Acordo de Processamento de Dados (DPA)

1. Definições

• Controlador: A instituição de ensino que contrata os serviços da we:campus
• Processador: WE:DIGITEK / we:campus, que processa dados em nome do Controlador
• Dados Pessoais: Informações relativas a pessoas identificadas ou identificáveis
• Titular dos Dados: Alunos, pais, professores e colaboradores
• Processamento: Qualquer operação realizada sobre dados pessoais
• Subprocessador: Terceiro contratado pelo Processador para auxiliar no processamento
• Violação de Dados: Incidente de segurança que resulta em acesso, divulgação ou perda de dados

2. Âmbito e Aplicabilidade

Este DPA aplica-se a todo o processamento de dados pessoais realizado pela we:campus em nome da instituição de ensino, incluindo:

• Dados de alunos (incluindo menores)
• Dados de professores e colaboradores
• Dados de pais e responsáveis legais
• Registos educacionais (FERPA - EUA)
• Dados financeiros e de pagamento

3. Papéis e Responsabilidades

3.1. Instituição de Ensino (Controlador)

O Controlador é responsável por:

• Determinar as finalidades e meios do processamento
• Garantir base legal para o processamento (consentimento, contrato, obrigação legal, etc.)
• Informar os titulares sobre o processamento de dados
• Obter consentimento parental quando necessário (menores)
• Responder a pedidos dos titulares de dados (acesso, retificação, eliminação)
• Garantir conformidade com legislação aplicável na sua jurisdição

3.2. we:campus (Processador)

O Processador compromete-se a:

• Processar dados apenas conforme instruções documentadas do Controlador
• Garantir confidencialidade de todos os que acedem aos dados
• Implementar medidas técnicas e organizacionais adequadas
• Assistir o Controlador no cumprimento de obrigações legais
• Eliminar ou devolver dados após término do contrato
• Disponibilizar informações para demonstrar conformidade
• Notificar violações de dados sem demora indevida

4. Natureza e Finalidade do Processamento

4.1. Tipos de Dados Pessoais

• Dados de Identificação: Nome, data de nascimento, número de aluno
• Dados de Contacto: Email, telefone, morada
• Dados Académicos: Notas, presenças, histórico escolar, disciplinas
• Dados Biométricos: Impressão digital, reconhecimento facial (quando aplicável)
• Dados de Saúde: Alergias, necessidades especiais (apenas se fornecidos)
• Dados Financeiros: Informações de pagamento, mensalidades
• Dados de Comunicação: Mensagens, notificações, histórico de chat
• Dados de Localização: Check-in/check-out no campus (RFID)

4.2. Categorias de Titulares

• Alunos (incluindo menores de idade)
• Pais e responsáveis legais
• Professores e docentes
• Colaboradores administrativos
• Visitantes autorizados

4.3. Finalidades do Processamento

• Gestão académica e administrativa
• Comunicação escola-família
• Controlo de acesso e segurança
• Gestão financeira e pagamentos
• Emissão de relatórios e certificados
• Suporte técnico e manutenção da plataforma

5. Instruções de Processamento

O Processador processa dados apenas:

1. Conforme instruções documentadas neste DPA e nos Termos de Serviço
2. Conforme configurações e permissões definidas pelo Controlador na plataforma
3. Conforme solicitado pelo Controlador para suporte técnico específico
4. Quando obrigado por lei aplicável (UE, Brasil, EUA, Colômbia)

6. Subprocessadores

6.1. Autorização Geral

O Controlador autoriza o uso de subprocessadores, sujeito às condições deste DPA.

6.2. Lista de Subprocessadores

Subprocessadores atuais incluem:

• Amazon Web Services (AWS): Infraestrutura de cloud (servidores EU/Brasil/EUA)
• Stripe / PayPal: Processamento de pagamentos
• SendGrid / Twilio: Envio de emails e SMS
• Google Cloud Platform: Serviços auxiliares

Lista completa e atualizada disponível em: privacy@wecampus.io

6.3. Alterações em Subprocessadores

Notificaremos o Controlador com 30 dias de antecedência sobre novos subprocessadores. O Controlador pode objetar por motivos razoáveis.

6.4. Obrigações dos Subprocessadores

Todos os subprocessadores estão vinculados a obrigações equivalentes às deste DPA, incluindo conformidade GDPR/LGPD.

7. Transferências Internacionais de Dados

7.1. Transferências da UE

Para transferências de dados da UE/EEA para países terceiros:

• Utilizamos Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia
• Garantimos medidas de segurança complementares conforme decisão Schrems II
• Servidores preferencialmente localizados na UE para clientes europeus

7.2. Transferências do Brasil

Conformidade com LGPD Artigo 33 para transferências internacionais:

• País destinatário proporciona grau adequado de proteção
• Cláusulas contratuais padrão
• Consentimento específico quando aplicável

7.3. Estados Unidos

Para instituições nos EUA:

• Conformidade com FERPA para registos educacionais
• Dados armazenados em servidores nos EUA ou conforme preferência da instituição

8. Segurança dos Dados

8.1. Medidas Técnicas

• Encriptação: TLS 1.3 em trânsito; AES-256 em repouso
• Controlo de Acessos: Autenticação multifator (MFA), gestão de permissões baseada em funções (RBAC)
• Firewall e IDS/IPS: Proteção contra intrusões
• Backups: Diários, encriptados, testados regularmente
• Monitorização: Logs de segurança 24/7, alertas automáticos
• Testes de Segurança: Penetration tests trimestrais, auditorias anuais

8.2. Medidas Organizacionais

• Políticas de Segurança: Documentadas e regularmente revistas
• Formação: Formação obrigatória em proteção de dados para toda a equipa
• Controlo de Acesso: Princípio do menor privilégio, revisões trimestrais
• Confidencialidade: Acordos de confidencialidade com todos os colaboradores
• Resposta a Incidentes: Plano documentado e testado

8.3. Certificações

• ISO 27001 (em processo de certificação)
• SOC 2 Type II compliance
• Infraestrutura: AWS / GCP (certificados ISO 27001, SOC 2, PCI-DSS)

9. Notificação de Violações de Dados

9.1. Obrigação de Notificação

Em caso de violação de dados pessoais:

• Notificação ao Controlador em até 24 horas
• Descrição da natureza da violação
• Categorias e número de titulares afetados
• Medidas de mitigação tomadas e propostas
• Ponto de contacto para mais informações

9.2. Assistência ao Controlador

Auxiliamos o Controlador a cumprir obrigações de notificação:

• GDPR: Notificação à autoridade em até 72 horas
• LGPD: Notificação à ANPD em prazo razoável
• Titulares: Notificação quando houver alto risco

10. Assistência ao Controlador

10.1. Pedidos dos Titulares de Dados

Auxiliamos o Controlador a responder a pedidos de:

• Acesso aos dados pessoais
• Retificação de dados incorretos
• Eliminação de dados ("direito ao esquecimento")
• Portabilidade de dados
• Oposição ao processamento
• Retirada de consentimento

Prazo de resposta: Fornecemos as ferramentas e dados necessários em até 7 dias úteis.

10.2. Avaliações de Impacto (DPIA)

Fornecemos informações necessárias para que o Controlador realize Data Protection Impact Assessments quando exigido.

10.3. Auditorias e Inspeções

O Controlador ou auditor designado pode:

• Solicitar informações sobre práticas de processamento
• Realizar auditorias (mediante aviso prévio razoável)
• Aceder a relatórios de conformidade e certificações

11. Retenção e Eliminação de Dados

11.1. Durante o Contrato

Dados são retidos enquanto o contrato estiver ativo e conforme necessário para prestação do serviço.

11.2. Após Rescisão

No término do contrato:

• Opção 1: Devolução de todos os dados em formato estruturado (30 dias)
• Opção 2: Eliminação segura de todos os dados (30 dias)
• Exceção: Dados mantidos por obrigação legal (informamos períodos de retenção)

11.3. Certificação de Eliminação

Fornecemos certificado escrito confirmando eliminação segura de dados.

12. Conformidade com Legislações Específicas

12.1. GDPR (União Europeia)

• Artigo 28: Processador de dados
• Artigo 32: Segurança do processamento
• Artigo 33-34: Notificação de violações
• Artigo 44-50: Transferências internacionais

12.2. LGPD (Brasil)

• Artigo 37-40: Operador de dados
• Artigo 46-49: Segurança e boas práticas
• Artigo 48: Notificação de incidentes
• Artigo 33: Transferências internacionais

12.3. FERPA (Estados Unidos)

• Atuamos como "school official" com interesse educacional legítimo
• Não divulgamos registos educacionais sem autorização
• Pais/alunos elegíveis mantêm direitos de inspeção e revisão

12.4. COPPA (Estados Unidos)

• Não recolhemos dados de menores de 13 anos sem consentimento parental
• Pais podem rever e eliminar dados dos filhos

13. Responsabilidade e Indemnização

Cada parte é responsável pelos danos causados por violação deste DPA, conforme legislação aplicável e limites contratuais.

14. Duração e Rescisão

Este DPA permanece em vigor enquanto durar o contrato de prestação de serviços. Continua aplicável durante o período de retenção de dados pós-rescisão.

15. Controlos de Dados

Controlador (Instituição): Nome e detalhes conforme contrato
Processador (we:campus):
WE:DIGITEK
Barbara Strozzilaan 201
1083HN – Amsterdam, Netherlands
Email: dpo@wecampus.io

16. Contactos para Questões de Compliance

Encarregado de Proteção de Dados (DPO):
Email: dpo@wecampus.io

Equipa Jurídica:
Email: legal@wecampus.io