Pular para o conteúdo
← Voltar ao início

Compliance · LGPD · Enterprise-ready

Data Processing Agreement (DPA)

Versão 2026.05.01 · Última atualização em 2026-05-01

Este DPA complementa o contrato principal entre a GestIA (operadora, Tech Prime Softwares · KLISTENES DE LIMA LEITE · CNPJ 49.969.065/0001-39) e o Cliente (controlador) e regula o tratamento de dados pessoais de end-clients pela Plataforma, exclusivamente por conta e ordem do Controlador.

Documento em vigor enquanto perdurar o contrato principal. Modificações registradas em terms_acceptances com kind=dpa.

1. Objeto

Tratamento de dados pessoais (LGPD art. 5º I) e dados pessoais sensíveis (LGPD art. 5º II) de end-clients pelo Operador, exclusivamente para execução do contrato de prestação da Plataforma e nos limites das instruções documentadas do Controlador.

2. Compromissos do Operador

  • Sigilo. Tratamento limitado às instruções documentadas do Controlador (Conta), sem reuso para finalidades próprias.
  • Segurança técnica (LGPD art. 46). AES-256-GCM para dados sensíveis em repouso, TLS 1.3 em trânsito, acesso isolado por conta e vertical com papéis por função, trilha append-only para ações críticas (trigger PostgreSQL contra UPDATE/DELETE, preservada sem expurgo automático) e isolamento por conta com fitness tests por build.
  • Subcontratados. Lista pública em /privacy; mudanças anunciadas com 30 dias de antecedência e direito de objeção do Controlador.
  • Transferência internacional. OpenAI e Anthropic operam sob LGPD art. 33 II (decisão da ANPD). Hospedagem primária em UE (Hetzner Alemanha).
  • Direitos do titular. Suporte ao Controlador via endpoints LGPD: export, anonymize, rectify, summary, opt-out, eliminate. SLA de 5 minutos para evidência ANPD.
  • Incidente. Notificação ao Controlador em até 72h após detecção, com hash do evento e impacto preliminar.
  • Devolução / eliminação. Ao fim do contrato, dados são devolvidos via export ZIP+SHA-256 ou eliminados em 30 dias — a critério do Controlador (LGPD art. 18 VI).

3. Compromissos do Controlador

  • Base legal documentada para cada tratamento (LGPD art. 7º).
  • Consentimento de end-clients quando exigido (art. 7º I).
  • Não enviar dados sensíveis sem base legal específica.
  • Responder solicitações de direitos no prazo legal (15 dias).

4. Auditoria & evidência

O Controlador pode auditar o Operador mediante aviso prévio de 30 dias. O Operador disponibiliza em 5 minutos:

  • Pacote ZIP por GET /api/v1/admin/compliance/evidence com SHA-256 por arquivo.
  • Audit log do período (insert-only, com trigger PostgreSQL contra UPDATE/DELETE).
  • Política de retenção documentada por categoria e vertical (motor de expurgo automático em implantação).
  • Inventário de tratamento (RAT — LGPD art. 37) e DPIAs por vertical (Healthcare, Legal, Education, Collections).

5. Incidente de segurança

Em caso de incidente envolvendo dados pessoais do Controlador, o Operador notifica em até 72h após detecção (LGPD art. 48), informando:

  • Natureza dos dados afetados (categoria + quantidade aproximada).
  • End-clients potencialmente atingidos.
  • Medidas técnicas adotadas e cronograma de mitigação.
  • Hash do evento para reconciliação com audit trail.

6. Subprocessadores

Lista mantida em /privacy:

  • Meta (WhatsApp Cloud API) (EUA) — Envio e recebimento de mensagens WhatsApp (quando o módulo de WhatsApp está contratado).
  • Google (Gemini) (EUA) — Processamento de linguagem natural por IA generativa.
  • Google (Google Analytics 4) (EUA) — Medição pseudônima de audiência e conversão do site, com query/IDs removidos e payload sem PII direta; a tag só é carregada após consentimento Analytics.
  • Asaas (Brasil) — Gateway de pagamento e cobranças.
  • Resend (EUA) — Envio de e-mails transacionais.
  • Hetzner (Alemanha) — Hospedagem de infraestrutura e armazenamento criptografado.
  • OpenAI (EUA) — IA generativa alternativa, apenas quando habilitada pela conta (opt-in, LGPD art. 33 II).
  • Anthropic (EUA) — IA generativa alternativa, apenas quando habilitada pela conta (opt-in, LGPD art. 33 II).

7. Contato

DPO/EPD: [email protected]

Data Processing Agreement (DPA) | GestIA