Acordo de Tratamento de Dados (DPA)

Última atualização: dezembro de 2025

Este Acordo de Tratamento de Dados (“DPA”) integra e está sujeito ao contrato principal de serviços e/ou aos Termos de Serviço (o “Acordo”) entre:

  • Ampliro AB, n.º reg. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, atuando em nome de e como fornecedora da plataforma Diplino disponível em diplino.com (“Diplino”, o “Serviço”, a Subcontratante), e
  • O cliente identificado no Acordo (o Responsável pelo Tratamento).

Este DPA estabelece os termos nos quais a Ampliro trata Dados Pessoais em nome do Responsável pelo Tratamento em conexão com a prestação dos serviços de gestão de certificados e credenciais da Diplino.

Em caso de conflito entre este DPA e o Acordo em relação ao tratamento de Dados Pessoais, este DPA prevalecerá na medida de tal conflito.


1. Definições

Para os fins deste DPA, os seguintes termos terão os significados estabelecidos abaixo. Os termos não definidos neste DPA terão o significado que lhes seja atribuído no Acordo ou nas Leis de Proteção de Dados Aplicáveis.

  • “Leis de Proteção de Dados Aplicáveis” significa todas as leis e regulamentos de proteção de dados e privacidade aplicáveis ao tratamento de Dados Pessoais nos termos deste DPA, incluindo, quando aplicável, o Regulamento Geral sobre a Proteção de Dados da UE (Regulamento (UE) 2016/679 – “GDPR”), o UK GDPR e qualquer legislação nacional de implementação.

  • “Responsável pelo Tratamento” significa a entidade que determina as finalidades e os meios do tratamento de Dados Pessoais.

  • “Subcontratante” significa a entidade que trata Dados Pessoais em nome do Responsável pelo Tratamento.

  • “Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”).

  • “Tratamento”, “Titular dos Dados”, “Violação de Dados Pessoais”, “Autoridade de Controlo”, “Subcontratante Ulterior”, “País Terceiro” e outros termos com iniciais maiúsculas terão o significado que lhes é atribuído no GDPR.

  • “Serviços” significa os serviços de gestão de certificados e credenciais da Diplino prestados pela Ampliro ao Responsável pelo Tratamento nos termos do Acordo.


2. Funções das Partes

2.1 Responsável pelo Tratamento e Subcontratante
Para o Tratamento de Dados Pessoais descrito neste DPA, o Responsável pelo Tratamento é o “responsável pelo tratamento” e a Ampliro é a “subcontratante” na acepção das Leis de Proteção de Dados Aplicáveis.

2.2 Atividades como responsável independente pelo tratamento
O Responsável pelo Tratamento reconhece que a Ampliro pode tratar determinados Dados Pessoais como responsável independente pelo tratamento para suas próprias finalidades legítimas, como faturamento e emissão de faturas, cumprimento de obrigações jurídicas, manutenção de registros de segurança, prevenção de fraude e análises do serviço, conforme descrito na Política de Privacidade da Ampliro/Diplino. Tal tratamento está fora do escopo deste DPA e é regido pelos avisos de privacidade aplicáveis.


3. Objeto, natureza, finalidade e duração do Tratamento

3.1 Objeto
A Ampliro tratará Dados Pessoais em nome do Responsável pelo Tratamento em conexão com a prestação dos Serviços Diplino, incluindo a criação, gestão, armazenamento e verificação de certificados e credenciais digitais.

3.2 Natureza e finalidade do Tratamento
As atividades de Tratamento incluem, conforme necessário para prestar e apoiar os Serviços:

  • Gerar, emitir e gerenciar certificados e credenciais digitais;
  • Armazenar e gerenciar informações de participantes e destinatários;
  • Fornecer funcionalidade de verificação e validação de certificados;
  • Gerenciar contas e funções de usuário (por exemplo, administradores, instrutores, emissores);
  • Enviar notificações por e-mail relacionadas a certificados e ao Serviço (por exemplo, emissão, atualizações ou lembretes);
  • Fornecer suporte, manutenção, solução de problemas e monitoramento de segurança;
  • Hospedagem, backup, registro e operações técnicas necessários para entregar o Serviço.

3.3 Duração do Tratamento
O Tratamento terá início na Data de Vigência do Acordo e continuará enquanto a Ampliro prestar os Serviços ao Responsável pelo Tratamento e por qualquer período de conservação exigido ou permitido nos termos do Acordo ou das Leis de Proteção de Dados Aplicáveis. Após a rescisão ou expiração do Acordo, o Tratamento cessará e os Dados Pessoais serão excluídos ou devolvidos de acordo com a Seção 12 deste DPA.


4. Categorias de Titulares dos Dados e tipos de Dados Pessoais

4.1 Categorias de Titulares dos Dados
Os Dados Pessoais tratados pela Ampliro em nome do Responsável pelo Tratamento podem estar relacionados às seguintes categorias de Titulares dos Dados:

  • Destinatários de certificados (por exemplo, participantes de cursos, alunos, empregados, contratados) cujos certificados são emitidos pelo Responsável pelo Tratamento por meio da Diplino;
  • Usuários da organização Diplino do Responsável pelo Tratamento (por exemplo, administradores, instrutores, emissores);
  • Outras pessoas cujas informações possam constar de certificados ou de metadados, conforme determinado pelo Responsável pelo Tratamento.

4.2 Tipos de Dados Pessoais
Os Dados Pessoais tratados podem incluir, entre outros:

  • Dados de identificação e contato:
    • Nome, endereço de e-mail (opcional dependendo da configuração do Responsável pelo Tratamento);
  • Informações profissionais:
    • Nome da empresa/organização, departamento, cargo ou função;
  • Dados de certificados e credenciais:
    • Detalhes do certificado (por exemplo, nome do curso, status de conclusão, data de emissão, data de expiração, identificadores únicos de certificado);
    • Dados de verificação e validação (por exemplo, assinaturas criptográficas, hashes, registros de verificação);
  • Dados de conta e uso:
    • Função de usuário dentro da organização Diplino do Responsável pelo Tratamento (por exemplo, admin, instrutor);
    • IDs de usuário, carimbos de data e hora de login e registros de atividade no Serviço;
  • Dados técnicos e de segurança:
    • Endereço IP, tipo de navegador, localização aproximada (com base no IP), registros de segurança e registros de auditoria relativos a acesso e alterações.

O Responsável pelo Tratamento compromete-se a não submeter intencionalmente ao Serviço quaisquer categorias especiais de Dados Pessoais (artigo 9.º GDPR) ou Dados Pessoais relativos a condenações penais e infrações (artigo 10.º GDPR), salvo se explicitamente acordado por escrito com a Ampliro e sujeito a garantias adicionais.


5. Obrigações da Subcontratante

A Ampliro, atuando como Subcontratante, deverá:

5.1 Instruções
Tratar Dados Pessoais apenas mediante instruções documentadas do Responsável pelo Tratamento, inclusive no que diz respeito a transferências de Dados Pessoais para um País Terceiro, salvo se for obrigada a fazê-lo pelo Direito da UE ou de um Estado-Membro ou por outras Leis de Proteção de Dados Aplicáveis. Nesse caso, a Ampliro informará o Responsável pelo Tratamento sobre tal exigência legal antes do Tratamento, salvo se a lei proibir essa informação.

5.2 Confidencialidade
Assegurar que as pessoas autorizadas a tratar Dados Pessoais tenham assumido obrigações adequadas de confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade.

5.3 Segurança do Tratamento
Implementar e manter medidas técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco, conforme descrito em maior detalhe na Seção 8 e no Anexo 1 – Medidas Técnicas e Organizacionais.

5.4 Assistência em relação aos direitos dos Titulares dos Dados
Tendo em conta a natureza do Tratamento, assistir o Responsável pelo Tratamento por meio de medidas técnicas e organizacionais adequadas, na medida do possível, no cumprimento da obrigação do Responsável pelo Tratamento de responder a solicitações de exercício dos direitos dos Titulares dos Dados nos termos das Leis de Proteção de Dados Aplicáveis (ver Seção 10).

5.5 Assistência na conformidade
Assistir o Responsável pelo Tratamento a assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º GDPR (ou disposições equivalentes nos termos de outras Leis de Proteção de Dados Aplicáveis), tendo em conta a natureza do Tratamento e as informações disponíveis à Ampliro, incluindo em relação a segurança, avaliações de impacto sobre a proteção de dados e consultas com autoridades de controlo.

5.6 Registros e informações
Disponibilizar ao Responsável pelo Tratamento todas as informações razoavelmente necessárias para demonstrar conformidade com este DPA e com as Leis de Proteção de Dados Aplicáveis, bem como permitir e contribuir para auditorias e inspeções conforme descrito na Seção 11.

5.7 Exclusão e devolução de dados
Após a rescisão ou expiração dos Serviços, excluir ou devolver todos os Dados Pessoais tratados em nome do Responsável pelo Tratamento de acordo com a Seção 12, salvo se a conservação for exigida pelas Leis de Proteção de Dados Aplicáveis.


6. Obrigações do Responsável pelo Tratamento

O Responsável pelo Tratamento deverá:

  • Assegurar que possui uma base jurídica válida para o Tratamento de Dados Pessoais e para a contratação da Ampliro como Subcontratante de acordo com as Leis de Proteção de Dados Aplicáveis;
  • Assegurar que todos os avisos de privacidade necessários foram fornecidos aos Titulares dos Dados e, quando exigido, que consentimentos foram obtidos;
  • Não instruir a Ampliro a tratar Dados Pessoais de forma que viole as Leis de Proteção de Dados Aplicáveis;
  • Ser responsável pela exatidão, qualidade e licitude dos Dados Pessoais fornecidos à Ampliro e por como o Responsável pelo Tratamento escolhe utilizar os Serviços.

7. Subcontratantes Ulteriores

7.1 Subcontratantes Ulteriores autorizados
O Responsável pelo Tratamento concede à Ampliro uma autorização geral para contratar Subcontratantes Ulteriores para o Tratamento de Dados Pessoais em nome do Responsável pelo Tratamento, desde que a Ampliro:

  • Assegure que cada Subcontratante Ulterior esteja vinculado por obrigações escritas de proteção de dados que não sejam menos protetivas do que as estabelecidas neste DPA; e
  • Permaneça integralmente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações do Subcontratante Ulterior.

7.2 Subcontratantes Ulteriores atuais
A lista atual de Subcontratantes Ulteriores utilizados em conexão com os Serviços está disponível em:

Esta lista pode ser atualizada periodicamente.

7.3 Alterações aos Subcontratantes Ulteriores
A Ampliro fornecerá aviso de quaisquer alterações pretendidas aos Subcontratantes Ulteriores (por exemplo, atualizando a Lista de Subcontratantes Ulteriores e/ou por meio do Serviço ou e-mail). O Responsável pelo Tratamento poderá opor-se a tais alterações com fundamento razoável de proteção de dados. Se o Responsável pelo Tratamento se opuser razoavelmente e as partes não conseguirem chegar a uma solução mutuamente aceitável, o Responsável pelo Tratamento poderá rescindir os Serviços afetados de acordo com o Acordo.


8. Transferências internacionais de dados

8.1 Transferências
Na medida em que a Ampliro ou seus Subcontratantes Ulteriores transfiram Dados Pessoais do EEE, do Reino Unido ou da Suíça para um País Terceiro, tal transferência será realizada em conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo, quando relevante:

  • A utilização das Cláusulas Contratuais-Tipo da Comissão Europeia (SCCs) para a transferência de Dados Pessoais para Países Terceiros; e/ou
  • Qualquer mecanismo de transferência equivalente ou substitutivo reconhecido pelas Leis de Proteção de Dados Aplicáveis (por exemplo, o UK International Data Transfer Addendum).

8.2 Garantias adicionais
A Ampliro, mediante solicitação por escrito, fornecerá ao Responsável pelo Tratamento informações sobre os mecanismos de transferência em vigor para cenários de transferência relevantes e, quando necessário, celebrará acordos suplementares adequados e implementará garantias.


9. Medidas de segurança

A Ampliro implementará e manterá medidas técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco, tendo em conta a natureza, o escopo, o contexto e as finalidades do Tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados. Essas medidas incluem, entre outras, as descritas no Anexo 1 – Medidas Técnicas e Organizacionais, e podem incluir:

  • Criptografia de dados em repouso e em trânsito (por exemplo, TLS 1.3 para dados em trânsito);
  • Uso de assinaturas criptográficas robustas (por exemplo, Ed25519) para integridade e verificação de certificados;
  • Controles de acesso, autenticação e princípios de privilégio mínimo para equipe e componentes de sistema;
  • Monitoramento regular de segurança, registro e auditoria de acesso a Dados Pessoais;
  • Práticas seguras de desenvolvimento e implantação de software.

A Ampliro pode atualizar suas medidas técnicas e organizacionais periodicamente, desde que tais atualizações não reduzam materialmente o nível geral de proteção.


10. Notificação de Violação de Dados Pessoais

Em caso de uma Violação de Dados Pessoais que afete Dados Pessoais tratados em nome do Responsável pelo Tratamento, a Ampliro deverá:

  • Notificar o Responsável pelo Tratamento sem demora injustificada após tomar conhecimento da Violação de Dados Pessoais e, quando viável, no máximo em 72 horas; e
  • Fornecer informações razoavelmente disponíveis à Ampliro sobre:
    • A natureza da Violação de Dados Pessoais;
    • As categorias e o número aproximado de Titulares dos Dados e registros de Dados Pessoais afetados;
    • As consequências prováveis da Violação de Dados Pessoais;
    • As medidas tomadas ou propostas para lidar com a Violação de Dados Pessoais e mitigar possíveis efeitos adversos.

A Ampliro cooperará com o Responsável pelo Tratamento e tomará medidas razoáveis para assistir o Responsável pelo Tratamento no cumprimento de quaisquer obrigações de notificar autoridades de controlo ou Titulares dos Dados nos termos das Leis de Proteção de Dados Aplicáveis.


11. Direitos dos Titulares dos Dados

Tendo em conta a natureza do Tratamento, a Ampliro assistirá o Responsável pelo Tratamento por meio de medidas técnicas e organizacionais adequadas, na medida do possível, no cumprimento da obrigação do Responsável pelo Tratamento de responder a solicitações de exercício dos direitos dos Titulares dos Dados, incluindo:

  • Direito de acesso (artigo 15.º GDPR);
  • Direito de retificação (artigo 16.º GDPR);
  • Direito ao apagamento (artigo 17.º GDPR);
  • Direito à limitação do tratamento (artigo 18.º GDPR);
  • Direito de portabilidade dos dados (artigo 20.º GDPR);
  • Direito de oposição (artigo 21.º GDPR).

Se um Titular dos Dados entrar em contato diretamente com a Ampliro com uma solicitação relacionada a Dados Pessoais tratados nos termos deste DPA, a Ampliro, na medida permitida por lei, informará o Titular dos Dados de que a solicitação deve ser dirigida ao Responsável pelo Tratamento relevante e encaminhará prontamente tal solicitação ao Responsável pelo Tratamento.


12. Direitos de auditoria e inspeção

12.1 Documentação e informações
A Ampliro disponibilizará ao Responsável pelo Tratamento informações razoavelmente necessárias para demonstrar o cumprimento de suas obrigações nos termos deste DPA e das Leis de Proteção de Dados Aplicáveis, que podem incluir:

  • Documentação que descreva medidas técnicas e organizacionais relevantes;
  • Documentação padrão de segurança e/ou atestações de terceiros (se disponíveis).

12.2 Auditorias
Quando tal documentação não for suficiente para demonstrar conformidade, o Responsável pelo Tratamento poderá, às suas próprias expensas e sujeito a aviso razoável (pelo menos 30 dias), realizar ou determinar a realização de uma auditoria, incluindo inspeções, das instalações, sistemas e documentação relevante da Ampliro, limitada ao necessário para verificar a conformidade da Ampliro com este DPA. Qualquer auditoria deverá:

  • Ser realizada durante o horário comercial normal;
  • Não interferir injustificadamente nas operações da Ampliro;
  • Estar sujeita a obrigações adequadas de confidencialidade;
  • Limitar-se a uma vez a cada 12 meses, salvo se as Leis de Proteção de Dados Aplicáveis exigirem auditorias mais frequentes após uma Violação de Dados Pessoais ou nos termos de requisitos específicos de uma autoridade de controlo.

13. Exclusão e devolução de Dados Pessoais

13.1 Após a rescisão
Após a rescisão ou expiração do Acordo, ou mediante solicitação por escrito do Responsável pelo Tratamento, a Ampliro deverá:

  • Excluir ou anonimizar os Dados Pessoais tratados em nome do Responsável pelo Tratamento; ou
  • Devolver os Dados Pessoais ao Responsável pelo Tratamento em formato eletrônico de uso corrente, se assim solicitado e tecnicamente viável,

salvo se a Ampliro for obrigada pelas Leis de Proteção de Dados Aplicáveis a conservar alguns ou todos os Dados Pessoais por um período mais longo (por exemplo, para fins legais, fiscais ou contábeis).

13.2 Backups e registros
Dados Pessoais armazenados em backups ou registros arquivados serão protegidos de forma segura e, quando viável, substituídos ou excluídos de acordo com os ciclos padrão de backup e conservação da Ampliro.

13.3 Dados agregados e anonimizados
Nada neste DPA impedirá a Ampliro de conservar ou utilizar dados anonimizados ou agregados que não possam ser utilizados para identificar uma pessoa, de acordo com as Leis de Proteção de Dados Aplicáveis.


14. Disposições diversas

14.1 Limitação de responsabilidade
Quaisquer limitações de responsabilidade acordadas entre as partes no Acordo também se aplicarão a este DPA, na medida permitida pelas Leis de Proteção de Dados Aplicáveis.

14.2 Divisibilidade
Se qualquer disposição deste DPA for considerada inválida ou inexequível, as demais disposições permanecerão em pleno vigor e efeito.

14.3 Lei aplicável e jurisdição
Este DPA será regido e interpretado de acordo com a lei aplicável e a jurisdição indicadas no Acordo, exceto quando de outro modo exigido pelas Leis de Proteção de Dados Aplicáveis.


15. Contato

Para consultas relacionadas a proteção de dados e privacidade relativas a este DPA ou ao tratamento de Dados Pessoais pela Ampliro em conexão com a Diplino, o Responsável pelo Tratamento pode entrar em contato:

  • E-mail: privacy@diplino.com
  • Endereço postal:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden

Anexo 1 – Medidas Técnicas e Organizacionais

Sem prejuízo da obrigação da Ampliro de implementar medidas adequadas nos termos do artigo 32.º GDPR e de outras Leis de Proteção de Dados Aplicáveis, as seguintes medidas ilustram garantias-chave implementadas em relação ao Serviço Diplino:

  1. Criptografia e criptografia

    • Criptografia de dados em trânsito utilizando protocolos padrão do setor (por exemplo, TLS 1.3 ou equivalente).
    • Criptografia de dados em repouso em bancos de dados e sistemas de armazenamento subjacentes.
    • Uso de assinaturas criptográficas robustas (por exemplo, Ed25519) para assinatura e verificação de certificados, assegurando integridade e autenticidade.
  2. Controle de acesso e gestão de identidade

    • Controle de acesso baseado em funções (RBAC) no Serviço para restringir o acesso a Dados Pessoais com base nas funções dos usuários (por exemplo, admin, instrutor).
    • Mecanismos de autenticação forte para acesso administrativo.
    • Princípio do privilégio mínimo aplicado à equipe interna e aos sistemas que acessam Dados Pessoais.
  3. Segurança de rede e infraestrutura

    • Uso de infraestrutura em nuvem segura e segmentação de rede quando apropriado.
    • Firewalls, grupos de segurança e controles de rede semelhantes para proteger sistemas de produção.
    • Aplicação regular de patches e atualizações de segurança.
  4. Registro, monitoramento e auditoria

    • Registro de auditoria de atividades de usuários e acessos relacionados a certificados e Dados Pessoais.
    • Registro e monitoramento centralizados de eventos de infraestrutura para detecção de anomalias e resposta a incidentes.
    • Conservação de registros de auditoria em conformidade com necessidades de segurança e conformidade.
  5. Desenvolvimento e gestão de alterações

    • Práticas seguras de desenvolvimento de software, incluindo revisão de código, controle de versões e testes.
    • Processos de implantação controlados com acesso restrito a ambientes de produção.
    • Separação de ambientes de desenvolvimento, staging e produção.
  6. Medidas organizacionais e treinamento

    • Obrigações de confidencialidade para empregados e contratados com acesso a Dados Pessoais.
    • Treinamento e conscientização da equipe sobre práticas de proteção de dados e segurança da informação.
    • Políticas internas relativas a proteção de dados, conservação e resposta a incidentes.
  7. Continuidade de negócios e backup

    • Backups regulares de dados e procedimentos de restauração testados para assegurar disponibilidade e integridade do Serviço.
    • Planos de continuidade de negócios e recuperação de desastres para sistemas críticos.
  8. Gestão de riscos e revisões

    • Avaliações periódicas de riscos de segurança e riscos de privacidade relacionados ao Serviço.
    • Revisão e melhoria de controles de segurança à luz de novos riscos, práticas do setor e requisitos legais.

A Ampliro pode atualizar ou aperfeiçoar estas medidas ao longo do tempo, desde que tais alterações não resultem em uma redução material do nível geral de segurança.