Acordo de Tratamento de Dados
Data efetiva: 26 de março de 2026
1. Partes
Este DPA é celebrado entre:
- Responsável pelo Tratamento ("Responsável"): A entidade cliente que celebrou um acordo de subscrição para serviços AgentForge e determina os fins e meios do processamento de dados pessoais.
- Subcontratante ("Subcontratante"): KOWEX Co. Holding, uma empresa registada na República Checa, operando a plataforma AgentForge em agentforge.community.
2. Âmbito de Processamento
O Subcontratante deve processar dados pessoais em nome do Responsável pelo Tratamento unicamente para o fim de fornecer serviços da plataforma AgentForge, incluindo:
- Fornecimento de acesso à API e painel AgentForge
- Alojamento e servimento de configurações de servidor MCP
- Processamento de pedidos de API entre agentes e servidores MCP
- Manutenção de registos de utilização e análise
- Gestão de autenticação e controle de acesso
- Processamento de operações de subscrição e faturação
O Subcontratante deve processar dados pessoais apenas em instruções documentadas do Responsável pelo Tratamento, a menos que exigido a fazer assim pela lei da UE ou do Estado-membro.
3. Categorias de Dados Processados
As seguintes categorias de dados pessoais podem ser processadas sob este DPA:
| Categoria | Elementos de Dados | Titulares de Dados |
|---|---|---|
| Informação de conta | Endereço de e-mail, nome de apresentação, credenciais de autenticação (hash) | Colaboradores do Responsável, utilizadores autorizados |
| Dados de utilização de API | Pontos de extremidade chamados, registos de data e hora, códigos de resposta, contadores de limite de taxa | Colaboradores do Responsável, agentes |
| Metadados de servidor | Nomes de servidor MCP, descrições, definições de ferramentas, capacidades | Colaboradores do Responsável |
| Dados técnicos | Endereços IP, cadeias de agente de utilizador, metadados de pedido | Colaboradores do Responsável, agentes |
4. Medidas de Segurança
O Subcontratante implementa e mantém as seguintes medidas técnicas e organizacionais para garantir a segurança dos dados pessoais em conformidade com o Artigo 32 do GDPR:
- Encriptação em repouso: Todo o armazenamento de base de dados é encriptado usando AES-256. As chaves API são armazenadas como hashes com sal.
- Encriptação em trânsito: Todos os dados transmitidos entre clientes, servidores e subcontratantes são protegidos por TLS 1.2 ou superior.
- Controles de acesso: Controle de acesso baseado em papéis (RBAC) com princípios de menor privilégio. Autenticação multifator para acesso administrativo. Segurança em Nível de Linha (RLS) aplicada na camada de base de dados.
- Registos de auditoria: Todos os acessos de API e ações administrativas são registados com registos de data e hora, identificação de ator e detalhes de ação. Os registos são retidos durante 90 dias.
- Segurança de infraestrutura: Alojamento gerido em Supabase (SOC 2 Type II) e Vercel com aplicação automatizada de patches e análise de vulnerabilidades.
- Resposta a incidente: Procedimentos documentados de resposta a incidente com papéis definidos e protocolos de comunicação.
5. Subcontratantes
O Responsável pelo Tratamento concede autorização geral para o Subcontratante empregar os seguintes subcontratantes. O Subcontratante deve notificar o Responsável pelo Tratamento com pelo menos 30 dias de antecedência de qualquer alteração pretendida aos subcontratantes, dando ao Responsável a oportunidade de objeção.
| Subcontratante | Finalidade | Localização |
|---|---|---|
| Supabase Inc. | Alojamento de base de dados, autenticação, armazenamento | UE (Frankfurt, Alemanha) |
| Stripe Inc. | Processamento de pagamentos, gestão de subscrição | UE |
| Vercel Inc. | Alojamento de aplicação, entrega de borda | Borda UE (CDN global) |
| Anthropic PBC | Funcionalidades baseadas em IA (recomendações de agente) | EUA (com SCCs) |
6. Notificação de Violação de Dados
Na eventualidade de uma violação de dados pessoais, o Subcontratante deve:
- Notificar o Responsável pelo Tratamento sem demora injustificada e não mais de 72 horas após a descoberta da violação, em conformidade com o Artigo 33 do GDPR.
- Fornecer detalhes abrangentes incluindo a natureza da violação, categorias e número aproximado de titulares de dados afetados, prováveis consequências e medidas tomadas ou propostas para mitigar a violação.
- Cooperar plenamente com o Responsável no investimento da violação e cumprimento das obrigações do Responsável de notificação a autoridades de supervisão e titulares de dados afetados.
- Documentar todas as violações independentemente da gravidade, mantendo registos de fatos, efeitos e ações corretivas tomadas.
7. Devolução e Eliminação de Dados
Após terminação ou expiração do contrato de serviço, o Subcontratante deve, à escolha do Responsável pelo Tratamento:
- Devolver todos os dados pessoais ao Responsável num formato estruturado, comumente utilizado e legível por máquina (exportação JSON), incluindo dados de conta, configurações de servidor e registos de utilização.
- Eliminar todos os dados pessoais no prazo de 30 dias da data de terminação, incluindo todas as cópias em sistemas ativos e backups, exceto onde a retenção é exigida pela lei da UE ou do Estado-membro.
O Subcontratante deve fornecer confirmação escrita de eliminação mediante pedido. Os registos de faturação podem ser retidos até 10 anos conforme exigido pela lei de contabilidade checa (Lei nº 563/1991 Coll.).
8. Direitos de Auditoria
O Responsável tem o direito de verificar o cumprimento do Subcontratante com este DPA:
- Auditorias anuais: O Responsável pode conduzir ou encomendar uma auditoria independente das atividades de processamento de dados do Subcontratante uma vez por ano calendário, com pelo menos 30 dias de aviso prévio escrito.
- Âmbito: As auditorias podem cobrir medidas de segurança, gestão de subcontratantes, procedimentos de manipulação de dados e capacidades de resposta a violação.
- Cooperação: O Subcontratante deve fornecer todas as informações necessárias para demonstrar conformidade, incluindo acesso a instalações relevantes, sistemas e pessoal durante o horário comercial normal.
- Alternativa de certificação: O Subcontratante pode satisfazer requisitos de auditoria fornecendo relatórios SOC 2 Type II atuais, certificações ISO 27001 ou avaliações independentes equivalentes.
9. Transferências Internacionais
O Subcontratante não deve transferir dados pessoais fora da Área Económica Europeia (AEE) exceto onde:
- A Comissão Europeia emitiu uma decisão de adequação para o país de destino (Artigo 45 do GDPR).
- Salvaguardas apropriadas estão em vigor, incluindo Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia (Artigo 46(2)(c) do GDPR).
- Uma Avaliação de Impacto de Transferência (TIA) foi conduzida e documentada para a transferência específica.
Atualmente, o único subcontratante localizado fora da AEE é Anthropic PBC (Estados Unidos), para qual SCCs estão em vigor e processamento de IA não envolve armazenamento persistente de dados pessoais.
10. Contacto para Execução de DPA
Para solicitar execução deste DPA, discutir termos ou indagar sobre as nossas práticas de proteção de dados:
KOWEX Co. Holding — Equipa Empresarial
E-mail: enterprise@agentforge.community
Responsável pela Proteção de Dados: privacy@agentforge.community
Este DPA é regido pelas leis da República Checa. Qualquer disputa que surja deste DPA estará sujeita à jurisdição exclusiva dos tribunais da República Checa. Este DPA permanece em vigor durante a utilização do serviço AgentForge pelo Responsável e pelo tempo em que o Subcontratante retém qualquer dado pessoal processado em nome do Responsável.