Flow

Legal

Acordo de Tratamento de Dados (DPA)

Última atualização: 10 de junho de 2026

FlowJersey, Lda.

NIPC 513123456

Rua Exemplo, 1, 1000-001 Lisboa, Portugal

Suporte: suporte@flowjersey.com

Privacidade: privacidade@flowjersey.com

Livro de Reclamações electrónico · Plataforma ODR (UE)

Versão do documento: 2026-06-10-v1

1. Partes e papéis

  • Lojista («Responsável pelo Tratamento») — decide finalidades e meios relativamente aos dados dos Clientes Finais
  • FlowJersey, Lda. («Subcontratante») — trata dados pessoais dos Clientes Finais apenas por instrução do Lojista, para prestar o serviço SaaS

2. Objecto e duração

Este Acordo de Tratamento de Dados («DPA») aplica-se ao tratamento de dados pessoais de Clientes Finais (contas de loja, encomendas, dados de checkout) efectuado pela Subcontratante em nome do Responsável, durante a vigência da subscrição SaaS.

3. Tratamento por instruções

A Subcontratante tratará dados pessoais apenas conforme documentação escrita do Responsável (incluindo estes Termos, configurações da loja e instruções legítimas) e nunca para finalidades próprias de marketing directo sobre Clientes Finais.

4. Confidencialidade

O pessoal autorizado está sujeito a dever de confidencialidade. Acesso limitado por função (princípio do need-to-know) e isolamento multi-tenant (RLS).

5. Medidas técnicas e organizativas

  • Encriptação em trânsito (HTTPS/TLS)
  • Encriptação de credenciais Stripe por loja (AES-256-GCM)
  • Row Level Security (RLS) na base de dados
  • Rate limiting e protecção CSRF
  • Auditoria de eventos de segurança e consentimentos legais
  • Backups e continuidade conforme fornecedores de infraestrutura

6. Subcontratantes

Lista não exaustiva (actualizada na Política de Privacidade):

  • Supabase (autenticação, PostgreSQL, storage)
  • Vercel (hosting)
  • Cloudflare (DNS, CDN, segurança)
  • Upstash (rate limiting)
  • Stripe (pagamentos de subscrição SaaS — não vendas de loja)
  • Resend (email transaccional, se activo)
  • Google (OAuth, reCAPTCHA — se activo)

O Responsável autoriza a Subcontratante a recorrer a estes subcontratantes, desde que mantenham garantias adequadas (incluindo SCCs quando aplicável).

7. Direitos dos titulares e cooperação

A Subcontratante assiste o Responsável no cumprimento de pedidos de exercício de direitos (acesso, rectificação, apagamento, portabilidade, oposição), na medida tecnicamente possível, via ferramentas da plataforma ou contacto: privacidade@flowjersey.com.

8. Violações de dados

A Subcontratante notifica o Responsável sem demora injustificada após tomar conhecimento de violação de dados pessoais, fornecendo informação disponível para cumprimento do art. 33.º RGPD.

9. Eliminação e devolução

Após terminação do serviço, os dados dos Clientes Finais serão eliminados ou anonimizados no prazo técnico razoável, salvo obrigação legal de conservação. Exportação prévia via funcionalidades do dashboard quando disponível.

10. Integração contratual

Este DPA complementa os Termos de Utilização. Em caso de conflito sobre tratamento de dados de Clientes Finais, prevalece este DPA.