Saltar para o conteúdo principal
Orira
Início
Aviso: este DPA é um rascunho v1.0 pendente de revisão jurídica antes de ser anexado a contratos. Para uma versão final assinada, contacta daniel@orira.app.

Data Processing Agreement (Acordo de Tratamento de Dados)

Versão: 1.0 (rascunho - pendente revisão jurídica antes de produção) Última actualização: 2026-05-09 Partes: a Academia ("Controlador") e a Orira ("Subcontratante")

---

1. Objeto

Este DPA regula o tratamento de dados pessoais que a Orira realiza em nome da Academia ao prestar o serviço SaaS de gestão (orira.app), em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei portuguesa de Protecção de Dados Pessoais (Lei 58/2019).

2. Definições

  • Dados pessoais: dados de alunos, professores, dependentes e responsáveis (nome, email, telefone, NIF, dados de pagamento, presenças, graduações, fotos).
  • Tratamento: todas as operações realizadas sobre dados pessoais (recolha, armazenamento, alteração, consulta, eliminação).
  • Controlador: a Academia, que define as finalidades e meios do tratamento.
  • Subcontratante: a Orira, que trata os dados em nome do Controlador segundo as suas instruções.

3. Finalidade e duração

A Orira trata dados pessoais exclusivamente para:

  • Fornecer o serviço SaaS de gestão da Academia (autenticação, gestão de alunos, pagamentos, presenças, graduações, comunicação).
  • Cumprir obrigações legais e contabilísticas da Academia (retenção de registos de pagamento por 7 anos por obrigação fiscal portuguesa).

A duração do tratamento corresponde à duração da subscrição activa, mais o período legal de retenção de registos financeiros após cancelamento.

4. Localização dos dados (Data Residency)

Todos os dados pessoais são armazenados em servidores localizados na União Europeia (Region: EU-West, Frankfurt). Os subcontratantes (secção 6) operam infraestrutura em região EU.

Não há transferências internacionais de dados pessoais para fora do Espaço Económico Europeu sem mecanismos de garantia adequados (Cláusulas Contratuais Tipo da Comissão Europeia).

5. Medidas técnicas e organizativas

  • Encriptação em trânsito: TLS 1.3 obrigatório em todas as comunicações entre cliente e servidor.
  • Encriptação em repouso: dados sensíveis (passwords, tokens) em bcrypt/hash; base de dados encriptada at-rest pelo fornecedor de cloud.
  • Isolamento multi-tenant: cada Academia tem `tenantId` próprio; Prisma extension força isolamento automático em todas as queries com defesa-em-profundidade testada (ver docs/SAAS_READINESS.md Maio 2026 hardening).
  • Autenticação: bcrypt (10 rounds), JWT em cookies httpOnly + Secure + SameSite=Lax, rate limiting por IP, reCAPTCHA v3 nos endpoints críticos. 2FA TOTP obrigatório para staff com privilégios cross-tenant (item B2 do PLANOSAASVENDAVEL).
  • Acesso interno: staff Orira (1 pessoa) tem acesso a dados via `/orira-admin` apenas para suporte; cada acesso é registado em `PlatformAuditLog` com actor + acção + timestamp.
  • Backups: automáticos diários no fornecedor de cloud com retenção de 7 dias.

6. Subcontratantes (Sub-processors)

Lista pública e actualizada em orira.app/legal/subprocessors.

Sub-processorFinalidadeLocalização
VercelHosting do frontend (Next.js) e edge networkEU + global edge
RailwayHosting do backend (Node.js) e PostgreSQLEU-West (Frankfurt)
ResendEnvio de emails transaccionais (notificações, OTP, recuperação password)EU
StripeProcessamento de pagamentos da subscrição SaaSEU
AnthropicAssistente IA "Mestre Gongo" (via API Claude) - apenas conversas opcionais iniciadas pelo userUS (com SCCs aplicáveis)
CloudflareDNS + DDoS protectionGlobal edge
SentryError tracking (sem PII)EU
GoogleOAuth (login social opcional) e reCAPTCHAGlobal edge

A Orira notificará a Academia com 30 dias de antecedência sobre qualquer alteração à lista de sub-processors. Direito de oposição fundamentada: a Academia pode opor-se à inclusão de um novo sub-processor, caso em que ambas as partes negoceiam de boa-fé uma solução; falhando acordo em 30 dias, a Academia pode rescindir.

7. Direitos dos titulares dos dados

Os titulares dos dados (alunos, professores, dependentes) podem exercer os seguintes direitos junto da Academia (Controlador):

  • Acesso (Art. 15 RGPD): obter cópia dos dados.
  • Rectificação (Art. 16): corrigir dados inexactos via `/dashboard/perfil` ou pedido escrito.
  • Eliminação / Right-to-erasure (Art. 17): eliminar conta via `/dashboard/seguranca > Eliminar conta`. Anonimização preserva registos históricos (pagamentos) por obrigação fiscal mas remove todos os identificadores pessoais.
  • Portabilidade (Art. 20): obter dados em formato estruturado.
  • Oposição (Art. 21): opor-se ao tratamento.
  • Não estar sujeito a decisões automatizadas (Art. 22).

A Orira disponibiliza ferramentas de UI e API para o Controlador satisfazer estes pedidos. Pedidos directos à Orira são encaminhados ao Controlador.

Prova de consentimento. A aceitação dos Termos da Academia e dos Termos da Plataforma Orira é registada na tabela imutável `TermsAcceptanceLog` (`backend/prisma/schema.prisma`). Cada entry inclui `acceptedAt`, `ip`, `userAgent`, snapshot das versões em vigor (`academyTermsVersion` + `oriraTermsVersion`) e o contexto (`inscricao`, `modal` de re-aceitação, `signup`). Os booleanos `acceptedAcademyTerms` e `acceptedOriraTerms` ficam guardados separados - o consentimento é específico por finalidade (Art. 7 RGPD). Anonimização via right-to- erasure (Art. 17) preserva o log com `userId` mantido para fins de prova legal mas remove qualquer ligação a identificadores pessoais adicionais.

8. Notificação de incidentes

A Orira notifica a Academia sem demora indevida (≤ 24 horas após detecção) em caso de violação de dados pessoais. A notificação inclui:

  • Natureza do incidente (categorias e número aproximado de titulares).
  • Consequências prováveis.
  • Medidas adoptadas para remediar e mitigar.
  • Ponto de contacto da Orira (daniel@orira.app).

A Academia é responsável por notificar a CNPD (≤ 72 horas) e os titulares (quando aplicável Art. 34).

9. Auditoria

A Academia tem direito a auditar o cumprimento deste DPA. Auditorias são realizadas mediante aviso de 30 dias e cobrem documentação, políticas e provas de implementação. Auditorias on-site requerem acordo prévio e custos suportados pelo Controlador (excepto se incidente reportado).

10. Cessação

À cessação do contrato, a Orira:

  • Imediato: bloqueia acesso da Academia ao serviço.
  • Período de 90 dias: mantém os dados em estado "soft-deleted" para permitir reactivação ou export.
  • Após 90 dias: hard-delete via cron worker (item B3 do PLANOSAASVENDAVEL). PlatformAuditLog cumulative é preservado indefinidamente (apenas metadata de acções, sem PII).

A Academia pode pedir export completo de dados antes do hard-delete via `/orira-admin` (operação suportada).

11. Responsabilidade

A Orira responde pelos danos causados por tratamento que viole este DPA ou as instruções da Academia, dentro dos limites da lei aplicável e do contrato principal.

12. Lei aplicável e jurisdição

Lei portuguesa. Tribunal da Comarca de Lisboa.

---

Aviso (rascunho): este DPA é um documento de trabalho. Antes de ser anexado a contratos com Academias, deve ser revisto por advogado especializado em RGPD e direito digital português.