ALerta
Rascunho — em revisão jurídica. Este documento pode ser alterado antes da versão final.

Acordo de Subcontratação de Dados

Última atualização: 9 de junho de 2026

O presente Acordo de Subcontratação de Dados ("Acordo") integra os Termos de Serviço celebrados entre si, o anfitrião que utiliza o serviço ALerta (o "Responsável pelo Tratamento"), e Carlo Dangelo, sob a marca ALerta (o "Subcontratante"), e reflete as obrigações das partes nos termos do artigo 28.º do Regulamento (UE) 2016/679 ("RGPD").

1. Papéis e objeto

Quando utiliza a ALerta para gerir os dados pessoais dos seus hóspedes, o anfitrião é o responsável pelo tratamento e a ALerta é o seu subcontratante. O presente Acordo regula esse tratamento.

Não se aplica aos seus próprios dados pessoais enquanto utilizador do Serviço (dados de conta, imóveis, definições), relativamente aos quais a ALerta é o responsável pelo tratamento — ver a Política de Privacidade.

2. Âmbito e finalidade do tratamento

O Subcontratante trata dados pessoais de hóspedes por conta do Responsável pelo Tratamento exclusivamente para:

  • Submeter registos de hóspedes ao SIBA (Sistema de Informação de Boletins de Alojamento), conforme exigido aos anfitriões de AL pela lei portuguesa
  • Armazenar e apresentar registos de reservas e estadias dos imóveis do Responsável pelo Tratamento
  • Gerar as vistas de conformidade, fiscais e operacionais do Serviço derivadas desses registos

As categorias de dados e de titulares de dados constam do Anexo.

3. Instruções documentadas

O Subcontratante trata os dados pessoais de hóspedes apenas mediante instruções documentadas do Responsável pelo Tratamento, inclusive no que respeita a transferências para países terceiros, salvo se a tal for obrigado pelo direito da União ou de um Estado-Membro a que esteja sujeito — caso em que informará o Responsável pelo Tratamento desse requisito jurídico antes do tratamento, salvo se a lei o proibir.

A utilização das funcionalidades do Serviço pelo Responsável pelo Tratamento (introdução de dados de hóspedes, submissões ao SIBA, convite de pessoal de limpeza, pedidos de exportação ou eliminação) constitui as suas instruções documentadas. O Subcontratante informará imediatamente o Responsável pelo Tratamento se, no seu entender, alguma instrução violar o RGPD ou outra legislação aplicável em matéria de proteção de dados.

4. Confidencialidade

O Subcontratante assegura que todas as pessoas autorizadas a tratar os dados pessoais de hóspedes assumiram um compromisso de confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

5. Segurança

O Subcontratante aplica medidas técnicas e organizativas adequadas para proteger os dados, conforme exigido pelo artigo 32.º do RGPD. Essas medidas estão descritas na Secção 7 ("Segurança") da Política de Privacidade e incluem encriptação em trânsito e em repouso, encriptação ao nível da aplicação dos campos de credenciais sensíveis, controlos de acesso e armazenamento de dados em região da UE.

6. Subcontratantes ulteriores

O Responsável pelo Tratamento concede ao Subcontratante uma autorização geral para recorrer a subcontratantes ulteriores no âmbito do tratamento descrito no presente Acordo.

  • A lista atual de subcontratantes ulteriores é mantida em /legal/subprocessors.
  • O Subcontratante atualizará essa página antes de adicionar ou substituir um subcontratante ulterior, dando ao Responsável pelo Tratamento a possibilidade de se opor no prazo de 30 dias a contar da atualização. Se o Responsável pelo Tratamento se opuser com fundamentos razoáveis de proteção de dados e não for encontrada uma solução, poderá cessar o Serviço e eliminar a sua conta.
  • O Subcontratante impõe a cada subcontratante ulterior, por via contratual, as mesmas obrigações de proteção de dados previstas no presente Acordo, permanecendo plenamente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações de cada subcontratante ulterior.

7. Assistência ao Responsável pelo Tratamento

Tendo em conta a natureza do tratamento, o Subcontratante:

  • Prestará assistência ao Responsável pelo Tratamento, através de medidas técnicas e organizativas adequadas (na medida do possível), no cumprimento da obrigação de dar resposta aos pedidos dos titulares de dados ao abrigo do Capítulo III do RGPD (acesso, retificação, apagamento, limitação, portabilidade, oposição). Os hóspedes devem dirigir os pedidos, em primeiro lugar, ao Responsável pelo Tratamento; se um hóspede contactar diretamente o Subcontratante, este reencaminhará o pedido para o Responsável pelo Tratamento e, conforme descrito na Política de Privacidade, responderá diretamente se o Responsável pelo Tratamento não atuar no prazo de 14 dias.
  • Prestará assistência ao Responsável pelo Tratamento no cumprimento dos artigos 32.º a 36.º do RGPD (segurança, notificação de violações de dados pessoais, comunicação de violações aos titulares, avaliações de impacto sobre a proteção de dados e consulta prévia), tendo em conta a natureza do tratamento e a informação ao dispor do Subcontratante. O Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais que afete dados de hóspedes.

8. Eliminação e devolução dos dados

Após a cessação do Serviço — incluindo quando o Responsável pelo Tratamento elimina a sua conta — o Subcontratante, consoante a escolha do Responsável pelo Tratamento, eliminará ou devolverá todos os dados pessoais de hóspedes e eliminará as cópias existentes, salvo se o direito da União ou de um Estado-Membro exigir a sua conservação.

Na prática, tal corresponde aos fluxos existentes do Serviço: o Responsável pelo Tratamento pode exportar os seus dados (incluindo registos de hóspedes) a partir das Definições, a qualquer momento antes da eliminação, e a eliminação da conta desencadeia um período de carência de 30 dias, após o qual todos os dados são definitivamente apagados, conforme descrito na Política de Privacidade. Os dados que o Responsável pelo Tratamento esteja legalmente obrigado a conservar (por exemplo, registos abrangidos pelos prazos de conservação fiscal portugueses) são tratados conforme aí descrito.

9. Direitos de auditoria

O Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Responsável pelo Tratamento ou por um auditor por este mandatado.

Os pedidos de auditoria devem ser enviados para privacy@alerta.com.pt. O Subcontratante pode satisfazer um pedido de auditoria, em primeira instância, mediante a disponibilização de documentação relevante, certificações ou relatórios de auditoria dos subcontratantes ulteriores; as inspeções presenciais exigem aviso prévio razoável, devem decorrer durante o horário normal de funcionamento e não podem perturbar de forma desrazoável as operações do Subcontratante.

10. Transferências internacionais

Os dados pessoais de hóspedes são armazenados na União Europeia (ver a lista de subcontratantes ulteriores para as regiões de armazenamento). O titular do Subcontratante, Carlo Dangelo, está sediado nos Estados Unidos e pode aceder remotamente aos dados a partir daí para efeitos de operação e suporte do Serviço; esse acesso constitui uma transferência nos termos do Capítulo V do RGPD e está salvaguardado conforme descrito na Secção 4 ("Transferências internacionais de dados") da Política de Privacidade. Alguns subcontratantes ulteriores são entidades norte-americanas que operam ao abrigo do EU-US Data Privacy Framework e/ou de Cláusulas Contratuais-Tipo, conforme listado em /legal/subprocessors.

11. Duração

O presente Acordo produz efeitos a partir do momento em que o Responsável pelo Tratamento utiliza pela primeira vez o Serviço para tratar dados pessoais de hóspedes e mantém-se em vigor enquanto o Subcontratante tratar esses dados por conta do Responsável pelo Tratamento, incluindo o período de eliminação pós-cessação previsto na Secção 8.

Anexo — Descrição do tratamento

Categorias de titulares de dados

  • Hóspedes dos imóveis de AL do Responsável pelo Tratamento (incluindo menores acompanhantes registados para efeitos de SIBA)

Categorias de dados pessoais

  • Dados de identificação: nome completo, data de nascimento, nacionalidade, naturalidade
  • Dados de documento de identificação: tipo de documento, número, país emissor
  • Dados da estadia: imóvel, datas de check-in e check-out, país de residência
  • Dados de contacto, quando recolhidos para a reserva

Não são intencionalmente tratadas categorias especiais de dados (artigo 9.º do RGPD).

Natureza e finalidade do tratamento

  • Recolha, armazenamento, transmissão ao SIBA, apresentação ao Responsável pelo Tratamento, exportação e eliminação — conforme descrito na Secção 2

Duração do tratamento

  • Durante a vigência da conta do Responsável pelo Tratamento, acrescida do período de eliminação previsto na Secção 8, sem prejuízo das obrigações legais de conservação

Subcontratante: Carlo Dangelo, sob a marca ALerta Contacto: privacy@alerta.com.pt