperação, o Subcontratante eliminará ou anonimizará todos os Dados Pessoais tratados em nome do Responsável pelo tratamento, salvo se a sua conservação for exigida pelo direito da UE ou de um Estado-Membro. O Subcontratante confirmará a eliminação por escrito mediante pedido do Responsável pelo tratamento.

11.3. Retenção de Cópias de Segurança

Os Dados Pessoais poderão persistir em cópias de segurança cifradas por um período máximo de trinta (30) dias após a eliminação dos sistemas de produção, em conformidade com o calendário de rotação de cópias de segurança do Subcontratante. Os dados de cópia de segurança não são ativamente tratados e apenas são restaurados em cenários de recuperação de desastres.

O Subcontratante poderá conservar Dados Pessoais limitados quando tal for exigido para cumprir obrigações legais (por exemplo, registos fiscais ao abrigo da Lei Grega 4987/2022, Art. 36.º: 5 anos, extensíveis a 10 anos em caso de auditorias pendentes), resolver litígios ou fazer cumprir o Acordo. Sempre que possível, os dados conservados serão isolados e sujeitos a restrições de acesso.

12. Responsabilidade

A responsabilidade das Partes ao abrigo do presente ATD estará sujeita às limitações e exclusões de responsabilidade previstas no Acordo, exceto na medida em que a Legislação Aplicável em Matéria de Proteção de Dados exija o contrário.

13. Vigência e Alterações

13.1. Vigência

O presente ATD produzirá efeitos na data em que o Responsável pelo tratamento aceitar o Acordo e permanecerá em vigor enquanto o Subcontratante tratar Dados Pessoais em nome do Responsável pelo tratamento.

13.2. Alterações

O presente ATD poderá ser alterado pelo Subcontratante para refletir alterações na Legislação Aplicável em Matéria de Proteção de Dados ou orientações das autoridades de controlo. As alterações materiais serão notificadas ao Responsável pelo tratamento com pelo menos trinta (30) dias de antecedência. A continuação da utilização do Serviço pelo Responsável pelo tratamento após a entrada em vigor da alteração constitui aceitação. Se o Responsável pelo tratamento não concordar com a alteração, poderá resolver o Acordo em conformidade com a Secção 17 dos Termos de Serviço.

14. Lei Aplicável e Jurisdição

O presente ATD é regido pelas leis da República Helénica (Grécia) e está sujeito à jurisdição exclusiva dos Tribunais de Thessaloniki, em consonância com o Acordo.

Anexo A — Descrição do Tratamento

ElementoDescrição
ObjetoTratamento de Dados Pessoais para disponibilizar a plataforma B2B da Bomdiu para o setor da alimentação e bebidas
DuraçãoDuração do Acordo acrescida dos períodos de retenção pós-cessação descritos na Secção 11
Natureza do tratamentoRecolha, conservação, organização, consulta, utilização, divulgação por transmissão, alinhamento, combinação, limitação, apagamento, destruição
FinalidadeAlojamento da plataforma, facilitação de encomendas, sincronização de dados, processamento de documentos assistido por IA, análise, comunicações transacionais, apoio ao cliente
Tipos de Dados PessoaisDados de contacto (nome, email, telefone, morada), informações de colaboradores (nome, cargo), dados de encomendas/transações, mensagens de conversação, identificadores técnicos (endereço IP, credenciais com hash)
Categorias de titulares dos dadosColaboradores e prestadores de serviços do Responsável pelo tratamento, pessoas de contacto dos clientes/fornecedores do Responsável pelo tratamento, pessoal de entrega/logística

Anexo B — Subcontratantes Ulteriores Autorizados

Os seguintes Subcontratantes ulteriores estão autorizados à data de publicação do presente ATD:

Subcontratante ulteriorServiçoDados TratadosLocalização dos DadosMecanismo de Transferência
CloudflareCDN, base de dados (D1), alojamento (Workers/Pages), análise web, inferência de IA (Workers AI)Dados técnicos, dados de conta, dados operacionaisUE (principal), EUADPF UE-EUA; CCT
PlanetScaleAlojamento de base de dadosDados de conta, dados operacionaisUECCT
UpCloudAlojamento de infraestruturaDados de conta, dados operacionaisUEN/A (apenas EEE)
Fly.ioAlojamento de serviçosDados de conta, dados operacionaisUEN/A (apenas EEE)
ResendEnvio de correio eletrónico transacionalDados de contacto (nome, email), conteúdo de notificaçõesEUADPF UE-EUA; CCT
PostHogAnálise de produto, gravação de sessões (Cloud UE)Eventos de análise de utilização, dados de gravação de sessões (incluindo conteúdo/interações no ecrã que podem incluir dados pessoais), identificadores internos de organização/clienteUEN/A (apenas EEE)
Google (Vertex AI)Inferência de IA (processamento de documentos)Conteúdo de documentos (faturas, encomendas, catálogos) que pode conter dados de contactoRegião da UECCT; DPA Google
Better AuthInfraestrutura de autenticação (painel de controlo, proteção contra abusos, registo de auditoria)Dados de conta, eventos de autenticação, eventos de segurança (endereços IP, impressões digitais do navegador, localizações de início de sessão), endereços de emailEUACCT

Nota: O serviço de análise Umami é autoalojado na infraestrutura própria da Bomdiu e não constitui um Subcontratante ulterior.

Contacto

Para questões relativas ao presente ATD, contacte:

Bomdiu SINGLE MEMBER PC GEMI: 190310106000 VAT: EL803131996 Geor. Gennimata 21 555 35 Thessaloniki Greece Phone: +30 231 176 8265 Email: privacy@bomdiu.com Website: https://bomdiu.com