DATA PROCESSING AGREEMENT (DPA)

Este Data Processing Agreement (“DPA”) integra e complementa os Termos e Condições da plataforma KYCIRIS, produto da Úteis & Razoáveis, Lda., Pessoa Coletiva n.º 508734380, com sede em Rua Pinto Bessa, 522, RC, Esquerdo PORTO 4300-428 , doravante designada por “Subcontratante”. O Cliente atua como Responsável pelo Tratamento.

1. Objeto

O presente DPA regula o tratamento de dados pessoais realizado pela KYCIRIS por conta do Cliente, exclusivamente para efeitos de execução técnica dos serviços de verificação de identidade (KYC).

2. Natureza e Finalidade do Tratamento

Natureza: Processamento automatizado de dados pessoais para verificação de identidade.

Finalidade: Execução de procedimentos KYC definidos pelo Cliente.

Duração: Pelo período necessário ao processamento técnico transitório dos dados.

3. Tipos de Dados e Titulares

Tipos de dados podem incluir:

• - Dados de identificação (nome, número de documento, data de nascimento);
• - Imagem do documento de identificação;
• - Dados biométricos (selfie para validação facial);
• - Metadados técnicos (IP, device, logs técnicos temporários).

Titulares: Clientes finais do Cliente (utilizadores submetidos a processo KYC).

4. Obrigações do Subcontratante (KYCIRIS)

A KYCIRIS compromete-se a:

• - Processar dados apenas segundo instruções documentadas do Cliente;
• - Garantir confidencialidade das pessoas autorizadas a tratar dados;
• - Implementar medidas técnicas e organizativas adequadas;
• - Não conservar dados pessoais além do processamento transitório necessário;
• - Apoiar o Cliente no cumprimento das suas obrigações legais, quando aplicável.

5. Subcontratantes Secundários (Sub-processadores)

A KYCIRIS poderá recorrer a prestadores de serviços de infraestrutura cloud, OCR ou verificação biométrica. Todos os sub-processadores estarão vinculados a obrigações contratuais equivalentes às previstas no presente DPA.

6. Transferências Internacionais

Caso exista transferência de dados para fora do Espaço Económico Europeu, a KYCIRIS assegurará mecanismos de salvaguarda adequados, incluindo Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.

7. Segurança

A KYCIRIS implementa medidas como encriptação em trânsito (TLS), controlo de acessos, segregação lógica de dados e monitorização de segurança.

8. Violação de Dados Pessoais

A KYCIRIS notificará o Cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais.

9. Eliminação de Dados

Concluído o processamento, os dados são disponibilizados ao Cliente via CDN ou endpoint técnico. A responsabilidade pelo armazenamento e conservação posterior pertence exclusivamente ao Cliente.

10. Lei Aplicável

O presente DPA rege-se pela lei portuguesa e pelo Regulamento (UE) 2016/679 (RGPD).