Acordo de Processamento de Dados

Descarregue o iLost DPA

Abrir DPA (PDF)

Com base em duas fases de processamento distintas, conforme mostrado na visão geral visual na parte inferior desta página, descreve-se como os dados pessoais são processados na plataforma iLost. Explica os tipos de dados pessoais envolvidos, as funções das partes e o quadro regulamentar aplicável, sem referência a artigos legais específicos da jurisdição.

Definições

  1. Reclamação/Relatório de perda: Informações enviadas por um Utilizador através da Plataforma iLost com o objetivo de reivindicar a propriedade ou o direito a um Item Encontrado.
    Uma Reclamação só se torna efetiva após a verificação da conta do Utilizador, o que inclui o envio de um endereço de e-mail e a validação através de um link de verificação, e a aceitação pela iLost de acordo com as suas políticas. Após essa aceitação, as informações da reclamação são disponibilizadas ao cliente relevante e o item encontrado fica associado ao utilizador.
    Este momento marca a transição da Fase 1 para a Fase 2, conforme descrito abaixo.

  2. Cliente: Uma organização, empresa ou instituição (incluindo, mas não se limitando a hotéis, locais, operadores de transporte e instituições públicas) que utiliza a plataforma iLost para registar e gerir itens encontrados.
    Para evitar dúvidas, um Cliente não é uma pessoa singular.

  3. Controlador: A entidade que determina as finalidades e os meios essenciais do Tratamento de Dados Pessoais.

  4. Item Encontrado: Um item registado na Plataforma iLost por um Cliente. Um Item Encontrado pode inicialmente não estar vinculado a um indivíduo identificável e pode, após o envio e verificação de uma reclamação, tornar-se associado a um Utilizador.

  5. Plataforma iLost: A solução online de software como serviço operada pela iLost, incluindo a sua interface web e widgets de pesquisa incorporados, que permite aos Clientes registar e gerir itens encontrados e permite aos Utilizadores pesquisar, comunicar, reclamar e recuperar bens perdidos.

  6. Dados pessoais: Qualquer informação relacionada com uma pessoa singular identificada ou identificável, incluindo, mas não se limitando a, nome, detalhes de contacto, dados de identificação, fotografias, informações relacionadas com reclamações e identificadores online, tais como endereços IP.

  7. Processamento: Qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, tais como recolha, armazenamento, utilização, divulgação ou eliminação.

  8. Subcontratante: A entidade que trata Dados Pessoais em nome de um Responsável pelo Tratamento.

  9. Utilizador: Uma pessoa singular que interage diretamente com a Plataforma iLost para procurar, reclamar ou recuperar um objeto perdido e cujos dados pessoais são tratados nesse contexto. Quando aplicável a lei de proteção de dados, um Utilizador qualifica-se como «titular dos dados», «indivíduo» ou conceito jurídico equivalente ao abrigo dessa lei.

1. Fase 1 – Processamento iniciado pelo cliente

Na Fase 1, os dados pessoais são introduzidos na Plataforma iLost por um membro do pessoal do Cliente no contexto do registo e gestão de artigos encontrados.

Ações como notificar proativamente um possível proprietário ou corresponder um artigo num balcão de atendimento físico são consideradas parte da Fase 1 e permanecem sob a responsabilidade do Cliente como Controlador.

Isto pode incluir, mas não se limita a:

  • Detalhes de contacto de um proprietário conhecido ou suspeito que ainda não é um Utilizador
  • Notas adicionadas a um Item Encontrado
  • Informações pessoais introduzidas para confirmar a recolha de um item sem uma reclamação online

Funções na Fase 1

Na Fase 1:

  • O Cliente determina a finalidade do processamento, nomeadamente a devolução dos itens encontrados aos seus legítimos proprietários
  • O Cliente atua como Controlador
  • A iLost atua como Processador, processando os dados pessoais introduzidos pelo e em nome do Cliente

A relação de processamento na Fase 1 é regida pelo Acordo de Processamento de Dados (DPA) aplicável.

2. Fase 2 – Processamento iniciado pelo utilizador (pós-verificação)

A Fase 2 começa apenas após um utilizador ter enviado uma reclamação ou relatório de perda e a iLost ter concluído o seu processo de verificação.
Esta verificação inclui a confirmação dos dados de contacto do utilizador (como a verificação do e-mail) e a conformidade com as políticas internas de validação e antiabuso da iLost.

Até que a verificação seja concluída, os dados pessoais fornecidos pelo utilizador são processados exclusivamente pela iLost e não são disponibilizados ao cliente.

Assim que uma reclamação ou relatório de perda for verificado e aprovado pela iLost, a Fase 2 é ativada e os dados pessoais relevantes do utilizador podem ser disponibilizados ao cliente para processamento adicional.

Dados pessoais fornecidos pelo Utilizador

Durante o processo de reclamação ou relatório de perda, um Utilizador pode fornecer dados pessoais, tais como:

  • Nome e detalhes de contacto
  • Informações ou explicações relacionadas com a reclamação destinadas a demonstrar a propriedade
  • Mensagens trocadas através da Plataforma iLost
  • Detalhes de envio e endereço para a devolução de um item
  • Imagens ou documentos de apoio

Ao enviar uma reclamação ou relatório de perda e aceitar a política de privacidade e os termos aplicáveis, o Utilizador concorda com o processamento desses dados pessoais pela iLost para fins de operação da plataforma iLost e facilitação da recuperação de bens perdidos.

Papel da iLost na Fase 2

Na Fase 2:

  • a iLost atua como um Controlador independente para todo o processamento iniciado pelo utilizador na Plataforma iLost, incluindo:
  • Verificação do utilizador
  • Gestão de conta
  • Tratamento de reclamações
  • Fluxos de trabalho de comunicação

  • Início do envio

  • a iLost determina se e quando os dados pessoais do Utilizador são disponibilizados ao Cliente, com base nos resultados da verificação e nas políticas da plataforma.

Identificabilidade dos itens encontrados na Fase 2

Um item encontrado registrado na Fase 1 não constitui automaticamente dados pessoais.

Um item encontrado fica vinculado a um indivíduo identificável somente quando a reclamação ou o relatório de perda do usuário for verificado pela iLost.

A partir desse momento, o item encontrado se qualifica como dados pessoais rastreáveis na plataforma iLost.

Divulgação de dados pessoais ao cliente

Após a verificação, determinados dados pessoais do utilizador (por exemplo, informações relacionadas com a reclamação ou detalhes de envio) podem ser divulgados ao cliente onde e na medida do necessário para:

  • Verificar a propriedade
  • Tomar uma decisão final sobre a correspondência
  • Preparar e concluir o envio ou a entrega física do item

Nenhum dado pessoal do utilizador é partilhado com o cliente antes da verificação e aprovação da iLost.

3. Relação entre controladores na Fase 2

Uma vez que os dados pessoais do utilizador são divulgados ao Cliente após a verificação, os dados pessoais são processados e trocados sob uma estrutura de controlador para controlador (C2C).

Nesta estrutura:

  • A iLost continua a ser o Controlador do processamento iniciado pelo utilizador na Plataforma iLost, incluindo verificação, comunicação e fluxos de trabalho ao nível da plataforma
  • O Cliente continua a ser o Controlador do seu próprio processamento subsequente, incluindo:
  • Verificar a propriedade e tomar a decisão final sobre a correspondência
  • Manter registos internos
  • Preparar e concluir o envio ou a entrega física

Cada parte determina de forma independente os seus próprios fins e meios essenciais de processamento e é responsável pelo cumprimento das leis de proteção de dados aplicáveis em relação às suas próprias atividades de processamento.

4. Resumo da atribuição de responsabilidades

Fase 1

  • Cliente: Controlador
  • iLost: Processador (ao abrigo do DPA)

Fase 2 (Pós-verificação e divulgação)

  • iLost: Controlador independente (processamento iniciado pelo utilizador)
  • Cliente: Controlador independente (próprio processamento operacional)
  • Os dados pessoais são trocados ao abrigo de uma cláusula de controlador para controlador

5. Regulamentos aplicáveis em matéria de proteção de dados e privacidade

A lista seguinte não é exaustiva.
Os requisitos aplicáveis dependem da localização do Cliente, do Utilizador e das atividades de processamento relevantes (Fase 1 e/ou Fase 2).

Américas

  • Estados Unidos (selecionado): Lei de Privacidade do Consumidor da Califórnia / Lei de Direitos de Privacidade da Califórnia (CCPA/CPRA) – principalmente Fase 2
  • Estados Unidos: Outras leis estaduais de privacidade (conforme aplicável) – Fase 1 e/ou Fase 2
  • Brasil: Lei Geral de Proteção de Dados (LGPD) – Fase 1 e Fase 2
  • Canadá: PIPEDA e leis provinciais de privacidade aplicáveis – Fase 1 e Fase 2
  • México: Lei Federal sobre Proteção de Dados Pessoais Detidos por Partes Privadas – Fase 1 e Fase 2
  • Argentina: Lei de Proteção de Dados – Fase 1 e Fase 2

Ásia-Pacífico

  • China: Lei de Proteção de Informações Pessoais – Fase 1 e Fase 2 (quando aplicável)
  • Japão: Lei sobre a Proteção de Informações Pessoais – Fase 1 e Fase 2
  • Singapura: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • Austrália: Lei de Privacidade de 1988 – Fase 1 e Fase 2
  • Coreia do Sul: Lei de Proteção de Informações Pessoais – Fase 1 e Fase 2
  • Índia: Lei de Proteção de Dados Pessoais Digitais – Fase 1 e Fase 2 (quando aplicável)
  • Indonésia: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • Tailândia: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • Malásia: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • Filipinas: Lei de Privacidade de Dados – Fase 1 e Fase 2
  • Vietname: Decreto de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • Hong Kong: Portaria sobre Dados Pessoais (Privacidade) – Fase 1 e Fase 2
  • Taiwan: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2

Europa

  • União Europeia/EEE: Regulamento Geral sobre a Proteção de Dados (RGPD) – Fase 1 e Fase 2
  • Reino Unido: RGPD do Reino Unido e Lei de Proteção de Dados de 2018 – Fase 1 e Fase 2
  • Suíça: Lei Federal sobre Proteção de Dados (FADP) – Fase 1 e Fase 2

Médio Oriente e África

  • Regulamentos de Proteção de Dados dos EAU/DIFC/ADGM – Fase 1 e Fase 2
  • Catar: Lei de Proteção de Dados – Fase 1 e Fase 2
  • Israel: Lei de Proteção da Privacidade – Fase 1 e Fase 2
  • Arábia Saudita: Lei de Proteção de Dados Pessoais (PDPL) – Fase 1 e Fase 2
  • Bahrein/Omã: Leis nacionais de proteção de dados aplicáveis – Fase 1 e Fase 2
  • Turquia: Lei de Proteção de Dados Pessoais – Fase 1 e Fase 2
  • África do Sul: Lei de Proteção de Informações Pessoais (POPIA) – Fase 1 e Fase 2
  • Nigéria: Lei de Proteção de Dados da Nigéria (NDPA) – Fase 1 e Fase 2
  • Quénia: Lei de Proteção de Dados – Fase 1 e Fase 2

Cada parte permanece responsável pelo cumprimento das leis de proteção de dados aplicáveis às suas próprias atividades de processamento e jurisdição e deve informar a iLost por escrito sobre quaisquer adições ou alterações materiais ao acima exposto.

Visão geral do fluxo visual

Veja abaixo o diagrama de mapeamento visual que ilustra o fluxo completo de dados entre a Fase 1 e a Fase 2, incluindo as funções da organização e do utilizador, e a transição das responsabilidades do controlador.

Diagrama de fluxo de dados da Fase 1 e da Fase 2