CONTRATO

CONTRATO

(CONCURSO PÚBLICO Nº 2022/045, COM PUBLICAÇÃO NO JOUE)

Entre os signatários:

A) INSTITUTO NACIONAL DE ESTATÍSTICA, IP, pessoa coletiva nº 502237490, com sede na Avenida Xxxxxxx Xxxx xx Xxxxxxx, em Lisboa, representado por Prof. Doutor Xxxxxxxxx Xxxxxx Xxxxxx Xxxxxxxxx xx Xxxx nos termos do nº 3 do artigo 21º da Lei nº 3/2004, republicada em Anexo ao Decreto-Lei nº 5/2012, de 17 de janeiro, que outorga na qualidade de Presidente do Conselho Diretivo do mesmo Instituto, doravante designado por INE ou Primeiro Contratante;

E

B) Vodafone Portugal - Comunicações Pessoais, S.A., pessoa coletiva nº 502544180, com sede na Xx. X. Xxxx XX, 00, 0x Xxxxx, Xxxxxx xxx Xxxxxx, 0000-000 Xxxxxx e representada neste ato pelo Sr. Xxxxxxxx Xxxxxxxxx Xxxxxx Xxxxxxxx Xxxxxxxxx xx Xxxxxxx e pelo Sr. Xxxxxxxxx Xxxxxxx Xxxxxx Xxxxxxx Xxxxxx Xxxxxxxx, que outorgam na qualidade de representantes legais, doravante designado por Segundo Contratante ou Adjudicatário;

Tendo em conta:

a) A decisão de adjudicação em 2022/05/25, pelo Conselho Diretivo do INE;

b) O subsequente ato de aprovação da minuta do contrato em 2022/05/25, pelo Conselho Diretivo;

c) A prestação de caução no valor de 19.194,52 Contratante;

d) A despesa inerente ao fornecimento dos serviços a prestar, tem cobertura da rubrica D.07.01.08.A0.B0 Software Informático, a qual se encontra registada com o compromisso nº6752204976,

é celebrado o presente contrato, que se rege pelas cláusulas seguintes:

Cláusula 1ª

(Objeto)

1. O presente contrato tem por objeto a aquisição/locação de licenciamento (subscrição de licenças) e manutenção de software Microsoft (Enterprise Agreement Subscription - EAS).

2. Fazem parte integrante do presente contrato todos os documentos previstos no nº 2 do artigo 96º do Código dos Contratos públicos (CCP).

3. Em caso de divergência entre os documentos previstos no nº 2 do artigo 96º do CCP, a prevalência é determinada pela ordem pela qual são indicados.

Cláusula 2ª

(Descrição dos bens e serviços a fornecer / Preço contratual)

1. O Segundo Contratante obriga-se a fornecer ao INE a subscrição de licenciamento de produtos Microsoft - Enterprise Agreement Subscription

Licenciamento (subscrição de licenças) e manutenção de produtos (software) Microsoft (Enterprise Agreement Subscription)

Página 1 / 9

8. O software a fornecer deve igualmente assegurar o cumprimento de todas as normas e obrigações legais aplicáveis e adotar as melhores práticas e orientações e/ou recomendações emitidas por autoridades nacionais e europeias em matéria de proteção de dados e segurança da informação, designadamente garantindo que o referido software incorpora as medidas técnicas e organizativas adequadas para assegurar a disponibilidade dos serviços e a integridade, confidencialidade, autenticidade, portabilidade e segurança dos dados pessoais e não pessoais.

Cláusula 3ª

(Local e prazo de entrega / Vigência do Contrato)

1. As licenças deverão ser disponibilizadas ao INE, em Lisboa, no prazo máximo de 5 dias de calendário, contados da data de assinatura do contrato.

2. A subscrição do licenciamento do contrato produz efeitos a 1 de junho de 2022 e termina a 31 de maio de 2023, sem prejuízo das obrigações acessórias que devam perdurar para além da sua cessação.

Cláusula 4ª

(Condições de pagamento)

A quantia devida pelo INE deve ser paga na totalidade no prazo de 60 dias de calendário após a receção da(s) respetiva(s) fatura(s), a emitir após a disponibilização das licenças.

Cláusula 5ª

(Confidencialidade e segurança de informação)

1. O adjudicatário, incluindo os técnicos afetos à presente prestação de serviços, ficam sujeitos ao segredo estatístico, nos termos do artigo 6º da Lei do Sistema Estatístico Nacional, Lei nº22/2008, de 13 de maio, mantendo-se tal obrigação mesmo após o termo do contrato, bem como a cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD), tal como complementado por legislação nacional, nomeadamente a Lei n.º 58/2019, de 8 de agosto, que executa o RGPD no ordenamento jurídico português.

2. O adjudicatário, incluindo os técnicos afetos à presente prestação de serviços, ficam ainda sujeitos às obrigações decorrente das legislação europeia e nacional aplicável em matéria de segurança da informação, designadamente, e na medida do aplicável, a Diretiva (UE) 2016/1148 relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (Diretiva NIS), transposta para a ordem jurídica nacional pela Lei n.º 46/2018, de 13 de agosto (Regime Jurídico da Segurança do Ciberespaço), que é regulamentada pelo Decreto-Lei n.º 65/2021, de 30 de julho, comprometendo-se a adotar, na máxima extensão que lhes seja exigível e aplicável, as orientações e referenciais das entidades competentes, designadamente a Agência da União Europeia para a Cibersegurança (ENISA) e o Centro Nacional de Cibersegurança (CNCS).

3. O adjudicatário, incluindo os técnicos afetos à presente prestação de serviços ficam igualmente sujeitos ao cumprimento das políticas de

segurança de informação do INE as quais visam garantir a Confidencialidade, Integridade e Disponibilidade, disponíveis em:

xxxxx://xxx.xxx.xx/xxxx/xxxx/000000000.

4. O(s) representante(s) do adjudicatário declara(m) ter pleno conhecimento das regras inerentes ao Princípio do Segredo Estatístico a que está vinculado pelo segredo profissional, nos termos da alínea d) do nº 2 do artigo 6º da Lei nº 22/2008, de 13 de maio, Lei do Sistema Estatístico Nacional (SEN), e das regras de confidencialidade, integridade e segurança dos dados pessoais decorrentes do RGPD e respetiva Lei de Execução (Lei n.º 58/2019, de 8 de agosto), comprometendo-se, consequentemente, a guardar absoluto sigilo de toda a informação de que tenha conhecimento no exercício ou em razão das suas funções relacionadas com a atividade estatística oficial, mesmo após o termo do contrato.

5. A violação do dever de segredo profissional é punível criminalmente, de acordo com o previsto no artigo 32º da Lei do SEN e o incumprimento das obrigações de confidencialidade, integridade e segurança dos dados previstas no RGPD e respetiva Lei de Execução é passível de sanções nos termos neles previstos.

6. Nas situações em que os técnicos do adjudicatário tenham acesso a informação confidencial, o INE exige a assinatura duma declaração de compromisso conforme minuta do Anexo, do caderno de encargos.

Cláusula 6ª

(Proteção de dados)

1. No âmbito do tratamento dos dados pessoais que lhe forem comunicados ao abrigo do presente procedimento e, posteriormente, em sede de execução do contrato, o adjudicatário e/ou os seus fornecedores e/ou prestadores (sub-subcontratantes) encontram-se sujeitos ao disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de

27 de abril de 2016, (RGPD), tal como complementado pela Lei n.º 58/2019, de 8 de agosto, pela demais legislação europeia e nacional aplicável em matéria de proteção de dados pessoais, por interpretações e linhas de orientação emitidas por autoridades europeias e nacionais, por cláusulas modelo aprovadas pela Comissão Europeia ou por autoridades de controlo, assim como por qualquer jurisprudência relevante.

2. O adjudicatário fica ainda sujeito à obrigação de transmitir contratualmente aos seus sub-subcontratantes as obrigações de proteção de dados e segurança de informação a que se encontra sujeito nos termos do presente contrato e da legislação aplicável referida no n.º 1 da presente Cláusula e no n.º 2 da Cláusula 8.ª.

3. O INE é o único responsável pelo tratamento de dados pessoais que ocorra ao abrigo do presente procedimento e, posteriormente, em sede de execução do contrato, devendo o adjudicatário, na qualidade de subcontratante, e/ou respetivos sub-subcontratantes, quando aplicável, tratar esses dados, apenas na estrita medida de instruções escritas e documentadas do INE acerca do tipo de dados a tratar e as categorias de titulares de dados, das finalidades específicas do tratamento, das pessoas autorizadas a aceder aos dados, da localização de tratamento e

armazenamento dos dados, das medidas técnicas e organizativas de segurança a adotar, e da possibilidade ou não de transferências de dados para países terceiros ou organizações internacionais.

4. Constituem obrigações do adjudicatário, e respetivos sub- subcontratantes, quando aplicável, em matéria de tratamento de dados, de forma a assegurar o cumprimento de todos os princípios gerais relativos ao tratamento de dados pessoais decorrentes de legislação aplicável como sejam a confidencialidade, disponibilidade, integridade e segurança dos dados pessoais a que tenha acesso, nomeadamente:

a) Tratar os dados pessoais a que aceda no decurso e na medida do necessário para a execução das tarefas, mediante instruções escritas e documentadas do INE e nunca para finalidades não requeridas e/ou aprovadas por este;

b) Adotar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades dos titulares dos dados, assim como as medidas técnicas e organizativas para proteger os dados contra destruição acidental ou ilícita, perda acidental, alterações, difusão ou acesso não autorizados, e contra qualquer outra forma de tratamento ilícito dos mesmos; Respeitar as condições estabelecidas no RGPD e demais legislação e orientações emitidas por autoridades europeias e nacionais no que se refere à subcontratação, incluindo ao:

(i) Garantir, monitorizar e controlar que os seus sub- subcontratantes, quando aplicável, garantem um nível de proteção de dados, pelo menos, equivalente àquele que decorre das obrigações legais e contratuais aplicáveis ao adjudicatário;

(ii) Disponibilizar toda a informação necessária acerca dos seus sub-subcontratantes em momento prévio e de forma completa, indicando, nomeadamente, a sua designação e localização, a atividade de tratamento que realizam e os dados pessoais que tratam, e as medidas de segurança por eles adotadas;

(iii) Não subcontratar quaisquer entidades para a prossecução de atividades das quais resultem tratamento de dados pessoais, salvo quando exista autorização prévia e por escrito do INE;

c) Assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade nos termos referidos

d) Cumprir as obrigações de segurança de informação, assegurando designadamente:

(i) a adoção de processos e procedimentos de recuperação e disponibilidade dos dados, de continuidade de negócio e de gestão e mitigação de incidentes;

(ii) a implementação de mecanismos eficazes de cópias de segurança, de autenticação criptográfica, e de encriptação dos dados em repouso e em trânsito;

(iii) adoção de controlos de acesso físicos e lógicos;

(iv) a adoção de medidas de segurança física dos servidores e data centers;

e) Não realizar qualquer reprodução, gravação, cópia ou divulgação dos dados pessoais para outros fins que não os que constem do contrato, ou para proveito próprio;

f) Garantir a possibilidade de o INE exercer o seu direito de auditoria de forma regular, na medida do razoável, por via de auditor(es) interno(s) ou auditor(es) externo(s) e independente(s) da sua escolha, às atividades de tratamento realizadas pelo adjudicatário e/ou pelos seus sub-subcontratantes, quando aplicável;

g) Disponibilizar ao INE toda a informação necessária demonstrar o cumprimento com as obrigações de proteção de dados aplicáveis, incluindo sobre o funcionamento do software utilizado, o acesso aos dados e respetivos destinatários, as medidas de segurança implementadas, o período e local de conservação dos dados, a existência de transferências de dados para países terceiros, e a existência de operações de tratamento posterior para finalidades que não sejam aquelas para os quais os dados pessoais foram recolhidos;

h) Informar imediatamente o INE se, no seu entender, alguma instrução violar o Contrato ou o RGPD ou outras disposições legais e orientações emitidas por autoridades nacionais ou europeias em matéria de proteção de dados;

i) Informar imediatamente o INE se, no seu entender, se encontrar numa situação de impossibilidade de cumprimento de alguma das obrigações contratuais e/ou legais;

j) Caso se verifique um evento e/ou suspeita de incidente de segurança da informação e/ou violação de dados pessoais, o adjudicatário deve de imediato comunicar ao INE a situação verificada, adotando ainda as medidas descritas na Cláusula 11.ª;

k) Comunicar ao INE quaisquer alterações substanciais aos produtos e serviços contratados que tenham um impacto relevante ao nível da proteção de dados e/ou na segurança da informação;

l) Prestar assistência ao INE, através da adoção de medidas técnicas e organizativas necessárias, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos realizados pelos titulares dos dados pessoais, para efeitos do exercício dos seus direitos;

m) Caso o adjudicatário tenha de transmitir ao INE dados pessoais a que tenha acesso por conta da execução do contrato a celebrar, só o poderá fazer mediante as adequadas medidas de segurança por este indicadas.

Cláusula 7ª

(Acessos e Segurança)

1. O adjudicatário deve assegurar que o acesso aos dados pessoais é limitado às pessoas que efetivamente necessitam de aceder aos mesmos de forma a cumprir as obrigações impostas pelo presente contrato.

2. O adjudicatário encontra-se adstrito a notificar de imediato o INE, de qualquer monitorização, auditoria ou controlo por parte de entidades reguladoras/de supervisão de que seja objeto.

Cláusula 8ª

(Conservação de dados pessoais)

O adjudicatário e/ou os seus sub-subcontratantes, quando aplicável, devem apagar os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, ou devolver ao INE se essa for a opção deste, após a cessação do contrato que esteve na base da licitude do seu tratamento, a menos que a conservação dos dados seja exigida ao abrigo da legislação aplicável.

Cláusula 9ª

(Transmissão e transferência de dados pessoais)

1. O tratamento de dados pessoais por parte do adjudicatário e/ou dos seus sub-subcontratantes em sede de execução do contrato deverá ser realizado no espaço da União Europeia / Espaço Económico Europeu, incluindo para as finalidades de realização de cópias de segurança, garantia de continuidade do negócio e operações remotas.

2. O adjudicatário e/ou os seus sub-subcontratantes, quando aplicável, não podem transmitir quaisquer dados pessoais a outra entidade, empresa ou organização, salvo autorização prévia, expressa e escrita do INE.

3. O adjudicatário e/ou os seus sub-subcontratantes, quando aplicável, não podem transmitir quaisquer dados pessoais a entidades governamentais de Estados-Membros ou de países terceiros, exceto quando tal seja expressamente autorizado por legislação europeia ou nacional e estejam em vigor as medidas e salvaguardas adequadas para garantir a proteção dos dados pessoais transmitidos, nos termos exigidos pelas autoridades nacionais e europeias.

4. Para efeitos de solicitação de autorização de transmissão de dados pessoais a terceiros, o adjudicatário e/ou os seus sub-subcontratantes, quando aplicável, devem identificar as entidades às quais pretendem transmitir os dados, as finalidades da transmissão, as medidas técnicas e organizativas adotadas, as medidas suplementares adotadas nos termos exigidos pelas autoridades nacionais e europeias.

5. Sem prejuízo do disposto no número 1, o adjudicatário e/ou os seus sub- subcontratantes, quando aplicável, deverão disponibilizar ao INE informação completa acerca da localização física dos servidores utilizados na prestação de serviços objeto deste contrato, das atividades de tratamento de dados pessoais, incluindo das eventuais operações remotas, levadas a cabo no âmbito do contrato.

6. Quando, mediante autorização prévia, expressa e escrita do INE, o adjudicatário e/ou os seus sub-subcontratantes, quando aplicável,

transferirem dados pessoais tratados em sede de execução do contrato para países terceiros ou organizações internacionais, estes comprometem- se a adotar as medidas necessárias e adequadas a assegurar a segurança e integridade dos dados pessoais, bem como a implementar os mecanismos necessários para garantir o cumprimento rigoroso das disposições legais do regime de transferências, designadamente garantindo a existência de um fundamento de licitude adequado (por exemplo, celebração das Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia) e a adoção de medidas suplementares nos termos exigidos pelas autoridades nacionais e europeias.

Cláusula 10ª

(Dever de Cooperação)

O adjudicatário deve cooperar com o INE, nomeadamente nas seguintes situações:

a) Tendo em conta a natureza do tratamento, e na medida do possível, prestar assistência ao INE de forma a permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados sobre o exercício dos seus direitos;

b) Quando o INE deva cumprir ou dar sequência a qualquer avaliação, inquérito, notificação ou investigação da Autoridade nacional de proteção de dados ou entidade administrativa com atribuições e competências legais equiparáveis.

Cláusula 11ª

(Violação de dados pessoais)

1. Caso os dados pessoais sejam, acidental ou ilicitamente divulgados ou acedidos por destinatários não autorizados, fiquem temporariamente indisponíveis ou sejam alterados, o adjudicatário e/ou os seus sub- subcontratantes, quando aplicável, comprometem-se a adotar as seguintes medidas, sem quaisquer custos adicionais para o INE:

a) Tomar de imediato as medidas necessárias para investigar a violação ocorrida, identificar e prevenir a repetição dessa violação, e encetar esforços razoáveis para mitigar os efeitos dessa violação;

b) Desenvolver as ações necessárias para remediar a violação;

c) Documentar todas as circunstâncias referentes à violação para efeitos de controlo por parte da autoridade de supervisão.

2. O adjudicatário obriga-se a ressarcir o INE por todos os prejuízos em que este venha a incorrer em virtude da utilização ilegal e/ou ilícita de dados pessoais, nomeadamente por indemnizações e despesas em que tenha incorrido na sequência de reclamações ou processos propostos pelos titulares dos dados, bem como por taxas, coimas e multas que tenha de pagar.

3. O incumprimento dos deveres estabelecidos na presente cláusula por parte do adjudicatário e a verificação de inexistência de garantias de compliance do adjudicatário é fundamento de resolução do presente contrato com justa causa pelo INE podendo implicar o dever de indemnização por eventuais violações que lhe sejam imputadas.