SYAGA AuditMicrosoft 365 Edition
Início Funcionalidades Segurança Como funciona Preços
Iniciar sessão Iniciar o meu diagnóstico gratuito

Acordo de Tratamento de Dados (DPA)

Celebrado em aplicação do artigo 28.º do Regulamento (UE) 2016/679 (RGPD) (fonte: gdpr-info.eu/art-28-gdpr)

Serviço em causa: SYAGA Audit -- auditoria de segurança e de conformidade Microsoft 365, modo de leitura apenas

Versão: 1.0 -- Data: 27 de junho de 2026 -- Data de entrada em vigor: 27 de junho de 2026


Identificação das Partes

O Subcontratante:

SYAGA CONSULTING, sociedade por quotas (SARL de direito francês) com o capital de 20 000 euros, matriculada no RCS de Aix-en-Provence sob o SIREN 518 489 471, criada em 08/12/2009, representada pelo seu gerente Sébastien Questier, com sede social em 2 Impasse Paul Langevin, 13110 Port-de-Bouc, França, editora do serviço SYAGA Audit, doravante designada o Subcontratante.

E

O Responsável pelo tratamento: o Cliente que tenha subscrito o serviço SYAGA Audit nas condições das CGV disponíveis em cgu.html, cujos dados de contacto são os indicados no momento da subscrição, doravante designado o Responsável pelo tratamento.

Doravante designadas em conjunto as Partes.


Preâmbulo

O presente Acordo de Tratamento de Dados (DPA) é celebrado em aplicação do artigo 28.º do RGPD, que exige que um tratamento realizado por um subcontratante por conta de um responsável pelo tratamento seja regido por um contrato que defina o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais, as categorias de titulares dos dados, bem como as obrigações e os direitos do responsável pelo tratamento.

O presente DPA é acessório às Condições Gerais de Venda e de Serviço (CGV) da SYAGA Audit (o Contrato principal). Em caso de contradição entre o presente DPA e o Contrato principal sobre uma questão relativa à proteção de dados, o presente DPA prevalece. Em caso de contradição relativa à proteção de dados pessoais, o presente DPA prevalece sobre os Termos e Condições.

Ao subscrever o serviço SYAGA Audit, o Cliente aceita os termos do presente DPA. A aceitação eletrónica equivale à aceitação do DPA em conformidade com as disposições aplicáveis à celebração de contratos por via eletrónica.


Artigo 1.º -- Objeto e doutrina do serviço

O presente DPA define as condições em que o Subcontratante se compromete a efetuar, por conta e por instrução documentada do Responsável pelo tratamento, as operações de tratamento de dados pessoais necessárias ao fornecimento do serviço SYAGA Audit.

A SYAGA Audit realiza uma auditoria de segurança e de conformidade do ambiente Microsoft 365 do Responsável pelo tratamento em modo de leitura apenas: o Serviço nunca escreve, altera nem elimina qualquer dado no tenant auditado.

O Subcontratante aplica uma doutrina zero-knowledge: a recolha e a pseudonimização executam-se no navegador do Cliente (extensão). O Subcontratante nunca recebe os dados brutos do tenant nem o token de acesso Microsoft do Cliente: apenas impressões digitais pseudonimizadas. Os resultados de auditoria tokenizados são conservados na área de cliente para permitir ao Cliente reabri-los, enquanto estiver ativo; só são recontextualizados em claro no posto de trabalho do Cliente.


Artigo 2.º -- Natureza, finalidade e duração do tratamento

2.1 Natureza das operações. As operações consistem em: recolha (leitura, menor privilégio) através das API da Microsoft, efetuada por uma extensão de navegador executada no posto de trabalho do Cliente; pseudonimização local; análise pelo Subcontratante apenas das impressões digitais pseudonimizadas à luz de referenciais de segurança (ANSSI, recomendações Microsoft, RGPD, NIS2); devolução sob forma de relatórios recontextualizados no posto de trabalho do Cliente.

2.2 Finalidade exclusiva. A finalidade é a avaliação da postura de segurança e de conformidade do tenant Microsoft 365 do Responsável pelo tratamento e a produção dos relatórios de auditoria associados. Nenhuma outra finalidade (prospeção, definição de perfis, reutilização para fins próprios do Subcontratante) é autorizada.

2.3 Duração. O tratamento é efetuado durante o período de execução do Contrato principal. Os dados brutos são eliminados imediatamente na entrega do Relatório.


Artigo 3.º -- Categorias de dados pessoais tratados

O Subcontratante trata as seguintes categorias de dados:

  • Dados de configuração e metadados de segurança: parâmetros do tenant, políticas de acesso condicional, configuração do MFA, funções e permissões administrativas, definições de partilha, estados de ativação das funcionalidades de segurança
  • Metadados de identidade e de diretório: identificadores de contas (UPN), nomes de exibição, pertença a grupos, atributos de diretório relevantes para a auditoria
  • Registos e metadados de eventos de segurança: registos de ligação, eventos de auditoria, metadados necessários à avaliação dos controlos

Exclusões expressas. O Subcontratante não trata o conteúdo dos e-mails, dos ficheiros ou dos documentos. Só são tratados metadados e dados de configuração.

Categorias especiais. O tratamento não tem por objeto o tratamento de categorias especiais de dados na aceção do artigo 9.º do RGPD. O Responsável pelo tratamento compromete-se a não configurar o serviço de uma forma que conduza a tal tratamento.


Artigo 4.º -- Categorias de titulares dos dados

Os titulares dos dados são os titulares de contas e identidades dentro do tenant Microsoft 365 do Responsável pelo tratamento: colaboradores, dirigentes, administradores, prestadores e convidados que dispõem de uma conta no diretório auditado.


Artigo 5.º -- Instruções documentadas do Responsável pelo tratamento

O Subcontratante trata os dados unicamente por instrução documentada do Responsável pelo tratamento (art. 28.º, n.º 3, alínea a), do RGPD), incluindo no que respeita às transferências para um país terceiro, salvo obrigação legal imperativa (caso em que informa o Responsável pelo tratamento antes do tratamento, salvo proibição legal).

O presente DPA, os seus anexos e as CGV constituem as instruções documentadas iniciais. O Subcontratante informa imediatamente o Responsável pelo tratamento se considerar que uma instrução constitui uma violação do RGPD (art. 28.º, n.º 3, último parágrafo, do RGPD).


Artigo 6.º -- Confidencialidade

O Subcontratante assegura que as pessoas autorizadas a tratar os dados se comprometem a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade (art. 28.º, n.º 3, alínea b), do RGPD), e recebem a formação necessária em matéria de proteção de dados. Este compromisso subsiste à cessação de funções e ao termo do presente DPA.


Artigo 7.º -- Medidas de segurança (art. 32.º do RGPD) e alinhamento com referenciais

O Subcontratante implementa medidas técnicas e organizativas adequadas para garantir um nível de segurança ajustado ao risco (art. 32.º do RGPD). As medidas em vigor incluem, nomeadamente:

  • Arquitetura zero-knowledge: recolha e pseudonimização executadas no navegador do Cliente (extensão); o Subcontratante só recebe impressões digitais pseudonimizadas; os dados brutos do tenant e o token Microsoft nunca lhe são transmitidos
  • Menor privilégio: ligação através de OAuth Microsoft com as permissões mais restritas propostas pela Microsoft para cada âmbito; o Serviço nunca escreve, altera nem elimina qualquer dado do tenant auditado
  • Cifragem em trânsito: TLS 1.2/1.3 em todas as comunicações; SPF, DKIM e DMARC ativados
  • Token Microsoft: nunca sai do navegador do Cliente; o Subcontratante nunca o recebe nem o armazena
  • Alojamento em França: infraestrutura OVH (França) operada para a SYAGA CONSULTING
  • Gestão de acessos: princípio do menor privilégio; habilitações nominativas; revisão regular
  • Antiabuso: limite de 2 auditorias/dia/tenant; medidas anti-DDoS
  • Registo de eventos: rastreabilidade dos acessos aos dados
  • Testes regulares da eficácia das medidas de segurança

Alinhamento com os quadros de segurança reconhecidos

As medidas acima são concebidas em coerência com os seguintes referenciais. A SYAGA não reivindica nenhuma certificação formal sobre estes referenciais; as medidas estão alinhadas com as exigências da norma ISO/IEC 27001, estando em curso um processo de certificação, sem certificação obtida até à data; trata-se de um alinhamento funcional:

ReferencialPertinência para a SYAGA AuditFonte oficial
RGPD (UE) 2016/679 Base regulamentar diretamente aplicável. Art. 32.º: medidas técnicas e organizativas. Arquitetura efémera = medida de minimização conforme com o art. 5.º, n.º 1, alínea e). eur-lex.europa.eu CELEX:32016R0679
Diretiva NIS2 (UE) 2022/2555 Medidas de gestão dos riscos de cibersegurança (art. 21.º da NIS2): continuidade de negócio, gestão de incidentes, segurança das redes, cifragem. A SYAGA Audit ajuda os clientes a avaliar a sua própria conformidade com a NIS2 no seu tenant M365. A SYAGA, cujo número de trabalhadores e volume de negócios se situam abaixo dos limiares das entidades importantes na aceção da Diretiva (UE) 2022/2555 (50 trabalhadores ou 10 M EUR), não se enquadra no âmbito das entidades sujeitas à NIS2. A SYAGA Audit ajuda, no entanto, os seus clientes a medir a sua conformidade com este referencial. eur-lex.europa.eu CELEX:32022L2555
Regulamento DORA (UE) 2022/2554 Resiliência operacional digital para as entidades financeiras reguladas. A SYAGA Audit pode ajudar os clientes financeiros a documentar a sua postura DORA no seu tenant M365. Não sendo a SYAGA uma entidade financeira regulada, o DORA não lhe é diretamente aplicável; podem aplicar-se obrigações contratuais caso a caso para os clientes do setor financeiro sujeitos ao DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Quadro SGSI: política de segurança, gestão de riscos, controlos de acesso, cifragem, registo de eventos. As medidas da SYAGA Audit estão alinhadas com os controlos ISO 27002 correspondentes. As medidas da SYAGA Audit estão alinhadas com as exigências da norma ISO/IEC 27001, estando em curso um processo de certificação, sem certificação obtida até à data. iso.org/standard/27001
Recomendações da ANSSI Guia de higiene informática, recomendações de segurança dos sistemas de informação. Medidas inspiradas nas recomendações da ANSSI sobre a gestão de contas, a cifragem e o registo de eventos. A SYAGA Audit avalia as configurações M365 à luz das recomendações da ANSSI. ssi.gouv.fr

O detalhe completo das medidas técnicas e organizativas consta do Anexo 1.


Artigo 8.º -- Recurso a subcontratantes subsequentes

O Responsável pelo tratamento autoriza o Subcontratante a recorrer aos subcontratantes subsequentes listados no Anexo 2. Para qualquer novo subcontratante ou substituição, o Subcontratante informa o Responsável pelo tratamento por escrito com pelo menos trinta (30) dias de antecedência relativamente à data de produção de efeitos, dispondo o Responsável pelo tratamento de um prazo de trinta (30) dias para se opor por motivos razoáveis relacionados com a proteção de dados (arts. 28.º, n.os 2 e 4, do RGPD). Estes prazos e modalidades são aplicáveis salvo acordo particular entre as Partes.

O Subcontratante impõe aos subcontratantes subsequentes, por contrato, as mesmas obrigações de proteção de dados previstas no presente DPA (art. 28.º, n.º 4, do RGPD) e permanece plenamente responsável perante o Responsável pelo tratamento pela sua execução.


Artigo 9.º -- Assistência ao Responsável pelo tratamento

9.1 Direitos dos titulares dos dados (arts. 12.º a 22.º e 28.º, n.º 3, alínea e), do RGPD). O Subcontratante transmite sem demora ao Responsável pelo tratamento qualquer pedido de exercício de direitos recebido diretamente de um titular dos dados e assiste-o na resposta.

9.2 Segurança e AIPD (arts. 32.º a 36.º e 28.º, n.º 3, alínea f), do RGPD). O Subcontratante assiste o Responsável pelo tratamento na segurança do tratamento, na realização de uma avaliação de impacto (AIPD) se necessário, e numa consulta prévia à CNIL, se aplicável.

9.3 Violações de dados (arts. 33.º e 34.º do RGPD). O Subcontratante notifica o Responsável pelo tratamento de qualquer violação de dados no prazo máximo de quarenta e oito (48) horas após dela ter tomado conhecimento, o mais rapidamente possível, de modo a permitir ao responsável pelo tratamento cumprir o prazo de 72 horas previsto no artigo 33.º do RGPD, fornecendo as informações úteis à eventual notificação.


Artigo 10.º -- Destino dos dados no fim do contrato

No termo do presente DPA, o Subcontratante procede, no prazo de trinta (30) dias após o fim do contrato, de acordo com a escolha do Responsável pelo tratamento notificada por escrito (art. 28.º, n.º 3, alínea g), do RGPD):

Nota: atendendo à arquitetura efémera do serviço, nenhum dado de auditoria é conservado após a prestação; só os dados de faturação são conservados de acordo com as obrigações legais (10 anos).

  • seja à devolução ao Responsável pelo tratamento dos dados pessoais tratados, num formato estruturado (JSON ou CSV, consoante a disponibilidade);
  • seja à eliminação segura de todos os dados, incluindo as cópias, salvo obrigação legal de conservação.

Em conformidade com a arquitetura efémera do serviço, os dados brutos de auditoria já são eliminados na entrega do Relatório. O Subcontratante fornece, mediante pedido, uma certificação de eliminação.


Artigo 11.º -- Auditorias e controlos

O Subcontratante disponibiliza ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações do artigo 28.º do RGPD e permite a realização de auditorias, incluindo inspeções (art. 28.º, n.º 3, alínea h), do RGPD).

As auditorias estão sujeitas às seguintes condições: aviso prévio por escrito de, pelo menos, trinta (30) dias úteis, realização durante o horário laboral, frequência máxima de uma (1) auditoria por período de doze (12) meses, salvo circunstância excecional (nomeadamente incidente de segurança comprovado), despesas a cargo do Responsável pelo tratamento, confidencialidade das informações obtidas.


Artigo 12.º -- Transferências para fora da União Europeia

12.1 Localização principal. Os dados são tratados e alojados em França. A SYAGA CONSULTING é uma entidade de direito francês. Uma exposição indireta ao Cloud Act através de fornecedores terceiros não pode ser totalmente excluída; a SYAGA limita-a através do alojamento em França (OVH SAS) e, sobretudo, através da pseudonimização: o serviço só recebe tokens, nunca os seus dados em claro.

12.2 Recurso à Microsoft. O Responsável pelo tratamento reconhece que a API Microsoft Graph é operada pela Microsoft Corporation (Estados Unidos). As transferências que envolvem a Microsoft são enquadradas pelas cláusulas contratuais-tipo aprovadas pela Comissão Europeia e, se aplicável, pelo EU-U.S. Data Privacy Framework. Os dados auditados são os do próprio tenant Microsoft 365 do Cliente, consultados em modo de leitura apenas por conta deste, através do Microsoft Graph. A Microsoft atua como fornecedora do Cliente; a SYAGA não é sua subcontratante subsequente.

12.3 Garantias gerais. Qualquer transferência para fora da UE realizada pelo Subcontratante ou por um subcontratante subsequente está subordinada à implementação de um mecanismo válido na aceção do capítulo V do RGPD (decisão de adequação, cláusulas contratuais-tipo ou outra garantia adequada).


Artigo 13.º -- Contacto para a proteção de dados

Subcontratante (SYAGA CONSULTING): ponto de contacto para a proteção de dados -- contact@syaga.fr. A designação de um encarregado da proteção de dados não é obrigatória na aceção do artigo 37.º do RGPD; o responsável pela proteção de dados é o gerente, Sébastien Questier, ponto de contacto para qualquer questão relativa aos dados pessoais.

Responsável pelo tratamento: contacto RGPD designado pelo Cliente segundo as suas próprias obrigações.


Artigo 14.º -- Duração, alteração e direito aplicável

O presente DPA produz efeitos no momento da subscrição do serviço SYAGA Audit e mantém-se em vigor durante toda a duração do tratamento realizado por conta do Responsável pelo tratamento.

Qualquer alteração substancial é objeto de notificação prévia ao Responsável pelo tratamento. A continuação da utilização do serviço após o prazo de notificação equivale à aceitação das alterações. Estas modalidades de alteração são conformes com as exigências do artigo 28.º do RGPD para os acordos de subcontratação.

O presente DPA está sujeito ao direito francês. Qualquer litígio é da competência dos tribunais da área de Aix-en-Provence, sob reserva das regras de ordem pública aplicáveis aos litígios transfronteiriços.


Anexo 1 -- Descrição detalhada do tratamento e medidas de segurança (art. 32.º do RGPD)

ParâmetroDescrição
FinalidadesAuditoria de segurança e de conformidade M365 -- produção de relatórios
Categorias de dadosMetadados de configuração, metadados de identidade (UPN, nomes), registos de segurança
Categorias especiais (art. 9.º)Nenhuma
Titulares dos dadosContas e identidades do tenant Microsoft 365 do Cliente
Conservação do lado do servidorDados brutos do tenant: nunca transmitidos (pseudonimização no navegador). Resultados tokenizados: conservados na área de cliente enquanto o Cliente estiver ativo.
Local de tratamentoFrança (infraestrutura SYAGA CONSULTING)
Cifragem em trânsitoTLS 1.2/1.3 -- todas as comunicações; SPF/DKIM/DMARC
Token MicrosoftNunca sai do navegador do Cliente; nunca é recebido pelo Subcontratante
ArquiteturaRecolha e pseudonimização por uma extensão no navegador do Cliente; o Subcontratante só analisa impressões digitais
Gestão de acessosPrincípio do menor privilégio; habilitações nominativas
AntiabusoLimite de 2 auditorias/dia/tenant; anti-DDoS
Registo de eventosRegistos técnicos mínimos de exploração e de segurança, sem dados de auditoria pessoais, conservados durante cerca de 12 meses, em conformidade com as recomendações da CNIL.
Alinhamento com referenciais de segurançaMedidas alinhadas com o art. 32.º do RGPD, a norma ISO/IEC 27001 (estando em curso um processo de certificação, sem certificação obtida até à data), e as recomendações da ANSSI.

Anexo 2 -- Lista dos subcontratantes subsequentes autorizados

Subcontratante subsequentePrestaçãoLocalizaçãoGarantias de transferência
Microsoft Corporation API Microsoft Graph -- acesso de leitura aos dados de configuração do tenant UE + Estados Unidos (infraestrutura Microsoft) A Microsoft atua como fornecedora do Cliente (não subcontratante subsequente da SYAGA). Transferências enquadradas pelas cláusulas contratuais-tipo da CE e pela participação da Microsoft no EU-U.S. Data Privacy Framework.
OVH SAS (alojamento, Roubaix, França) Alojamento da plataforma SYAGA Audit França Não aplicável (UE)
Stripe Inc. Pagamento -- apenas dados de faturação do Cliente (excluindo dados do tenant) Estados Unidos / UE EU-U.S. Data Privacy Framework (Stripe certificada) e, subsidiariamente, Cláusulas Contratuais-Tipo da CE (2021) -- Data Transfers Addendum da Stripe.

Referências legais

  • CNIL -- subcontratante, obrigações do art. 28.º do RGPD: cnil.fr/fr/sous-traitant
  • Regulamento (UE) 2016/679 (RGPD), artigos 4.º, 9.º, 12.º a 22.º, 28.º, 32.º a 36.º: EUR-Lex CELEX:32016R0679
  • Diretiva NIS2 (UE) 2022/2555, art. 21.º: EUR-Lex CELEX:32022L2555
  • Regulamento DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Guia de higiene informática: ssi.gouv.fr
  • Lei francesa n.º 78-17, de 6 de janeiro de 1978, alterada: Légifrance
SYAGA Audit
Segurança Privacidade CGU DPA Avisos legais © 2026 SYAGA