legal

Acordo de Tratamento de Dados (DPA)

Última atualização: 20 de junho de 2026

O presente Acordo de Tratamento de Dados (adiante o "DPA") é celebrado entre:

SCHRUTE FARMS, sociedade francesa por quotas de responsabilidade limitada (SARL) com um capital social de quinhentos euros (500 €), com sede em 123 Rue De Rome, 75017 Paris, matriculada no Registo Comercial e das Sociedades de Paris (RCS Paris) sob o número 981 316 300, representada pelos seus cogerentes Thomas LUCY e Louis CONGARD, que explora o serviço "ENROW" (adiante "ENROW" ou o "Prestador"),

e

O Cliente, sendo a pessoa coletiva que subscreveu o Serviço e aceitou os Termos e Condições Gerais de Venda e de Utilização da ENROW (os "Termos") (adiante o "Cliente"),

adiante designados individualmente por "Parte" e conjuntamente por "Partes".

O presente DPA é celebrado ao abrigo do artigo 28.º do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 78-17, de 6 de janeiro de 1978, na sua redação atual (Loi Informatique et Libertés). Faz parte integrante do Contrato entre as Partes, tal como definido na hierarquia contratual estabelecida na Cláusula 1 dos Termos.

O Encarregado da Proteção de Dados (DPO) da ENROW é o Sr. Louis CONGARD, contactável através de dpo@enrow.io.

Cláusula 1 — Objeto

O presente DPA tem por objeto estabelecer as condições em que a ENROW trata Dados Pessoais por conta do Cliente no âmbito da prestação do Serviço de enriquecimento de data profissional B2B, bem como especificar as obrigações de cada Parte em matéria de proteção de dados.

Cláusula 2 — Definições

Os termos utilizados no presente DPA têm o mesmo significado que nos Termos, salvo as definições específicas indicadas em seguida:

  • "Dados Pessoais": qualquer informação relativa a uma pessoa singular identificada ou identificável, na aceção do artigo 4.º, n.º 1, do RGPD.
  • "Responsável pelo Tratamento": a pessoa singular ou coletiva que determina as finalidades e os meios do tratamento de Dados Pessoais (artigo 4.º, n.º 7, do RGPD).
  • "Subcontratante": a pessoa singular ou coletiva que trata Dados Pessoais por conta do Responsável pelo Tratamento (artigo 4.º, n.º 8, do RGPD).
  • "Subcontratante Subsequente": qualquer subcontratante contratado pela ENROW para tratar Dados Pessoais por conta do Cliente.
  • "Violação de Dados": qualquer violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada de Dados Pessoais ou o acesso não autorizado aos mesmos (artigo 4.º, n.º 12, do RGPD).
  • "Titular dos Dados": qualquer pessoa singular identificada ou identificável cujos Dados Pessoais sejam tratados.
  • "Autoridade de Controlo": qualquer autoridade pública independente responsável pela fiscalização da aplicação da regulamentação em matéria de proteção de dados (em França: a CNIL).

Cláusula 3 — Papéis das Partes

3.1 — Dupla Qualidade da ENROW

As Partes reconhecem que a ENROW atua em duas qualidades distintas:

(a) Responsável pelo Tratamento independente: a ENROW atua como Responsável pelo Tratamento relativamente aos Dados Pessoais que recolhe, agrega e mantém na sua própria base de dados de enriquecimento (emails profissionais, números de telefone, perfis LinkedIn, informações de empresa). Este tratamento assenta no interesse legítimo da ENROW (artigo 6.º, n.º 1, alínea f), do RGPD), documentado numa LIA revista anualmente.

(b) Subcontratante: a ENROW atua como Subcontratante na aceção do artigo 28.º do RGPD quando trata os Dados do Cliente (dados transmitidos pelo Cliente para enriquecimento) por conta e mediante instruções do Cliente.

3.2 — O Cliente como Responsável pelo Tratamento

O Cliente atua como Responsável pelo Tratamento relativamente a:

  • Os Dados do Cliente que transmite à ENROW para enriquecimento;
  • A utilização que faz dos Dados Enriquecidos devolvidos pelo Serviço.

O Cliente determina, por si só, as finalidades e os meios da utilização dos Dados Enriquecidos a jusante do Serviço, sendo o único responsável pelo cumprimento das suas obrigações ao abrigo do RGPD e da lei francesa de proteção de dados (Loi Informatique et Libertés) nesse âmbito.

Cláusula 4 — Descrição do Tratamento

Os pormenores do tratamento constam do Anexo 1 ao presente DPA. Incluem, nomeadamente:

  • Finalidade do tratamento: Enriquecimento de dados profissionais B2B por conta do Cliente.
  • Categorias de Titulares dos Dados: Contactos profissionais (prospects, potenciais clientes) do Cliente: colaboradores, dirigentes, sócios de pessoas coletivas.
  • Categorias de Dados Pessoais tratados: Apelido, nome próprio, endereço de email profissional, número de telefone profissional e/ou pessoal, cargo, nome da empresa, URL do perfil LinkedIn, informações de empresa (setor, dimensão, localização).
  • Dados sensíveis: Não é tratado qualquer dado sensível na aceção do artigo 9.º do RGPD.
  • Duração do tratamento: Duração da Subscrição. Os Dados do Cliente são conservados durante um máximo de 90 dias e, findo esse prazo, automaticamente eliminados. Cache técnica: 48 horas.
  • Localização do tratamento: União Europeia — AWS Paris (eu-west-3).

Cláusula 5 — Obrigações da ENROW enquanto Subcontratante

5.1 — Instruções do Cliente

A ENROW trata os Dados do Cliente apenas mediante instruções documentadas do Cliente. Os presentes Termos e o presente DPA constituem as instruções iniciais do Cliente. Qualquer instrução adicional deve ser transmitida por escrito (por email para dpo@enrow.io).

Caso a ENROW considere que uma instrução constitui uma violação do RGPD ou de qualquer outra regulamentação aplicável, informa de imediato o Cliente por escrito.

5.2 — Confidencialidade

A ENROW garante que as pessoas autorizadas a tratar Dados Pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada. Apenas têm acesso as pessoas cujo acesso seja estritamente necessário à execução do Serviço.

5.3 — Segurança do Tratamento

A ENROW aplica as medidas técnicas e organizativas adequadas para assegurar um nível de segurança ajustado ao risco, em conformidade com o artigo 32.º do RGPD. Tais medidas constam do Anexo 2 ao presente DPA. A ENROW procede a revisões periódicas da eficácia dessas medidas.

5.4 — Notificação de Violação de Dados

Em caso de Violação de Dados que afete os Dados do Cliente, a ENROW compromete-se a:

  • Notificar o Cliente sem demora injustificada e, em qualquer caso, no prazo de setenta e duas (72) horas após dela ter tido conhecimento;
  • Prestar as seguintes informações: descrição da natureza da violação (categorias e número aproximado de Titulares dos Dados e de registos afetados), consequências prováveis, medidas adotadas ou propostas para sanar a violação, e contactos do DPO;
  • Documentar a violação num registo interno e cooperar com o Cliente para lhe permitir cumprir as suas próprias obrigações de notificação (artigos 33.º e 34.º do RGPD);
  • Notificar a CNIL no prazo de 72 horas na sua qualidade de Responsável pelo Tratamento relativamente aos dados da sua própria base de dados de enriquecimento.

5.5 — Assistência ao Cliente

A ENROW presta assistência ao Cliente, na medida do razoavelmente exequível tendo em conta a natureza do tratamento, para:

  • Responder aos pedidos dos Titulares dos Dados no exercício dos seus direitos (acesso, retificação, apagamento, oposição, portabilidade, limitação);
  • Cumprir as suas obrigações ao abrigo dos artigos 32.º a 36.º do RGPD (segurança, notificação de violação, avaliação de impacto sobre a proteção de dados);
  • Responder aos pedidos e auditorias de qualquer Autoridade de Controlo.

Caso a ENROW receba um pedido diretamente de um Titular dos Dados relativo aos Dados do Cliente, informa o Cliente sem demora injustificada e não responde diretamente, salvo mediante instruções do Cliente.

5.6 — Destino dos Dados na Cessação

Em conformidade com a Cláusula 14.3 dos Termos, na cessação do Contrato:

  • Exportação: o Cliente dispõe de trinta (30) dias para exportar os seus Dados do Cliente em formato CSV e/ou JSON através do Software, da API ou mediante pedido para support@enrow.io;
  • Eliminação: findo esse prazo, a ENROW elimina definitivamente todos os Dados do Cliente, incluindo cópias e backups, num prazo adicional de trinta (30) dias;
  • Certificação: a ENROW faculta ao Cliente, mediante pedido, um certificado escrito de eliminação.

A eliminação dos Dados do Cliente não afeta os dados anonimizados e agregados utilizados em conformidade com a Cláusula 9.6 dos Termos.

Cláusula 6 — Obrigações do Cliente

O Cliente, na sua qualidade de Responsável pelo Tratamento, compromete-se a:

  • Dispor de um fundamento jurídico válido para transmitir os Dados do Cliente à ENROW e para utilizar os Dados Enriquecidos (Cláusula 8.2 dos Termos);
  • Informar os Titulares dos Dados em conformidade com os artigos 13.º e 14.º do RGPD;
  • Assegurar que as suas instruções à ENROW estão em conformidade com a regulamentação aplicável;
  • Não transmitir qualquer dado sensível na aceção do artigo 9.º do RGPD;
  • Cooperar com a ENROW em caso de Violação de Dados, de auditoria ou de pedido de uma Autoridade de Controlo.

Cláusula 7 — Subcontratantes Subsequentes

7.1 — Autorização Geral

O Cliente concede à ENROW uma autorização geral para recorrer a subcontratantes subsequentes na prestação do Serviço (incluindo, sem limitação, Prestadores Terceiros de enriquecimento e prestadores de alojamento). A lista dos subcontratantes subsequentes atualmente contratados consta do Anexo 3 ao presente DPA e está igualmente disponível mediante pedido junto do DPO.

7.2 — Notificação e Direito de Oposição

Em conformidade com a Cláusula 12.2 dos Termos, a ENROW notifica o Cliente de qualquer alteração aos subcontratantes subsequentes (por aditamento ou substituição) com uma antecedência mínima de quinze (15) dias relativamente à data de produção de efeitos da alteração. O Cliente pode opor-se por escrito no prazo de quinze (15) dias. Na falta de acordo, a oposição considera-se equivalente a denúncia do Contrato em conformidade com a Cláusula 12.2 dos Termos.

7.3 — Obrigações Impostas aos Subcontratantes Subsequentes

A ENROW impõe contratualmente a cada subcontratante subsequente obrigações de proteção de dados substancialmente equivalentes às previstas no presente DPA, designadamente em matéria de confidencialidade, segurança, limitação das finalidades e eliminação dos dados.

7.4 — Responsabilidade

A ENROW continua a ser plenamente responsável perante o Cliente pelo cumprimento, pelos seus subcontratantes subsequentes, das respetivas obrigações de proteção de dados.

Cláusula 8 — Transferências Fora do EEE

Todos os dados são alojados no Espaço Económico Europeu (EEE), em servidores AWS em Paris (eu-west-3).

Na eventualidade de se tornar necessária uma transferência de Dados Pessoais para um país terceiro, nomeadamente no âmbito do recurso a um subcontratante subsequente estabelecido fora do EEE, a ENROW assegura previamente a existência de garantias adequadas em conformidade com o Capítulo V do RGPD:

  • Decisão de adequação da Comissão Europeia (artigo 45.º do RGPD);
  • Cláusulas Contratuais-Tipo (CCT) adotadas pela Comissão Europeia (Decisão de Execução 2021/914), complementadas quando necessário por medidas adicionais (artigo 46.º, n.º 2, alínea c), do RGPD);
  • Qualquer outro mecanismo de transferência reconhecido pelo RGPD (regras vinculativas para as empresas, derrogações do artigo 49.º).

O Cliente é informado de qualquer transferência para fora do EEE através da lista de subcontratantes subsequentes (Anexo 3), que especifica, para cada subcontratante subsequente, a sua localização e o mecanismo de transferência aplicável.

Quando forem exigidas CCT, considera-se que estas foram celebradas entre a ENROW e o subcontratante subsequente em causa. O Cliente pode obter uma cópia mediante pedido ao DPO.

Cláusula 9 — Direito de auditoria

Nos termos do artigo 28.º, n.º 3, alínea h), do RGPD, o Cliente pode solicitar uma auditoria às práticas da ENROW em matéria de tratamento e segurança dos Dados Pessoais, nas seguintes condições:

  • Pré-aviso de 30 dias, por escrito, para dpo@enrow.io;
  • Máximo de 1 auditoria por ano, salvo em caso de violação comprovada ou de pedido de uma Autoridade de Controlo;
  • Âmbito: apenas a conformidade com o RGPD e o DPA. O código-fonte, os algoritmos proprietários e os segredos comerciais ficam excluídos;
  • Realização: pelo Cliente ou por um terceiro independente vinculado a uma obrigação de confidencialidade. A ENROW pode opor-se a qualquer auditor que seja concorrente;
  • Custos suportados pelo Cliente, salvo em caso de incumprimento material da ENROW.

Alternativa: a ENROW pode satisfazer o pedido de auditoria facultando ao Cliente um ou mais dos seguintes documentos, com data não superior a 12 meses: um relatório de teste de intrusão (pentest) realizado por um terceiro independente, um questionário de segurança CSA CAIQ (Consensus Assessments Initiative Questionnaire) devidamente preenchido, ou qualquer outra certificação de segurança ou relatório de auditoria reconhecido, consoante aplicável. A entrega destes documentos exonera a ENROW da obrigação de aceitar uma auditoria no local durante o período abrangido, salvo em caso de violação comprovada ou de pedido de uma Autoridade de Controlo.

A ENROW disponibiliza ao Cliente todas as informações necessárias para demonstrar o cumprimento das suas obrigações ao abrigo do artigo 28.º do RGPD.

Cláusula 10 — Conformidade internacional

O presente DPA aplica-se no âmbito das seguintes regulamentações, na medida em que sejam aplicáveis ao tratamento:

  • RGPD (Regulamento (UE) 2016/679) e a Lei francesa de Proteção de Dados (Lei n.º 78-17);
  • UK GDPR e o Data Protection Act 2018 (relativamente aos Titulares dos Dados no Reino Unido);
  • nFADP (a nova Lei Federal suíça de Proteção de Dados);
  • CCPA / CPRA: a ENROW atua na qualidade de "service provider" na aceção do CCPA/CPRA. A ENROW não vende nem partilha Dados Pessoais na aceção dessa regulamentação.

Cláusula 11 — Responsabilidade

A responsabilidade de cada Parte ao abrigo do presente DPA fica sujeita às limitações e exclusões previstas na Cláusula 16 dos Termos, sem prejuízo das exceções aplicáveis (negligência grave, dolo, incumprimento das obrigações de proteção de dados).

Cada Parte é responsável pelo cumprimento das suas próprias obrigações ao abrigo da regulamentação aplicável em matéria de proteção de dados. O Cliente permanece o único responsável pela utilização que faz dos Dados Enriquecidos a jusante do Serviço.

Cláusula 12 — Vigência e cessação

O presente DPA entra em vigor na data de aceitação dos Termos pelo Cliente e mantém-se em vigor enquanto o Contrato estiver em vigor. As obrigações da ENROW relativas à eliminação dos Dados do Cliente (Cláusula 5.6) e à confidencialidade subsistem após a cessação do Contrato.

Cláusula 13 — Disposições finais

13.1 — Hierarquia

O presente DPA faz parte integrante do Contrato. Em caso de incoerência entre o presente DPA e os Termos, o presente DPA prevalece em qualquer matéria relativa ao tratamento de Dados Pessoais. Em todos os demais aspetos, prevalecem os Termos.

13.2 — Alteração

A ENROW pode alterar o presente DPA a fim de dar cumprimento a alterações da regulamentação aplicável. Qualquer alteração material é notificada ao Cliente trinta (30) dias antes da sua entrada em vigor.

13.3 — Lei aplicável

O presente DPA rege-se pela lei francesa. Os tribunais de Paris têm competência exclusiva.

Anexo 1 — Descrição do tratamento

  • Responsável pelo Tratamento (Dados do Cliente): O Cliente.
  • Subcontratante: SCHRUTE FARMS / ENROW.
  • DPO do Subcontratante: Louis CONGARD — dpo@enrow.io.
  • Finalidades do tratamento: Enriquecimento de dados profissionais B2B (procura de emails, telefones, perfis de LinkedIn, informações de empresas) a partir dos Dados do Cliente transmitidos pelo Cliente.
  • Natureza do tratamento: Recolha, consulta, correspondência, estruturação, armazenamento temporário, restituição, eliminação.
  • Categorias de Titulares dos Dados: Contactos profissionais (trabalhadores, dirigentes, sócios, trabalhadores independentes) de pessoas coletivas visadas pelo Cliente no âmbito da sua prospeção B2B.
  • Categorias de Dados Pessoais: Apelido, nome próprio, endereço de email profissional, número de telefone profissional, número de telefone pessoal (se aplicável), cargo, nome e informações da empresa (setor, dimensão, localização, sítio web), URL do perfil de LinkedIn.
  • Dados sensíveis (art. 9.º do RGPD): Nenhuns.
  • Fundamento jurídico (tratamento pela ENROW enquanto RT): Interesse legítimo (artigo 6.º, n.º 1, alínea f), do RGPD) — LIA documentada.
  • Frequência do tratamento: Em contínuo, a pedido do Cliente através do Software, da API ou da Extensão.
  • Prazo de conservação dos Dados do Cliente: Máximo de 90 dias após a transmissão, seguido de eliminação automática.
  • Cache técnica: 48 horas (justificada por requisitos de desempenho e de verificação; expurgada no prazo de 24 horas em caso de pedido de oposição).
  • Localização: UE — AWS Paris (eu-west-3).

Anexo 2 — Medidas técnicas e organizativas (MTO)

Nos termos do artigo 32.º do RGPD, a ENROW implementa as seguintes medidas:

A. Cifragem

  • Em trânsito: todas as comunicações são cifradas via TLS 1.2 ou superior (HTTPS). As ligações não cifradas são rejeitadas.
  • Em repouso: os dados armazenados são cifrados via AES-256 (cifragem nativa da AWS).
  • Palavras-passe: hash irreversível através do algoritmo bcrypt com salting individual.

B. Controlo de acessos

  • Autenticação: identificação por email e palavra-passe, com autenticação multifator (MFA) disponível e recomendada.
  • Gestão de acessos: modelo RBAC (Role-Based Access Control) estrito. Cada acesso é limitado ao estritamente necessário (princípio do menor privilégio).
  • Sessões: tokens JWT assinados com expiração automática.

C. Infraestrutura e alojamento

  • Fornecedor de alojamento: Amazon Web Services (AWS), região eu-west-3 (Paris). A AWS detém as certificações ISO 27001, SOC 1/2/3 e é conforme ao RGPD.
  • Isolamento de rede: as bases de dados e os serviços internos estão isolados numa Virtual Private Cloud (VPC), sem acesso público direto.
  • Cópias de segurança: cópias de segurança automáticas diárias, cifradas, com retenção configurada.

D. Registo e monitorização

  • Logs de acesso: rastreabilidade das ações dos utilizadores (identificador, ação, data e hora, endereço IP). Logs cifrados em repouso.
  • Monitorização: monitorização contínua da infraestrutura, com alertas automatizados em caso de anomalias.

E. Minimização e conservação

  • São recolhidos e tratados apenas os dados estritamente necessários à prestação do Serviço;
  • Dados do Cliente: máximo de 90 dias, seguido de eliminação automática;
  • Cache técnica: 48 horas;
  • Eliminação efetiva e irreversível no termo do prazo de conservação.

F. Segurança organizativa

  • Formação de sensibilização em proteção de dados para todo o pessoal;
  • Política robusta de palavras-passe para os acessos internos;
  • Princípio do menor privilégio aplicado a todas as equipas;
  • Compromisso de confidencialidade assinado por cada membro do pessoal com acesso a Dados Pessoais.

G. Gestão de incidentes

  • Procedimento interno de gestão de incidentes de segurança;
  • Notificação ao Cliente no prazo de 72 horas (Cláusula 5.4 do presente DPA);
  • Registo das violações mantido e atualizado.

Estas medidas são revistas e atualizadas regularmente para ter em conta o estado da técnica, os custos de implementação e a natureza dos riscos.

Anexo 3 — Lista de Subcontratantes Ulteriores

Parte A — Subcontratantes Ulteriores publicados (lista em vigor à data de 20 de junho de 2026)

Subcontratante UlteriorFinalidadeCategorias de Dados PessoaisLocalizaçãoMecanismo de transferência
Amazon Web Services (AWS)Alojamento, infraestrutura, bases de dados, armazenamentoTodos os Dados Pessoais tratados pelo ServiçoUE (Paris, eu-west-3)Sem transferência fora do EEE
Stripe, Inc.Processamento de pagamentos e faturaçãoNome, email, dados de pagamento do ClienteUE (Irlanda)Sem transferência fora do EEE
SigNozRegisto de logs, monitorização e observabilidadeIdentificadores técnicos, endereços IP, logs de utilizaçãoUE (instância europeia)Sem transferência fora do EEE
HubSpot, Inc.CRM — gestão da relação com clientes e prospetosApelido, nome, email, empresa, histórico de interaçõesUE (França / Alemanha, instância europeia)Sem transferência fora do EEE
Brevo (ex-Sendinblue)Email marketing e comunicações transacionaisApelido, nome, email do Cliente/UtilizadorFrança / UESem transferência fora do EEE
Intercom, Inc.Apoio ao Cliente (chat, tickets, base de conhecimento)Apelido, nome, email, conteúdo das trocas de apoioUE (Irlanda)Sem transferência fora do EEE
Anthropic, Inc. (Claude.ai)Assistência de IA para o tratamento e a análise de dados. Nenhum dado é utilizado para o treino de modelos.Dados tratados pontualmente sem persistênciaEUADecisão de adequação (EU-US DPF) + CCT. Cláusula contratual de não utilização para treino.
PartneroPrograma de afiliação e gestão de comissõesNome, email, dados de referenciação de afiliadosUE (Estónia)Sem transferência fora do EEE
Google WorkspaceComunicação interna (email, documentos)Dados internos, eventualmente Dados Pessoais de Clientes nas trocasUE (servidores em França)Sem transferência fora do EEE (região França configurada)
Slack Technologies (Salesforce)Comunicação interna entre equipasDados internos, eventualmente Dados Pessoais de Clientes nas trocasUE (instância europeia)Sem transferência fora do EEE

Parte B — Fornecedores de Enriquecimento de Dados (Lista Confidencial)

No âmbito da prestação do Serviço de enriquecimento, a ENROW recorre a fornecedores especializados nas seguintes categorias:

CategoriaFinalidadeTipos de Dados Pessoais
Fornecedores de dados SERPExtração de dados acessíveis ao público através de motores de buscaApelido, nome, empresa, dados profissionais acessíveis ao público
Fornecedores de dados de contacto profissionalEnriquecimento complementar de emails e números de telefone profissionaisEmail profissional, número de telefone profissional e/ou pessoal
Fornecedores de dados firmográficosEnriquecimento de informações da empresa (setor, dimensão, volume de negócios, localização, estrutura jurídica)Denominação social, número de registo, setor, número de trabalhadores, volume de negócios, morada da sede social
Fornecedores de sinais de negócioDeteção de sinais de negócio (angariação de fundos, contratações, mudanças de cargo, tecnologias utilizadas, notícias)Dados da empresa, nomes e funções de dirigentes e colaboradores, eventos profissionais acessíveis ao público

Confidencialidade da lista nominativa: a lista nominativa completa dos fornecedores de enriquecimento, incluindo a sua identidade, localização e o mecanismo de transferência aplicável, constitui um segredo comercial da ENROW na aceção da Diretiva (UE) 2016/943 relativa à proteção de know-how e de informações comerciais não divulgados, e da Loi n.º 2018-670, de 30 de julho de 2018, que transpõe a referida Diretiva para o direito francês.

Comunicação ao Cliente: a referida lista é comunicada mediante pedido escrito ao DPO (dpo@enrow.io), sob reserva da celebração prévia de um acordo de confidencialidade (NDA) pelo Cliente. O Cliente compromete-se a não divulgar a referida lista nem as informações nela contidas a qualquer terceiro, e a utilizá-la exclusivamente para efeitos de verificação da conformidade da ENROW com o RGPD.

Direito de oposição: o mecanismo de notificação e de direito de oposição previsto na Cláusula 7.2 do presente DPA e na Cláusula 12.2 dos Termos aplica-se integralmente aos fornecedores de enriquecimento. O Cliente é notificado de qualquer alteração com uma antecedência não inferior a quinze (15) dias relativamente à data de produção de efeitos, mesmo quando o nome do novo fornecedor seja comunicado ao abrigo de NDA.

Salvaguardas comuns: a ENROW garante que cada fornecedor de enriquecimento (a) está contratualmente vinculado por obrigações de proteção de dados substancialmente equivalentes às previstas no presente DPA, (b) está localizado no EEE ou coberto por um mecanismo de transferência conforme com o Capítulo V do RGPD, e (c) trata os Dados Pessoais exclusivamente no âmbito estrito das instruções da ENROW e apenas para efeitos de enriquecimento.