Última atualização: 16 de junho de 2026 · Versão 1.0
Este Acordo de Tratamento de Dados (Data Processing Agreement, "DPA") rege o tratamento de dados pessoais realizado pela Boomlab Agency OÜ ("Responsável") na plataforma BoomLab RH, em cumprimento do artigo 28.º do Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento (UE) 2016/679) e demais legislação aplicável.
Responsável pelo Tratamento (Controller):
Boomlab Agency OÜ · Nº de registo 17418850 · VAT EE102949302
Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia
Contacto: [email protected]
Titulares dos dados: colaboradores, ex-colaboradores e candidatos a recrutamento da Boomlab Agency OÜ.
O presente DPA aplica-se ao tratamento de dados pessoais realizado na plataforma BoomLab RH durante a relação contratual (laboral ou de recrutamento) entre a Boomlab Agency OÜ e o titular dos dados, e mantém-se em vigor durante todo o período legal de conservação subsequente ao seu termo.
| Categoria | Exemplos |
|---|---|
| Identificação | Nome, email, telemóvel, foto, data de nascimento |
| Fiscais e bancários | NIF, NISS, IBAN (encriptados em repouso, AES-256-CBC) |
| Contratuais | Tipo de contrato, salário base, datas, função, departamento |
| Assiduidade | Picagens, coordenadas GPS, endereço IP, pedidos de férias, faltas |
| Performance | Objetivos, avaliações, feedback, notas internas |
| Recrutamento | CV, motivação, perfil DISC, notas de entrevistas |
A Boomlab Agency OÜ compromete-se a:
A Boomlab Agency OÜ recorre aos seguintes subcontratantes para tratar dados pessoais em seu nome, mediante contrato escrito de subcontratação:
| Subcontratante | Finalidade | Localização |
|---|---|---|
| Hostinger International Ltd. | Alojamento da infraestrutura (servidores, base de dados, backups) | União Europeia (Lituânia) |
| Google Workspace (Google Ireland Ltd.) | Email institucional + SMTP de envio de notificações | União Europeia (Irlanda) |
| Cloudflare, Inc. | Resolução DNS e proteção de tráfego (CDN/WAF) | Global (com acordos de transferência adequados) |
A Boomlab Agency OÜ pode acrescentar ou substituir subcontratantes, informando previamente os titulares dos dados se essa alteração afetar materialmente o nível de proteção. Os titulares podem opor-se à inclusão de novos subcontratantes através de [email protected].
Os dados pessoais são tratados principalmente dentro do Espaço Económico Europeu (EEE). Quando a Cloudflare ou qualquer subcontratante futuro processar dados fora do EEE, a transferência é protegida por uma das seguintes salvaguardas:
Nos termos dos artigos 15.º a 22.º do RGPD, o titular dos dados pode exercer os seguintes direitos a qualquer momento:
Para exercer qualquer destes direitos, contactar [email protected]. O Responsável compromete-se a responder no prazo máximo de 30 dias.
O titular tem também o direito de apresentar reclamação à autoridade de controlo competente — na Estónia, a Andmekaitse Inspektsioon (aki.ee).
Em caso de violação de dados pessoais (data breach), a Boomlab Agency OÜ compromete-se a:
| Tipo de dados | Prazo |
|---|---|
| Dados de colaboradores ativos | Durante toda a relação laboral |
| Dados pós-cessação contratual | Conforme prazos legais aplicáveis (fiscais, laborais, contributivos) |
| Candidatos não selecionados | Eliminados ou anonimizados quando deixarem de ser necessários ao processo de recrutamento (máximo 12 meses, salvo consentimento expresso) |
| Logs de auditoria | Até 24 meses |
| Backups | Rotação automática, máximo 30 dias |
Considerando que a Boomlab Agency OÜ opera com equipa maioritariamente remota, é tratada a localização geográfica dos colaboradores nos seguintes momentos:
Base legal: interesse legítimo (Art. 6.º(1)(f) RGPD) na verificação da execução do contrato de trabalho à distância, ponderado com os direitos e liberdades do colaborador. Quando o colaborador carrega em "Saída", o servidor apaga a última posição e cessa imediatamente qualquer visibilidade da sua localização.
A Boomlab Agency OÜ responde nos termos do Art. 82.º do RGPD por danos materiais ou imateriais causados a titulares de dados em consequência de violação do RGPD imputável ao Responsável ou aos seus subcontratantes.
Este DPA pode ser atualizado para refletir alterações legais, técnicas ou organizativas. As versões anteriores são arquivadas e podem ser consultadas mediante pedido a [email protected]. Alterações materiais são comunicadas aos titulares com antecedência mínima de 30 dias.
Este DPA rege-se pela lei estoniana e pelo direito da União Europeia, em particular pelo RGPD. Para a resolução de litígios é competente o foro de Tallinn, sem prejuízo do direito do titular dos dados a recorrer aos tribunais ou autoridades do seu Estado-Membro de residência.