Acordo de Tratamento de Dados
Última atualização: 3 de abril de 2026
1. Partes
Responsável pelo Tratamento: Você ("Cliente") — o implementador de IA, agência ou plataforma que utiliza os serviços Audact.
Subcontratante: Audact Ltd ("Audact") — a tratar metadados de interação em seu nome.
2. Âmbito do Tratamento
Categorias de dados: Metadados de chamadas (timestamps, identificadores de jurisdição, decisões de política, resultados de validação, hashes de evidências, registos de consentimento).
Não tratados: Conteúdo de conversas, gravações de áudio, DCP para além do necessário para a validação de conformidade. Todos os DCP são encriptados com chaves por titular e sujeitos a destruição criptográfica em pedidos de apagamento.
Finalidade: Validação de conformidade, geração de evidências e manutenção de trilha de auditoria conforme instruído pelo Cliente.
3. Sub-processadores
Todos os terceiros que tratam dados em nome do Audact ou dos nossos clientes. Esta lista é mantida conforme exigido pelo Artigo 28 do RGPD.
| Sub-processador | Finalidade | Dados tratados | Localização |
|---|---|---|---|
| AWS (Frankfurt) | Alojamento de infraestrutura | Todos os dados da plataforma | UE (Frankfurt) |
| Cloudflare | CDN, DNS, proteção DDoS | Metadados de pedidos | UE + edge global |
| Telnyx | Telefonia SIP | Áudio de chamadas em trânsito, metadados de telefonia | PoPs UE — CCPs |
| LiveKit Cloud | Transporte WebRTC, deteção de turnos | Áudio em trânsito (sem retenção) | Região UE |
| Deepgram Nova-3 | Voz para texto (padrão) | Áudio em trânsito (sem retenção configurada) | EUA (endpoint UE) — CCPs |
| ElevenLabs Flash | Texto para voz (padrão) | Texto gerado por LLM | EUA/UE — CCPs |
| OpenAI / Anthropic | Inferência LLM (GPT-4o-mini padrão, Claude Sonnet premium) | Texto conversacional (sem retenção configurada) | EUA (endpoint UE quando disponível) — CCPs |
| Google Workspace | E-mail, documentos | Comunicações empresariais | EUA/UE — CCPs |
| Slack | Comunicações internas | Mensagens internas | EUA — CCPs |
| Notion | Wiki / gestão de projetos | Dados operacionais internos | EUA — CCPs |
| 1Password | Gestão de credenciais | Credenciais encriptadas | Canadá/UE |
| Stripe (quando ativo) | Processamento de pagamentos | Dados de faturação | EUA/IE — CCPs |
Os sub-processadores com sede nos EUA operam ao abrigo de Cláusulas Contratuais Padrão (CCPs) como mecanismo de transferência de acordo com o Capítulo V do RGPD.
Notificá-lo-emos 30 dias antes de adicionar ou substituir um sub-processador. Pode opor-se no prazo de 14 dias.
Última atualização: 12 de abril de 2026
4. Residência de Dados
Todos os dados de conformidade do Cliente (metadados de interação, cadeias de evidências, registos de auditoria) são armazenados e tratados exclusivamente no Espaço Económico Europeu (EEE) em AWS eu-central-1 (Frankfurt).
Certos sub-processadores listados acima têm sede nos EUA e tratam dados operacionais limitados ao abrigo de Cláusulas Contratuais Padrão (CCPs). Nenhum dado de conformidade do Cliente abandona o EEE.
5. Medidas de Segurança (RGPD Art. 32)
- Encriptação em repouso (AES-256) e em trânsito (TLS 1.3)
- Chaves de encriptação por titular para DCP (capacidade de destruição criptográfica)
- Cadeias de hash SHA-256 para integridade de evidências
- Controlo de acesso baseado em funções (RBAC)
- SOC 2 Tipo II previsto para 2027
- Testes de penetração e análise de vulnerabilidades regulares
6. Direitos dos Titulares de Dados
O Audact auxilia o Cliente no cumprimento de pedidos de titulares de dados (acesso, retificação, apagamento, portabilidade) no prazo de 72 horas após a notificação. O apagamento é implementado através de destruição criptográfica: a chave de encriptação por titular é destruída, tornando os dados pessoais permanentemente ilegíveis enquanto preserva a integridade da cadeia de evidências.
7. Notificação de Violação
O Audact notificará o Cliente de qualquer violação de dados pessoais no prazo de 36 horas após tomar conhecimento. A notificação inclui: natureza da violação, categorias de dados afetados, número aproximado de registos, consequências prováveis e medidas tomadas.
8. Vigência e Rescisão
Este ATD é válido durante a vigência do acordo de serviço. Após a rescisão, o Audact eliminará ou devolverá todos os dados do Cliente no prazo de 30 dias, exceto quando a retenção seja exigida por lei (requisitos de evidências do EU AI Act).
9. Contacto
Questões sobre o ATD: dpo@audact.ai