Este DPA complementa o contrato principal entre a GestIA (operadora, Tech Prime Softwares · KLISTENES DE LIMA LEITE · CNPJ 49.969.065/0001-39) e o Cliente (controlador) e regula o tratamento de dados pessoais de end-clients pela Plataforma, exclusivamente por conta e ordem do Controlador.
Documento em vigor enquanto perdurar o contrato principal. Modificações registradas em terms_acceptances com kind=dpa.
1. Objeto
Tratamento de dados pessoais (LGPD art. 5º I) e dados pessoais sensíveis (LGPD art. 5º II) de end-clients pelo Operador, exclusivamente para execução do contrato de prestação da Plataforma e nos limites das instruções documentadas do Controlador.
2. Compromissos do Operador
- Sigilo. Tratamento limitado às instruções documentadas do Controlador (Conta), sem reuso para finalidades próprias.
- Segurança técnica (LGPD art. 46). AES-256-GCM para dados sensíveis em repouso, TLS 1.3 em trânsito, acesso isolado por conta e vertical com papéis por função, trilha append-only para ações críticas (trigger PostgreSQL contra UPDATE/DELETE, preservada sem expurgo automático) e isolamento por conta com fitness tests por build.
- Subcontratados. Lista pública em /privacy; mudanças anunciadas com 30 dias de antecedência e direito de objeção do Controlador.
- Transferência internacional. OpenAI e Anthropic operam sob LGPD art. 33 II (decisão da ANPD). Hospedagem primária em UE (Hetzner Alemanha).
- Direitos do titular. Suporte ao Controlador via endpoints LGPD: export, anonymize, rectify, summary, opt-out, eliminate. SLA de 5 minutos para evidência ANPD.
- Incidente. Notificação ao Controlador em até 72h após detecção, com hash do evento e impacto preliminar.
- Devolução / eliminação. Ao fim do contrato, dados são devolvidos via export ZIP+SHA-256 ou eliminados em 30 dias — a critério do Controlador (LGPD art. 18 VI).
3. Compromissos do Controlador
- Base legal documentada para cada tratamento (LGPD art. 7º).
- Consentimento de end-clients quando exigido (art. 7º I).
- Não enviar dados sensíveis sem base legal específica.
- Responder solicitações de direitos no prazo legal (15 dias).
4. Auditoria & evidência
O Controlador pode auditar o Operador mediante aviso prévio de 30 dias. O Operador disponibiliza em 5 minutos:
- Pacote ZIP por
GET /api/v1/admin/compliance/evidencecom SHA-256 por arquivo. - Audit log do período (insert-only, com trigger PostgreSQL contra UPDATE/DELETE).
- Política de retenção documentada por categoria e vertical (motor de expurgo automático em implantação).
- Inventário de tratamento (RAT — LGPD art. 37) e DPIAs por vertical (Healthcare, Legal, Education, Collections).
5. Incidente de segurança
Em caso de incidente envolvendo dados pessoais do Controlador, o Operador notifica em até 72h após detecção (LGPD art. 48), informando:
- Natureza dos dados afetados (categoria + quantidade aproximada).
- End-clients potencialmente atingidos.
- Medidas técnicas adotadas e cronograma de mitigação.
- Hash do evento para reconciliação com audit trail.
6. Subprocessadores
Lista mantida em /privacy:
- Meta (WhatsApp Cloud API) (EUA) — Envio e recebimento de mensagens WhatsApp (quando o módulo de WhatsApp está contratado).
- Google (Gemini) (EUA) — Processamento de linguagem natural por IA generativa.
- Google (Google Analytics 4) (EUA) — Medição pseudônima de audiência e conversão do site, com query/IDs removidos e payload sem PII direta; a tag só é carregada após consentimento Analytics.
- Asaas (Brasil) — Gateway de pagamento e cobranças.
- Resend (EUA) — Envio de e-mails transacionais.
- Hetzner (Alemanha) — Hospedagem de infraestrutura e armazenamento criptografado.
- OpenAI (EUA) — IA generativa alternativa, apenas quando habilitada pela conta (opt-in, LGPD art. 33 II).
- Anthropic (EUA) — IA generativa alternativa, apenas quando habilitada pela conta (opt-in, LGPD art. 33 II).
7. Contato
DPO/EPD: [email protected]