Escolar Documentos
Profissional Documentos
Cultura Documentos
Portugal Data Protection Terms PT
Portugal Data Protection Terms PT
Este Anexo de Tratamento de Dados (“Anexo”) será aplicável quando a prestação de Serviços pela Dell ao utilizador
(“Cliente”) implicar o tratamento de dados pessoais sujeitos às leis de privacidade e a Dell atuar como Subcontratante em
nome do Cliente enquanto Responsável pelo tratamento dos dados. Este Anexo não se aplica quando a Dell é o Controlador.
No caso de conflito entre este Anexo e o Contrato relevante, este Anexo controlará em relação ao seu assunto.
1. Definições. Os termos não definidos neste documento têm os significados estabelecidos no Contrato. As seguintes
palavras neste Anexo têm os seguintes significados:
1.1 "Contrato” significa o contrato entre o Cliente e a Dell para a prestação dos serviços ao Cliente, seja com base nas
Condições Comerciais de Venda da Dell ou noutro contrato de venda negociado que refira este Anexo.
1.2 "Responsável pelo tratamento" significa uma entidade que, por si só ou em conjunto com terceiros, determina as
finalidades e os meios do tratamento dos Dados Pessoais.
1.3 "RGPD" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679.
1.4 “RGPD” do Reino Unido” significa o RGPD, tal como retido no direito interno do Reino Unido, mais à saída do Reino
Unido da União Europeia, a ser interpretado juntamente com a Lei de Proteção de Dados do Reino Unido de 2018, como
possam ser alteradas ou substituídas de tempos em tempos.
1.5 "Cláusulas Modelo” significa as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para os
Processadores (Decisão 2021/914/UE), conforme possam ser alteradas ou substituídas periodicamente, no que diz
respeito às transferências do Espaço Econômico Europeu ("EEE") para países fora do EEE (incluindo o Reino Unido
("Reino Unido")) e as Cláusulas Contratuais-Tipo para a transferência de dados pessoais para os Operadores (Decisão
2010/87/UE) relativas às transferências do Reino Unido para países que não estão sujeitos a uma decisão de
adequação ao abrigo do RGPD do Reino Unido
1.6 "Dados Pessoais" significa qualquer informação relacionada com uma pessoa singular identificada ou identificável que
seja tratada pela Dell para a execução do Contrato.
1.7 "Violação de Dados Pessoais” significa uma violação da segurança que leve à destruição acidental ou ilegal, perda,
alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou tratados de acordo
com este Anexo.
1.8 "Leis de Privacidade” significa quaisquer leis de proteção de dados e da privacidade a que uma parte deste Contrato
esteja sujeita e que sejam aplicáveis aos Serviços prestados, incluindo, quando aplicável, o RGPD e o RGPD do Reino
Unido
1.9 "Tratamento" significa qualquer operação ou conjunto de operações executadas sobre Dados Pessoais ou em
conjuntos de Dados Pessoais, seja por meios automatizados ou não, como recolha, registo, organização, estruturação,
armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou
disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
1.10 "Subcontratante” significa uma entidade que trata os Dados Pessoais por conta do Responsável pelo tratamento.
1.11 "Terceiro” significa qualquer entidade de tratamento de dados subcontratada pela Dell para a prestação dos Serviços.
2. Tratamento de Dados Pessoais
2.1 Papéis das Partes. A Dell pode tratar Dados Pessoais nos termos do Contrato como Subcontratante por conta do
Cliente enquanto Responsável pelo tratamento (ou como terceiro por conta do Cliente enquanto Responsável pelo
tratamento).
2.2 Instruções. A Dell tratará os Dados Pessoais de acordo com as instruções documentadas do Cliente. O Cliente
concorda que este Anexo, o Contrato e quaisquer declarações subsequentes de ordens de trabalho ou de serviços e
quaisquer configurações pelo Cliente ou seus utilizadores autorizados incluem as instruções completas do Cliente à
Dell sobre o Tratamento de Dados Pessoais. Quaisquer instruções adicionais ou alternativas deverão ser acordadas
entre as partes por escrito, incluindo os custos (se houver) associados ao cumprimento dessas instruções. A Dell não
é responsável por determinar se as instruções do Cliente estão em conformidade com a lei aplicável. No entanto, se a
Dell considerar que uma instrução do Cliente viola as Leis de Privacidade aplicáveis, notificará o Cliente assim que for
razoavelmente possível e não será obrigada a cumprir essa instrução infratora.
2.3 Detalhes do Tratamento. Os detalhes do objeto do Tratamento, a sua duração, natureza e finalidade, e o tipo de
Dados Pessoais e titulares dos dados são os especificados no Contrato ou, se não forem especificados, serão os
estabelecidos no Apêndice 2 deste Anexo.
2.4 Conformidade. O Cliente e a Dell concordam em cumprir as suas respetivas obrigações nos termos das Leis de
Privacidade aplicáveis aos Dados Pessoais que forem Tratados em ligação com os Serviços. O Cliente é o único
responsável por cumprir as Leis de Privacidade relativamente à legalidade do Tratamento de Dados Pessoais antes
Anexo de Tratamento de Dados SEP2021
4. Investigações forenses com operações de segurança, legais, de Os registos de eventos específicos dos principais dispositivos e sistemas
proteção de dados e de recursos humanos para investigações, são recolhidos e alvo de relatórios centralmente, com base em exceções,
incluindo eDiscovery e eForensics. para permitir resposta a incidentes e investigações forenses.
A prática da Dell é monitorizar e gerir ativos físicos e lógicos. Exemplos dos As vulnerabilidades de terceiros divulgadas publicamente são analisadas
ativos que as TI da Dell podem monitorizar incluem: quanto à aplicabilidade ao ambiente da Dell. Com base no risco para os
negócios e clientes da Dell, existem prazos pré-determinados para a
• Ativos de Informações, como bases de dados identificadas, planos de correção. Além disso, avaliações e análises de vulnerabilidades são
recuperação de desastres, planos de continuidade de negócios, realizadas em aplicações novas e cruciais e na infraestrutura com base em
classificação de dados e informações arquivadas. riscos. Revisões de código e analisadores são usados no ambiente de
• Ativos de Software, como aplicações e software identificados do desenvolvimento antes da produção para detetar proativamente as
sistema. vulnerabilidades de codificação com base no risco. Esses processos
• Ativos Físicos, como servidores, desktops/laptops identificados, permitem a identificação proativa de vulnerabilidades, bem como a
bandas de cópias de segurança/arquivamento, impressoras e conformidade.
equipamentos de comunicação. Conformidade
Os ativos são classificados com base na importância crítica comercial para
Os departamentos de segurança da informação, jurídico, de privacidade e
determinar os requisitos de confidencialidade. As orientações do setor para
conformidade trabalham para identificar leis e regulamentos regionais
o tratamento de dados pessoais fornecem a estrutura para salvaguardas
aplicáveis às empresas da Dell. Esses requisitos cobrem áreas como a
técnicas, organizacionais e físicas. Isto pode incluir controlos como gestão
propriedade intelectual da empresa e dos seus clientes, licenças de
de acessos, encriptação, registo e monitorização e destruição de dados.
software, proteção de dados pessoais de funcionários e clientes,
Segurança de Pessoal procedimentos de proteção e manuseamento de dados, transmissão de
dados transfronteiriça, procedimentos financeiros e operacionais, controlos
Como parte do processo de contratação, os funcionários passam por um regulatórios de exportação de tecnologia, e requisitos forenses.
processo de triagem aplicável de acordo com a legislação regional. A
formação anual em conformidade da Dell inclui a exigência de que os Mecanismos como o programa de segurança da informação, o conselho
funcionários concluam um curso online e passem por uma avaliação que executivo de privacidade, auditorias/avaliações internas e externas,
abrange a segurança das informações e a privacidade dos dados. O consultoria jurídica interna e externa, avaliação de controlos internos,
programa de sensibilização para a segurança também pode fornecer testes de penetração interna e avaliações de vulnerabilidade, gestão de
materiais específicos para determinadas funções do trabalho. contratos, sensibilização para a segurança, consultoria de segurança,
revisão de políticas e gestão de riscos combinam-se para impulsionar a
Segurança Física e Ambiental conformidade com esses requisitos.
A Dell usa várias abordagens tecnológicas e operacionais no seu programa
de segurança física em relação à mitigação de riscos. A equipa de
segurança trabalha em estreita colaboração com cada instalação para
determinar as medidas apropriadas e monitorizar continuamente quaisquer
alterações na infraestrutura física, nos negócios e nas ameaças
conhecidas. Também monitoriza as medidas de melhores práticas usadas
por outros do setor e seleciona cuidadosamente abordagens que
respondam às singularidades das práticas comerciais e às expectativas da
Dell como um todo. A Dell equilibra a sua abordagem em relação à
segurança considerando elementos de controlo que incluem arquitetura,
Anexo de Tratamento de Dados SEP2021
2. Finalidade do Tratamento
Os Dados Pessoais serão tratados com a finalidade de fornecer serviços relacionados com a garantia e a assistência
e/ou com a implantação, conforme relevante e definido pelos níveis de serviço e opções de assistência selecionados. O
Contrato e as descrições de serviço e declarações de trabalho relevantes serão aplicáveis à especificidades e a possíveis
serviços adicionais.
3. Natureza do Tratamento.
• Assistência de TI O Responsável pelo tratamento trata principalmente endereços IP, endereços MAC ou outras ID
técnicas de sistemas de TI que sejam possivelmente atribuídos a uma pessoa. Isso geralmente acontece, se
necessário, analisando os registos de erros.
• Serviços de assistência: O pessoal do Responsável pelo tratamento pode entrar em contacto com Dados Pessoais,
por força das políticas internas do Responsável, na ocasião de fornecer serviços e assistência técnica ao cliente.
Isto pode acontecer ao fornecendo assistência remota ou ao entrar nas instalações do Responsável pelo tratamento
para reparar o hardware. Nessas ocasiões, a pessoa pode, incidentalmente, ver documentos, crachás de
identificação, conteúdos nos ecrãs. O mesmo pode ser aplicável em casos de partilha de ecrã para assistência
remota (por exemplo, por Webex), se o Responsável pelo tratamento não tiver fechado os programas/softwares
relevantes antes do estabelecimento da ligação.
• Ficheiros "trace dump": Para determinados produtos e em determinadas situações de assistência, um ficheiro "trace
dump" pode ser analisado para avaliar o problema. Um "trace dump" contém a atividade de leitura/escrita ou de
transferências associada a um erro. O conteúdo geralmente está escrito no formato de erro do SO e é independente
dos tipos de ficheiro. A reconstrução de ficheiros e do seu conteúdo potencial não faz parte da análise. É altamente
improvável que qualquer informação pessoal seja legível durante a análise.
• Dispositivos de armazenamento de dados Devolução ou recondicionamento de dispositivos de armazenamento de
hardware (por exemplo, HDD, SSD, etc.): todos os dados contidos serão eliminados ou destruídos em processos
automatizados.
6. Subcontratantes
6.1 O Fornecedor pode contratar empresas afiliadas, sob reserva dos requisitos da Adenda de Tratamento de Dados
Pessoais, que incluem a conclusão das Cláusulas Contratuais-Tipo da UE para transferências fora do Espaço
Económico Europeu.
6.2 Adicionalmente, podem ser contratados os seguintes terceiros, sob reserva dos requisitos da Adenda de
Tratamento de Dados, que incluem a conclusão das Cláusulas Contratuais-Tipo da UE para transferências fora do
Espaço Económico Europeu.
Anexo de Tratamento de Dados SEP2021