Esta Adenda (Adenda) à Lei sobre Resiliência Operacional Digital («DORA») foi criada para documentar a conformidade com o REGULAMENTO (UE) 2022/2554 DO PARLAMENTO EUROPEU E DO CONSELHO, de 14 de dezembro de 2022, relativo à resiliência operacional digital para o setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011, e faz parte do Acordo, tal como definido abaixo.
Esta adenda entrará em vigor na data de assinatura por ambas as partes.
Em caso de inconsistência ou conflito entre as disposições desta Adenda e as disposições de qualquer outro documento referido no Acordo, os termos desta Adenda prevalecerão na medida dessa inconsistência ou conflito.
Acordo
Serviços de TIC - tem o significado prescrito no artigo 3 do DORA.
Dados pessoais - significa qualquer informação conforme definida no Artigo 4.1 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Responsável pelo tratamento - tem o significado prescrito no Artigo 4.8 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Serviços - significa os serviços fornecidos ao Cliente pela Formalize nos termos do Contrato.
Subcontratação - significa o uso de subcontratantes pela Formalize para cumprir as suas obrigações e fornecer os seus Serviços sob o Contrato e esta Adenda.
O Cliente é uma entidade que se enquadra no âmbito do DORA, conforme definido no Artigo 2.º do DORA e/ou na sua legislação nacional implementadora.
A Formalize compromete-se a fornecer ao Cliente serviços que constituem serviços de TIC, conforme definido no DORA. O objetivo desta Adenda é garantir que esses requisitos e normas sejam incluídos no Acordo.
Para efeitos da presente Adenda, as Partes assumem que a Formalize ApS está a apoiar as funções de negócio importantes ou críticas do Cliente.
Para efeitos de conformidade com o Art. 30º nº2 do DORA, uma descrição clara e completa de todas as funções e serviços de TIC a ser fornecidos pela Formalize pode ser encontrada nos Termos e Condições que fazem parte deste Acordo. Estes Serviços de TIC devem ser considerados como uma combinação de Serviços em nuvem: SaaS e Serviços de Suporte.
O Cliente tem o dever de identificar quais desses serviços estão a apoiar as funções comerciais importantes ou críticas do Cliente.
O Cliente tem o direito de monitorizar o desempenho da Formalize em relação ao Contrato e aos níveis de serviço acordados, conforme descrito no Acordo de Nível de Serviço da Formalize, de forma contínua, para facilitar o cumprimento do Art. 30º do DORA. A este respeito, é concedido ao Cliente:
Para facilitar o exercício desses direitos, a Formalize fornecerá ao Cliente certificações de terceiros e relatórios de auditoria interna e externa. Estes estarão disponíveis a qualquer momento no centro de confiança da Formalize, conforme explicado mais detalhadamente abaixo em 4.3. Relatórios.
De acordo com o Art. 28º nº6 do DORA, o Cliente terá o direito de solicitar, com uma frequência que seja razoável e legítima do ponto de vista da gestão de riscos, modificações do âmbito das certificações ou relatórios de auditoria para outros sistemas e controlos relevantes e o direito contratual de realizar auditorias individuais e agrupadas à sua discrição no que diz respeito às disposições contratuais e executar esses direitos de acordo com a frequência acordada.
A Formalize concorda em notificar o Cliente, sem demora injustificada, por escrito, sobre quaisquer desenvolvimentos que possam ter um impacto material na capacidade da Formalize de executar efetivamente os Serviços em conformidade com:
A Formalize é submetida a auditorias anuais e, como parte das certificações e relatórios obtidos e renovados, o plano de contingência de negócios é revisto e testado. A Formalize efetua ainda, de modo a manter as certificações e relatórios acima referidos, um teste semestral do Plano de Recuperação de Desastres. Além disso, a Formalize realiza anualmente um teste de penetração realizado por um terceiro independente. Os resultados desses exercícios são publicados na página web da Formalize no Trust Center.
O Cliente tem o direito de exigir que a Formalize forneça ao Cliente relatórios (incluindo relatórios de auditoria interna ou externa), conforme apropriado, quando tais relatórios indicarem a incapacidade da Formalize de executar efetivamente os Serviços de acordo com os requisitos estabelecidos nesta Cláusula.
O Cliente tem a responsabilidade de fornecer à Formalize e manter atualizado um correio específico onde serão fornecidas as comunicações relacionadas com o DORA.
Os incidentes serão geridos e comunicados ao Cliente conforme descrito no Acordo de Nível de Serviço e de acordo com o Art. 30º nº2 do DORA.
A Formalize fornecerá ao Cliente toda a assistência necessária no caso de um Incidente decorrente ou relacionado aos Serviços.
Qualquer assistência relacionada a um Incidente relacionado a TIC será fornecida pela Formalize gratuitamente, a menos que acordado de outra forma entre as Partes.
A Formalize pode usar subcontratados para executar parte dos Serviços ("Subcontratação" para um "Parceiro Subcontratante").
No que diz respeito aos Serviços subcontratados, localização, extensão da cadeia de abastecimento, natureza dos dados, subcontratantes e locais dos serviços (processamento e armazenamento de dados), estas informações podem ser encontradas no formulário Formalize - DORA - Dados do fornecedor e no Acordo de Processamento de Dados, fornecidos juntamente com esta Adenda para facilitar o cumprimento do Registo de Informações e do Art. 29º nº2 do DORA.
Caso a Formalize utilize Parceiros Subcontratados para executar parte dos serviços, a Formalize reconhece e concorda:
A Formalize fornece no Acordo de Tratamento de Dados uma visão geral atualizada dos locais (países) onde os Serviços subcontratados são prestados e onde os dados, pessoais e não pessoais, são processados, incluindo o local de armazenamento, a fim de cumprir com o RGPD e o Art. 30º n.º 2 alínea b) do DORA.
A Formalize deverá informar o Cliente sobre quaisquer alterações nos locais onde as funções e Serviços subcontratados são fornecidos.
A Formalize implementou medidas técnicas e organizacionais adequadas, considerando os desenvolvimentos tecnológicos mais recentes e as medidas de segurança relevantes, incluindo, entre outras, conforme apropriado:
Não obstante qualquer disposição em contrário, durante o prazo do Contrato, o Cliente terá o direito de acessar os dados pertencentes ao Cliente, a qualquer momento, de maneira consistente com a funcionalidade dos Serviços.
Em caso de insolvência ou descontinuação das operações comerciais da Formalize, o Cliente terá acesso irrestrito aos dados pertencentes ao Cliente.
A prestação de Serviços pela Formalize inclui o processamento dos Dados Pessoais do Cliente no âmbito do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados ("Regulamento Geral de Proteção de Dados"); para esse fim, as Partes celebraram um Contrato de Processamento de Dados separado que estabelece responsabilidades e obrigações com relação a esse processamento de Dados Pessoais.
Quando apropriado, e pelo menos anualmente, o pessoal da Formalize participa de programas de sensibilização de segurança.
Os colaboradores da Formalize que sejam relevantes podem ser convidados a participar nos programas de sensibilização para a segurança das TIC e na formação em resiliência operacional digital do Cliente, conforme descrito no Art. 30.2 do DORA, se o Cliente considerar que o conteúdo dos programas de sensibilização da Formalize não é suficiente para os fins do DORA.
Quando os programas e a formação tiverem um impacto nas atividades comerciais normais da Formalize, esta tem o direito de cobrar uma taxa determinada anteriormente pela disponibilidade dos empregados.
O prazo da presente Adenda tem início na data da sua assinatura e mantém-se em pleno vigor e efeito até (i) à data em que o Acordo ativo expira ou é rescindido em conformidade com os termos do Acordo; (ii) à data em que o Acordo ativo é rescindido em conformidade com as disposições da presente Adenda; ou (iii) à data em que o Cliente não é uma empresa sujeita ao DORA.
Além dos direitos de rescisão do Cliente, conforme estabelecido nos Termos e Condições, o Cliente pode rescindir um Contrato nas seguintes situações, de acordo com o Art. 28.7 do DORA e o artigo 6 do REGULAMENTO DELEGADO (UE) 2025/532 DA COMISSÃO:
No que diz respeito aos direitos de rescisão descritos nas cláusulas a, b e c, o Cliente deve fornecer à Formalize um aviso prévio por escrito de pelo menos 15 dias, que servirá como um período de cura para a Formalize remediar a violação, o risco ou a fraqueza identificada para a satisfação razoável do Cliente. Se a Formalize não resolver adequadamente o problema dentro do período de cura, o Cliente poderá rescindir o Contrato com efeito imediato.
Para rescisão nos termos da cláusula d, o Contrato será considerado rescindido imediatamente mediante notificação por escrito do Cliente, sem a necessidade de um período de correção.
A rescisão nos termos desta cláusula não prejudica quaisquer outros direitos ou recursos disponíveis para o Cliente nos termos do Contrato ou da legislação aplicável.
A intenção da presente secção (a seguir designada por “plano de saída”) consiste em clarificar um período de transição adequado para os casos em que o acordo tenha sido ou tenha sido denunciado (ou esteja prestes a ser denunciado). O plano de saída prevê medidas para assegurar uma transição harmoniosa e atempada, sendo a Formalize obrigada a cooperar plenamente com a saída.
O Plano de Saída tem início 30 dias antes da cessação do contrato.
Soft Exit - 30 dias antes das rescisões
A partir deste dia, e pelos 30 dias seguintes, o Cliente ainda tem acesso aos Serviços, todos os aplicativos e todos os dados armazenados, o Cliente deve aproveitar a oportunidade para extrair os dados relevantes da infraestrutura da Formalize. Durante este prazo, o Cliente terá que comunicar à Formalize qualquer outra informação que não pôde ser extraída para permitir que o Cliente migre para outro provedor de serviços de terceiros de TIC ou mude para soluções internas consistentes com a complexidade do serviço fornecido.
Durante a fase de Soft Exit, o Cliente assume a responsabilidade de iniciar todas as atividades de exportação de dados. A Formalize dará suporte ao Cliente na exportação dos itens listados em Data acima.
Hard Exit - Eliminação de dados - Dias 1 a 30 após o término
Após a Fase Soft Exit, a Formalize revisará e garantirá a remoção de todos os dados do Cliente da sua infraestrutura. Essa remoção ocorrerá dentro de 30 dias após a conclusão da Fase Soft Exit, após os quais as informações serão retidas em armazenamento de backup por 90 dias.
Durante a Fase Hard Exit, a Formalize é responsável pela eliminação final de todos os dados do Cliente de sua infraestrutura e por informar o Cliente por escrito sobre a conclusão do Plano de Saída.
Qualquer outro requisito do Cliente que exija que a Formalize tome qualquer ação e que esteja fora do âmbito das etapas mencionadas no Soft Exit e Hard Exit pode ser acordado por um custo adicional.
Cooperação com a saída:
A Formalize está obrigada a cooperar integralmente na execução da saída e a realizar todos os trabalhos necessários, observados os limites abaixo estabelecidos.
Os serviços da Formalize podem continuar após a data de término e continuar até que a transição para um novo provedor de serviços ou sistema esteja totalmente concluída. O Cliente deverá informar a Formalize sobre a sua intenção de continuar a aceder ao Sistema. Esta notificação deverá ser feita antes da data de término e as partes concordarão com um acordo provisório por um período entre 6 meses a 1 ano, os custos do acordo provisório podem refletir um aumento de preço de no máximo 10% em relação ao Acordo anterior.
Atualização do Plano de Saída:
O Plano de Saída pode ser atualizado e revisto anualmente mediante solicitação por escrito do Cliente em consulta com a Formalize, incluindo um custo e cronograma.
Qualquer pedido efetuado pelo Cliente ao abrigo da presente Adenda deve:
Em caso de conflito ou incoerência entre a presente Adenda e os termos do Contrato, prevalecerá a presente Adenda.
As alterações ao Acordo ou à Adenda só podem ser acordadas entre as Partes por escrito.
A presente Adenda será regida pela mesma lei que rege os Termos e Condições do Acordo, juntamente com os Regulamentos Europeus aplicáveis aqui referidos, incluindo o DORA e os regulamentos delegados relacionados.
Se o tribunal declarar inválidos artigos da presente adenda, os restantes artigos manter-se-ão plenamente em vigor.
As disposições da presente Adenda baseiam-se na Lei da Resiliência Operacional Digital (DORA), nos seus actos delegados, nas Normas Técnicas de Execução (ITS) e nas Normas Técnicas de Regulamentação (RTS). Se algum destes instrumentos jurídicos for alterado ou revogado e qualquer disposição da presente adenda deixar de ser refletida ou exigida pelo quadro regulamentar aplicável, essa disposição deixará de ser aplicável. No entanto, as restantes disposições da presente adenda manter-se-ão em pleno vigor e efeito, salvo acordo em contrário entre as partes.