Esta tradução é fornecida apenas para conveniência. Em caso de qualquer discrepância ou inconsistência entre esta tradução e a versão em inglês, a versão em inglês prevalecerá.

Oriora — Aditamento de Tratamento de Dados

Última atualização: 2026-05-26 Em vigor a partir de: 2026-05-26

1. Introdução

Este Aditamento de Tratamento de Dados ("DPA") faz parte dos Termos de Serviço da Oriora entre a Orioralabs OÜ ("Oriora", "Subcontratante") e o cliente ("Cliente", "Responsável pelo Tratamento") (em conjunto, as "Partes"). Regula o tratamento de dados pessoais pela Oriora em nome do Cliente, no âmbito da prestação dos serviços da Oriora.

Este DPA é incorporado por referência nos Termos de Serviço da Oriora e entra em vigor com a aceitação dos Termos de Serviço pelo Cliente no momento do registo. Não é necessária uma assinatura separada.

Em caso de conflito entre este DPA e os Termos de Serviço, este DPA prevalece no que diz respeito ao tratamento de dados pessoais.

2. Definições

Os termos não definidos neste DPA têm os significados atribuídos nos Termos de Serviço da Oriora ou no Regulamento Geral sobre a Proteção de Dados da UE (RGPD).

• Responsável pelo Tratamento, Subcontratante, Subcontratante subsequente, Dados Pessoais, Tratamento, Titular dos Dados — conforme definidos no RGPD.
• Legislação de Proteção de Dados — o RGPD e qualquer legislação nacional de implementação aplicável, incluindo as leis da Estónia.

3. Objeto, duração, natureza e finalidade do tratamento

4. Funções das Partes

Para o tratamento no âmbito deste DPA, o Cliente é o Responsável pelo Tratamento e a Oriora é o Subcontratante no que diz respeito aos Dados Pessoais do Cliente (sendo os dados pessoais dos utilizadores finais do Cliente ou de outros titulares dos dados em nome dos quais o Cliente utiliza os serviços da Oriora).

Este DPA não estabelece um acordo de corresponsabilidade pelo tratamento nos termos do Artigo 26.º do RGPD. O Cliente controla o conjunto elegível de fornecedores de IA através da configuração ao nível da conta do Cliente — incluindo o botão de alternância de encaminhamento automático (Auto routing), a preferência de prioridade de encaminhamento, as preferências de exclusão de fornecedores, a configuração da chave BYOK, a seleção de aplicações e (onde o encaminhamento automático está desativado) a lista de fornecedores selecionados. As decisões de encaminhamento da Oriora operam exclusivamente dentro dos limites estabelecidos pela configuração do Cliente.

A Oriora trata Dados de Serviço, Dados de Registo, dados agregados e dados desidentificados como um responsável pelo tratamento independente, unicamente para os fins de operar, proteger, faturar, suportar e melhorar os serviços da Oriora. O tratamento desses dados pela Oriora é regido pela Política de Privacidade da Oriora.

5. Obrigações da Oriora como Subcontratante

A Oriora irá:

• (a) tratar dados pessoais apenas de acordo com as instruções documentadas do Cliente, a menos que seja exigido de outra forma pela legislação da UE ou de um Estado-Membro (caso em que a Oriora informará o Cliente sobre essa exigência legal antes do tratamento, a menos que essa lei proíba tal informação por motivos importantes de interesse público). As instruções documentadas do Cliente incluem as escolhas de configuração ao nível da conta do Cliente disponibilizadas pela Oriora, tais como o botão de alternância de encaminhamento automático (Auto routing), a preferência de prioridade de encaminhamento, as preferências de exclusão de fornecedores, a configuração da chave BYOK, a seleção de aplicações, os controlos de orçamento e (onde o encaminhamento automático está desativado) a lista de fornecedores selecionados. O encaminhamento da Oriora opera dentro do conjunto de fornecedores elegíveis definido pela configuração do Cliente;
• (b) assegurar que as pessoas autorizadas a tratar dados pessoais estão sujeitas a um dever de confidencialidade;
• (c) implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco, incluindo (quando aplicável) encriptação, controlos de acesso e fornecedores de infraestrutura seguros;
• (d) contratar subcontratantes subsequentes apenas conforme permitido na Cláusula 6;
• (e) auxiliar o Cliente, tendo em conta a natureza do tratamento, através de medidas técnicas e organizativas adequadas, no cumprimento das obrigações do Cliente de responder aos pedidos dos titulares dos dados, conforme estabelecido na Cláusula 7;
• (f) auxiliar o Cliente a assegurar o cumprimento das obrigações relativas à segurança do tratamento, notificação de violação, avaliações de impacto na proteção de dados e consulta prévia às autoridades de controlo, tendo em conta a natureza do tratamento e as informações disponíveis para a Oriora;
• (g) no final da prestação dos serviços, apagar ou devolver os dados pessoais conforme estabelecido na Cláusula 11;
• (h) disponibilizar ao Cliente as informações necessárias para demonstrar o cumprimento deste DPA e permitir e contribuir para auditorias conforme estabelecido na Cláusula 9.

Quando o Cliente solicitar assistência ao abrigo deste DPA que vá além do que pode ser razoavelmente acomodado na prestação normal do serviço — por exemplo, cooperação extensiva numa avaliação de impacto na proteção de dados, investigação regulatória ou auditoria para além da Cláusula 9 — o Cliente reembolsará os custos razoáveis da Oriora por essa assistência às taxas acordadas entre as Partes antecipadamente.

6. Subcontratantes subsequentes

O Cliente autoriza a Oriora a contratar os subcontratantes subsequentes listados no documento Subcontratantes Subsequentes da Oriora, que é incorporado neste DPA por referência.

A Oriora fornecerá ao Cliente um aviso prévio de qualquer adição ou substituição de subcontratantes subsequentes através do mecanismo estabelecido no documento Subcontratantes Subsequentes. O Cliente pode opor-se a um novo subcontratante subsequente por motivos razoáveis relacionados com a proteção de dados, notificando a Oriora por escrito no prazo de sete (7) dias após tal aviso. Se o Cliente se opuser e a Oriora não conseguir disponibilizar uma alternativa razoável dentro de um período comercialmente razoável, o Cliente poderá rescindir a parte afetada do serviço.

O período de aviso e objeção de sete dias é mais curto do que o período de 30 dias comummente utilizado por subcontratantes maiores porque a Oriora não pode vincular os seus fornecedores de infraestrutura a prazos mais longos.

A Oriora permanece responsável pelos atos e omissões dos seus subcontratantes subsequentes na mesma medida em que a Oriora seria responsável se executasse os serviços de cada subcontratante subsequente diretamente ao abrigo deste DPA. Esta responsabilidade está sujeita à limitação de responsabilidade estabelecida na Cláusula 12.

7. Direitos dos titulares dos dados

A Oriora, tendo em conta a natureza do tratamento, auxiliará o Cliente através de medidas técnicas e organizativas adequadas, na medida do possível, a cumprir a obrigação do Cliente de responder aos pedidos dos titulares dos dados que exercem os seus direitos ao abrigo da Legislação de Proteção de Dados (incluindo direitos de acesso, retificação, apagamento, restrição, portabilidade e oposição).

Quando a Oriora receber um pedido diretamente de um titular dos dados em relação ao tratamento do Cliente, a Oriora, a menos que proibido por lei, encaminhará o pedido ao Cliente sem demora indevida e não responderá ao pedido em si, exceto mediante instruções documentadas do Cliente.

Quando a Oriora for obrigada a divulgar dados pessoais a uma agência governamental, tribunal ou autoridade policial por lei aplicável ou processo legal, a Oriora, quando legalmente permitido, notificará o Cliente antecipadamente e limitará a divulgação ao que é exigido.

8. Notificação de violação de dados pessoais

A Oriora notificará o Cliente sem demora indevida após tomar conhecimento de uma violação de dados pessoais que afete os dados pessoais do Cliente, fornecendo as informações razoavelmente disponíveis para a Oriora no momento da notificação.

A Oriora também auxiliará o Cliente, tendo em conta a natureza do tratamento e as informações disponíveis para a Oriora, no cumprimento das próprias obrigações de notificação de violação do Cliente às autoridades de controlo e aos titulares dos dados afetados ao abrigo da Legislação de Proteção de Dados.

9. Direitos de auditoria

A Oriora opera um serviço sem estado (stateless) apenas na nuvem, sem instalações físicas de tratamento de dados. A Oriora não retém o conteúdo de prompts ou outputs do Cliente.

Mediante pedido escrito razoável, a Oriora fornecerá:

• (a) documentação de arquitetura que comprove o tratamento sem estado, incluindo esquema de base de dados que demonstre a ausência de tabelas de armazenamento de conteúdo;
• (b) políticas de segurança;
• (c) a lista atual de Subcontratantes Subsequentes e as Cláusulas Contratuais-Tipo aplicáveis com os subcontratantes subsequentes;
• (d) dados específicos da conta que a Oriora detém para o Cliente;
• (e) procedimentos de resposta a incidentes.

Quando o Cliente considerar razoavelmente que tais informações são insuficientes, o Cliente poderá, com um aviso prévio por escrito de pelo menos trinta (30) dias, realizar uma inspeção remota (através de revisão de documentação e demonstração técnica apenas de leitura) não mais do que uma vez por período de doze meses, por um auditor independente mutuamente acordado pelas Partes (não um concorrente da Oriora) e sujeito a obrigações de confidencialidade. Não são concedidos direitos de inspeção física no local, dada a ausência de qualquer instalação física de tratamento de dados.

O Cliente suporta todos os custos razoáveis de qualquer auditoria, incluindo os custos do seu auditor independente e os custos razoáveis da Oriora na disponibilização de acesso. Os custos da Oriora serão às taxas acordadas entre as Partes antecipadamente. Quando uma auditoria é realizada a pedido de uma autoridade de controlo competente, as Partes cooperam conforme exigido por lei.

Os períodos de aviso e os limites de frequência nesta Cláusula 9 são dispensados quando exigido por uma autoridade de controlo competente.

10. Transferências internacionais

Na medida em que os dados pessoais tratados ao abrigo deste DPA sejam transferidos para fora do Espaço Económico Europeu, as Partes confiarão em salvaguardas adequadas ao abrigo do Capítulo V do RGPD.

Quando a transferência exigir Cláusulas Contratuais-Tipo, as Partes incorporam por referência as Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão de Execução (UE) 2021/914 da Comissão):

• Quando o Cliente atua como responsável pelo tratamento de dados pessoais transferidos para a Oriora como subcontratante: Módulo 2 (Responsável pelo Tratamento para Subcontratante), com o Cliente como exportador de dados e a Oriora como importador de dados.
• Quando o Cliente atua como subcontratante de dados pessoais transferidos para a Oriora como subcontratante subsequente (por exemplo, quando o Cliente utiliza Managed API BYOK para alimentar o seu próprio produto que trata os dados pessoais dos utilizadores finais do Cliente): Módulo 3 (Subcontratante para Subcontratante Subsequente), com o Cliente como exportador de dados e a Oriora como importador de dados.

Em cada caso: a cláusula de adesão opcional é incorporada; a cláusula opcional de resolução independente de litígios é excluída; a lei aplicável é a lei da Estónia; a autoridade de controlo competente é a Inspeção de Proteção de Dados da Estónia.

Quando os dados pessoais são posteriormente transferidos da Oriora para um subcontratante subsequente localizado fora do EEE, essa transferência é protegida por Cláusulas Contratuais-Tipo ou outra salvaguarda adequada celebrada entre a Oriora e o subcontratante subsequente.

11. Devolução e eliminação de dados pessoais

No final da prestação dos serviços relacionados com o tratamento, a Oriora, à escolha do Cliente, apagará ou devolverá os dados pessoais do Cliente, a menos que a legislação da UE ou de um Estado-Membro exija um armazenamento posterior.

Os dados da conta e os registos de faturação retidos para fins de obrigação legal (como a lei fiscal estónia) não podem ser apagados antes do termo do período de retenção legal.

O conteúdo de prompts, o conteúdo de outputs e o histórico de conversas multi-turno não são retidos pela Oriora em nenhum momento ao abrigo deste DPA, em conformidade com a arquitetura sem estado da Oriora.

12. Responsabilidade

A responsabilidade de cada Parte ao abrigo deste DPA está sujeita às disposições de limitação de responsabilidade nos Termos de Serviço da Oriora. Nada nesta Cláusula limita a responsabilidade de uma Parte quando tal limitação não é permitida ao abrigo da Legislação de Proteção de Dados aplicável.

13. Prazo e rescisão

Este DPA entra em vigor na Data de Entrada em Vigor estabelecida acima e permanece em vigor durante a utilização dos serviços da Oriora pelo Cliente. As Cláusulas 9, 10, 11 e quaisquer outras disposições que, pela sua natureza, devam sobreviver à rescisão, sobreviverão.

14. Lei aplicável

Este DPA é regido pelas leis da República da Estónia. As disputas decorrentes deste DPA serão resolvidas conforme estabelecido na Cláusula 19 dos Termos de Serviço da Oriora.

15. Contacto

Para questões relativas a este DPA ou para exercer direitos ao abrigo do mesmo, contacte [email protected].