Acordo de Tratamento de Dados — LeksIQ
Versão v1.1 — Última atualização: 2026-05-19
Artigo 28.º do RGPD
ACORDO DE TRATAMENTO DE DADOS
Celebrado entre o Cliente que subscreve a plataforma LeksIQ, actuando na qualidade de Responsável pelo Tratamento, e a LeksIQ, na qualidade de Subcontratante, em conjunto referidas como as “Partes”.
CONSIDERANDOS
A) O Cliente subscreve os serviços da plataforma LeksIQ ao abrigo dos Termos e Condições celebrados entre as Partes (“Contrato Principal”).
B) No âmbito da prestação dos serviços, a LeksIQ trata dados pessoais em nome e por conta do Cliente, na qualidade de subcontratante, nos termos do artigo 28.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“RGPD”).
C) As Partes pretendem regular os termos e condições do tratamento de dados pessoais realizado pela LeksIQ em nome do Cliente, em conformidade com o artigo 28.º(3) do RGPD.
As Partes acordam o seguinte:
Cláusula 1 — Definições
Para efeitos do presente Acordo:
1.1 “Dados Pessoais” tem o significado atribuído pelo artigo 4.º(1) do RGPD.
1.2 “Tratamento” tem o significado atribuído pelo artigo 4.º(2) do RGPD.
1.3 “Titular dos Dados” significa as pessoas singulares cujos Dados Pessoais são tratados no âmbito do presente Acordo, incluindo clientes do escritório do Cliente, partes adversas, testemunhas e outros terceiros mencionados em documentos ou queries submetidos na plataforma.
1.4 “Violação de Dados Pessoais” tem o significado atribuído pelo artigo 4.º(12) do RGPD.
1.5 “Sub-processador” significa qualquer terceiro subcontratado pela LeksIQ para realizar actividades de tratamento em nome do Cliente.
1.6 “Categorias Especiais de Dados” tem o significado atribuído pelo artigo 9.º(1) do RGPD, incluindo dados relativos à saúde, dados genéticos, dados biométricos, dados relativos a condenações penais e infracções.
1.7 “SCCs” significa as Cláusulas Contratuais Tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de Junho de 2021.
1.8 “CNPD” significa a Comissão Nacional de Protecção de Dados, autoridade de controlo nacional competente.
Cláusula 2 — Objecto, Duração e Natureza do Tratamento
2.1 O presente Acordo regula o tratamento de Dados Pessoais realizado pela LeksIQ no âmbito da prestação dos serviços descritos no Contrato Principal.
2.2 A descrição detalhada do tratamento — objecto, natureza, finalidade, tipos de Dados Pessoais, categorias de Titulares e duração — consta do Anexo A ao presente Acordo.
2.3 O presente Acordo vigora durante o período de vigência do Contrato Principal e cessa automaticamente com a cessação do mesmo, sem prejuízo das obrigações de eliminação de dados previstas na Cláusula 10.
Cláusula 3 — Instruções de Tratamento
3.1 A LeksIQ trata os Dados Pessoais exclusivamente com base nas instruções documentadas do Cliente, incluindo as instruções constantes do presente Acordo e as que decorram da utilização normal dos serviços da plataforma pelo Cliente.
3.2 A LeksIQ não trata os Dados Pessoais para finalidades próprias, designadamente para treino de modelos de inteligência artificial, criação de perfis de utilizadores para fins comerciais, ou partilha com terceiros para fins que não os estritamente necessários à prestação dos serviços.
3.3 Caso a LeksIQ entenda ser obrigada a realizar tratamento de Dados Pessoais por força de lei da União Europeia ou do Estado-Membro a que esteja sujeita, informa o Cliente desse requisito legal antes do tratamento, salvo se essa lei proibir tal informação por razões de interesse público.
3.4 Caso a LeksIQ considere que alguma instrução do Cliente viola o RGPD ou outra disposição do direito da União ou dos Estados-Membros em matéria de protecção de dados, notifica imediatamente o Cliente por escrito, sem prejuízo de suspender a execução dessa instrução até clarificação.
Cláusula 4 — Confidencialidade
4.1 A LeksIQ garante que as pessoas autorizadas a tratar os Dados Pessoais estão sujeitas a obrigações de confidencialidade, seja por via contratual seja por via de obrigação legal, e que receberam formação adequada em matéria de protecção de dados.
4.2O acesso aos Dados Pessoais é restrito às pessoas que necessitem desse acesso para cumprimento das suas funções no âmbito da prestação dos serviços (“need-to-know”).
Cláusula 5 — Segurança
5.1 A LeksIQ implementa e mantém as medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, nos termos do artigo 32.º do RGPD, tendo em conta o estado da técnica, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos Titulares.
5.2 As medidas de segurança actualmente implementadas constam do Anexo B ao presente Acordo. A LeksIQ pode actualizar estas medidas ao longo do tempo, desde que o nível de protecção não seja reduzido.
5.3 A LeksIQ não reduz materialmente o nível de segurança sem notificação prévia ao Cliente com antecedência mínima de 30 dias.
Cláusula 6 — Violações de Dados Pessoais
6.1 A LeksIQ notifica o Cliente de qualquer Violação de Dados Pessoais no prazo de 48 horas após tomar conhecimento da mesma, de modo a permitir que o Cliente cumpra a sua obrigação de notificação à CNPD no prazo de 72 horas previsto no artigo 33.º do RGPD.
6.2 A notificação inclui, na medida do possível:
a) Descrição da natureza da violação, incluindo, se possível, as categorias e o número aproximado de Titulares afectados e as categorias e o número aproximado de registos afectados;
b) Identificação do ponto de contacto da LeksIQ para obtenção de mais informações;
c) Descrição das prováveis consequências da violação;
d) Descrição das medidas adoptadas ou propostas para fazer face à violação, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
6.3 Quando não for possível fornecer todas as informações acima referidas simultaneamente, a LeksIQ fornece as informações disponíveis no prazo de 48 horas, completando-as à medida que forem sendo obtidas.
6.4 A LeksIQ coopera com o Cliente na investigação, comunicação e mitigação de qualquer Violação de Dados Pessoais.
Cláusula 7 — Sub-processadores
7.1 O Cliente autoriza genericamente a LeksIQ a recorrer a Sub-processadores para a prestação dos serviços, nos termos do artigo 28.º(2) do RGPD.
7.2 A lista actualizada de Sub-processadores, incluindo identificação, país, finalidade e base de transferência internacional, está disponível mediante solicitação a hello@leksiq.com(“Lista de Sub-processadores”). O Cliente pode solicitar a versão actual em qualquer momento.
7.3 A LeksIQ notifica o Cliente de qualquer intenção de substituir ou adicionar Sub-processadores com antecedência mínima de 30 dias, por email para o endereço registado na conta do Cliente. O Cliente pode opor-se fundamentadamente à alteração no prazo de 15 dias após a notificação. Em caso de oposição que não seja possível resolver, o Cliente pode rescindir o Contrato Principal sem penalização, mediante aviso com antecedência mínima de 30 dias.
7.4 A LeksIQ impõe aos Sub-processadores, por contrato, obrigações de protecção de dados equivalentes às constantes do presente Acordo, em particular no que respeita às garantias de segurança suficientes para a implementação de medidas técnicas e organizativas adequadas.
7.5 A LeksIQ permanece responsável perante o Cliente pelo cumprimento, pelo Sub-processador, das obrigações resultantes do presente Acordo.
Cláusula 8 — Direitos dos Titulares dos Dados
8.1 A LeksIQ assiste o Cliente, com medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de responder a pedidos de exercício dos direitos dos Titulares previstos no Capítulo III do RGPD (acesso, rectificação, apagamento, limitação, portabilidade, oposição).
8.2 Caso a LeksIQ receba directamente um pedido de exercício de direitos de um Titular relativo a Dados Pessoais tratados no âmbito do presente Acordo, encaminha imediatamente o pedido ao Cliente e não responde directamente ao Titular salvo autorização expressa do Cliente.
8.3 A LeksIQ compromete-se a fornecer ao Cliente as informações e o apoio técnico necessários para que este possa responder ao Titular no prazo de 30 dias previsto no artigo 12.º do RGPD.
Cláusula 9 — Assistência ao Responsável pelo Tratamento
9.1 Tendo em conta a natureza do tratamento e as informações ao seu dispor, a LeksIQ assiste o Cliente no cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, designadamente:
a) Segurança do tratamento (Art. 32.º);
b) Notificação de violações de dados à CNPD (Art. 33.º) e comunicação aos Titulares (Art. 34.º);
c) Avaliação de Impacto sobre a Protecção de Dados (AIPD/DPIA) (Art. 35.º);
d) Consulta prévia à CNPD (Art. 36.º).
9.2 A assistência prevista na presente cláusula é prestada a pedido do Cliente, podendo implicar custos adicionais acordados entre as Partes caso envolva trabalho significativo além das obrigações regulares de compliance da LeksIQ.
Cláusula 10 — Eliminação e Devolução de Dados
10.1 Após cessação do Contrato Principal, por qualquer motivo, a LeksIQ:
a) Mantém os Dados Pessoais disponíveis para exportação pelo Cliente durante 30 dias após a data de cessação;
b) Findo o prazo de exportação, elimina todos os Dados Pessoais e cópias dos mesmos dos seus sistemas, salvo se a legislação da União ou dos Estados-Membros exigir a conservação.
10.2 A pedido do Cliente, a LeksIQ emite confirmação escrita da eliminação no prazo de 15 dias após a eliminação efectiva.
10.3 O Cliente é responsável por exportar os seus dados no prazo previsto na alínea a) do número anterior. A LeksIQ não é responsável pela perda de dados que o Cliente não tenha exportado dentro desse prazo.
Cláusula 11 — Direito de Auditoria
11.1 A LeksIQ disponibiliza ao Cliente toda a informação necessária para demonstrar o cumprimento das obrigações previstas no presente Acordo e no artigo 28.º do RGPD.
11.2 A LeksIQ permite e contribui para a realização de auditorias e inspecções pelo Cliente ou por auditor por este mandatado, com aviso prévio de 30 dias e durante o horário normal de funcionamento. Os custos de auditoria são suportados pelo Cliente.
11.3 O direito de auditoria pode ser satisfeito, à opção da LeksIQ, mediante fornecimento de relatórios de conformidade actualizados de terceiros relevantes (designadamente relatórios SOC 2 Type II dos seus Sub-processadores), desde que tais relatórios cubram substancialmente o âmbito da auditoria pretendida. A LeksIQ responde por escrito a questões de due diligence no prazo de 15 dias úteis.
Cláusula 12 — Transferências Internacionais
12.1 A LeksIQ não transfere Dados Pessoais para países terceiros fora do Espaço Económico Europeu sem que exista uma base legal adequada nos termos dos artigos 44.º a 49.º do RGPD.
12.2 Todo o processamento de inteligência artificial em produção — pesquisa jurídica, análise de conformidade, geração de documentos, resumos, reordenação de resultados e pipeline de ingestão legislativa (DRE) — é realizado pela Microsoft Corporation através do Azure OpenAI Service (Azure AI Foundry), com dados tratados na União Europeia (Suécia, Sweden Central) — sem transferência para países terceiros. A Anthropic, Inc. (EUA) é utilizada apenas para avaliações internas de qualidade (judge model), sem dados de utilizadores ou clientes. Esta transferência limitada para os EUA é protegida pelas SCCs (Módulo 3: processador → sub-processador), incorporadas contratualmente com o Sub-processador.
12.3A LeksIQ adopta medidas suplementares para minimizar o risco de transferências internacionais: (i) processamento de toda a IA de produção na União Europeia (Azure AI Foundry, Suécia) — eliminando o risco de transferência para países terceiros para os dados mais sensíveis; (ii) contratação de DPA com todos os subcontratantes de IA, proibindo expressamente o uso de Dados Pessoais para treino de modelos; (iii) encriptação em trânsito (TLS 1.3); (iv) Anthropic não recebe dados de utilizadores em produção — utilizada apenas em avaliações internas, retenção máxima de 30 dias para fins de trust & safety.
12.4 A lista de Sub-processadores e respectivas transferências internacionais está disponível mediante solicitação a hello@leksiq.com.
Cláusula 13 — Sigilo Profissional
13.1 A LeksIQ reconhece que os Dados Pessoais tratados no âmbito do presente Acordo podem estar sujeitos ao dever de sigilo profissional dos advogados, nos termos do artigo 92.º do Estatuto da Ordem dos Advogados (Lei n.º 145/2015, de 9 de Setembro).
13.2 A LeksIQ compromete-se a:
a) Tratar os Dados Pessoais sujeitos a sigilo profissional com grau de confidencialidade equivalente ao exigido pelo Estatuto da Ordem dos Advogados;
b) Não divulgar esses dados a terceiros que não os Sub-processadores autorizados nos termos do presente Acordo;
c) Não usar esses dados para qualquer finalidade que não a estritamente necessária à prestação dos serviços ao Cliente;
d) Garantir que os colaboradores e prestadores com acesso a esses dados estão vinculados a obrigações de confidencialidade equivalentes.
13.3 A LeksIQ reconhece que o Cliente, na qualidade de advogado ou sociedade de advogados, é o único responsável por determinar quais os dados que podem ser submetidos na plataforma em conformidade com o dever de sigilo profissional e as orientações do Conselho Superior da Ordem dos Advogados.
Cláusula 14 — Dados de Categorias Especiais
14.1 As Partes reconhecem que, no âmbito da utilização da plataforma, o Cliente pode submeter Dados Pessoais que constituam Categorias Especiais de Dados, designadamente dados relativos à saúde, dados genéticos, dados relativos a condenações penais e infracções, dados relativos à vida sexual ou orientação sexual.
14.2 O Cliente é o único responsável por garantir que dispõe de base legal adequada nos termos do artigo 9.º(2) do RGPD para o tratamento dessas Categorias Especiais de Dados, designadamente o artigo 9.º(2)(f) (necessidade para efeitos de processo judicial ou exercício de poderes de autoridade pública).
14.3A LeksIQ recomenda ao Cliente que, sempre que possível, proceda à pseudonimização ou anonimização de Dados de Categorias Especiais antes de os submeter na plataforma, em particular substituindo nomes de partes por identificadores genéricos (“[CLIENTE]”, “[PARTE A]”, “[PARTE B]”) quando tal não prejudique a qualidade do output pretendido.
14.4 A LeksIQ aplica às Categorias Especiais de Dados as mesmas medidas de segurança descritas no Anexo B, sem redução do nível de protecção.
Cláusula 15 — Responsabilidade
15.1 Cada Parte é responsável perante os Titulares pelos danos causados pelo tratamento de Dados Pessoais que viole o RGPD e que sejam imputáveis a essa Parte.
15.2 A LeksIQ fica exonerada de responsabilidade nos termos do artigo 82.º(3) do RGPD se provar que não lhe é imputável o facto que causou o dano.
15.3 A responsabilidade da LeksIQ ao abrigo do presente Acordo está sujeita aos limites e exclusões previstos no Contrato Principal.
Cláusula 16 — Disposições Gerais
16.1 O presente Acordo prevalece sobre qualquer disposição contrária do Contrato Principal em matéria de protecção de dados pessoais.
16.2 Em caso de contradição entre o presente Acordo e as SCCs eventualmente aplicáveis, as SCCs prevalecem na medida da contradição.
16.3 O presente Acordo é regido pelo direito português. Para resolução de litígios, as Partes elegem o foro da comarca de Lisboa.
16.4 O presente Acordo pode ser alterado mediante acordo escrito entre as Partes. A LeksIQ notifica o Cliente de qualquer alteração com antecedência mínima de 30 dias. A continuação da utilização dos serviços após esse prazo constitui aceitação das alterações.
16.5 Se qualquer disposição do presente Acordo for considerada inválida ou inexequível, as restantes disposições mantêm-se em pleno vigor.
ANEXO A — Descrição do Tratamento
A.1 Objecto do tratamento
Prestação dos serviços de pesquisa jurídica assistida por inteligência artificial, geração de documentos jurídicos e monitorização legislativa, conforme descritos no Contrato Principal.
A.2 Natureza do tratamento
Recolha, armazenamento, consulta, utilização, transmissão a sub-processadores, eliminação.
A.3 Finalidade do tratamento
Processar as queries e documentos submetidos pelo Cliente para gerar respostas e outputs no âmbito dos serviços contratados. A LeksIQ não trata os dados para quaisquer finalidades próprias.
A.4 Categorias de Titulares dos Dados
- Clientes do escritório do Cliente
- Partes adversas em processos
- Testemunhas e peritos
- Outros terceiros mencionados em queries ou documentos submetidos
A.5 Tipos de Dados Pessoais
- Dados de identificação: nomes, moradas, contactos de partes em processos
- Dados processuais: factos de casos, histórico contencioso, referências a processos judiciais
- Dados financeiros: valores em litígio, dados patrimoniais mencionados em documentos
- Potencialmente Categorias Especiais: dados de saúde, dados criminais, dados de menores, orientação sexual/vida sexual (dependente do conteúdo submetido pelo Cliente)
A.6 Duração do tratamento
Período de vigência do Contrato Principal + 30 dias para exportação após cessação.
ANEXO B — Medidas Técnicas e Organizativas de Segurança
| Medida | Detalhe |
|---|---|
| Encriptação em trânsito | TLS 1.2+ em todas as comunicações entre cliente e plataforma |
| Encriptação em repouso | AES-256 (Supabase) |
| Controlo de acesso | Row Level Security (RLS) — cada utilizador acede exclusivamente aos seus próprios dados |
| Autenticação | Sessões com expiração automática; MFA disponível |
| Isolamento de dados | Arquitectura multi-tenant com separação lógica por utilizador |
| Rate limiting | Protecção contra acesso abusivo via Upstash Redis |
| Residência UE (Azure AI Foundry) | Todo o processamento de IA — pesquisa jurídica, conformidade, geração de documentos, resumos, reordenação e pipeline DRE — pela Microsoft Corporation em Sweden Central (Suécia) — sem transferência para países terceiros. |
| Residência UE (Langfuse) | Observabilidade de modelos de IA pela Langfuse GmbH (Berlim) — sem transferência |
| Retenção limitada (Anthropic) | Dados retidos pela Anthropic até 30 dias para trust & safety, depois eliminados. Proibição contratual de treino com dados da API. |
| Logs de auditoria | Logs de acesso e operações — retenção 90 dias |
| Gestão de incidentes | Procedimento de notificação 48h ao Cliente; 72h à CNPD |
| Backups | Backups diários automáticos (Supabase); retenção 7 dias |
| Testes de segurança | Testes de penetração periódicos (a implementar antes do lançamento comercial) |
ANEXO C — Sub-processadores
Lista de Sub-processadores autorizados à data da presente versão do Acordo. A LeksIQ notifica o Cliente de qualquer alteração com antecedência mínima de 30 dias, nos termos da Cláusula 7.3. Versão actualizada disponível mediante solicitação a hello@leksiq.com.
| Entidade | País/Região | Finalidade | Base de transferência |
|---|---|---|---|
| Microsoft Corporation | UE (Suécia) | Infraestrutura de inteligência artificial | Dados na UE |
| Anthropic, Inc. | EUA | Avaliação interna de qualidade de serviço | SCCs |
| Vercel, Inc. | EUA (infra UE configurada) | Infraestrutura da aplicação | SCCs |
| Supabase, Inc. | UE (Alemanha) | Base de dados e armazenamento | Dados na UE |
| Langfuse GmbH | UE (Alemanha) | Monitorização de qualidade de serviço | Entidade UE |
| Resend, Inc. | UE | Envio de emails transacionais | SCCs |
| Upstash, Inc. | UE | Cache e gestão de sessões | SCCs |
| Stripe Payments Europe Ltd | UE (Irlanda) | Processamento de pagamentos | Entidade UE |
| Jina AI GmbH | UE (Alemanha) | Pesquisa semântica | Entidade UE |
| Microsoft Corporation (reranking via Azure AI Foundry) | UE (Suécia) | Reordenação de resultados de pesquisa (modelo Cohere alojado em Azure) | Dados na UE — sem transferência internacional |
| Google LLC (Google Cloud Platform) | UE / EUA | Serviços de infraestrutura cloud e capacidades de inteligência artificial | SCCs |