Pular para o conteúdo
Voltar à página inicial

Contrato de Tratamento de Dados Pessoais (DPA)

Data Processing Agreement — Anexo aos Termos de Uso

Versão: v1.0 · Última atualização: 2026-05-07 · Vigência: atrelada ao plano contratado pelo Contratante

Este Contrato regula a relação Controlador ↔ Operador prevista nos arts. 5º VI, VII; 6º; 39 a 43 da LGPD Lei 13.709/2018 entre o Contratante (doravante "Controlador") e a Gaia Prime (doravante "Operadora" ou "Gaia Prime"), respectivamente representada por Tiago Nonato MEI (CNPJ 64.927.115/0001-09) durante o período provisório, com sucessão prevista para Softnatos LTDA após sua constituição.

Este DPA é parte integrante e indissociável dos Termos de Uso. Em caso de conflito entre este DPA e os Termos, prevalece este DPA nas matérias relativas a tratamento de dados pessoais.

1. Objeto e definições

1.1 Objeto

O Controlador contrata os serviços SaaS da Operadora ("Plataforma") e, no curso do uso, transmite à Operadora dados pessoais de seus Leads/Clientes para tratamento exclusivamente em nome e segundo as instruções do Controlador.

1.2 Definições adicionais (LGPD Art. 5º)

  • Dados pessoais dos Titulares: quaisquer informações relacionadas a pessoa natural identificada ou identificável que o Controlador transmita à Plataforma — exemplos: nome, telefone, e-mail, conteúdo de mensagens trocadas com agentes Gaia, comportamento no funil, metadados de conversação.
  • Titulares: os Leads/Clientes do Controlador, pessoas naturais cujos dados são tratados.
  • Sub-operadores: terceiros utilizados pela Operadora para suporte ao tratamento — listados em §10.
  • Tratamento: qualquer operação realizada com os dados (Art. 5º X LGPD).

2. Relação entre as partes

2.1 Controlador (papel do Contratante)

O Contratante é o Controlador dos dados pessoais dos Titulares (Art. 5º VI LGPD). Compete-lhe exclusivamente:

  • Determinar finalidades e meios essenciais do tratamento;
  • Escolher e documentar bases legais adequadas (Art. 7º + 11 LGPD);
  • Coletar e gerenciar consentimentos dos Titulares quando aplicável;
  • Manter política de privacidade própria acessível aos Titulares, mencionando a Gaia Prime como Operadora;
  • Atender requisições de direitos dos Titulares (Art. 18 LGPD) em prazo razoável;
  • Notificar incidentes aos Titulares afetados e à ANPD (Art. 48 LGPD).

2.2 Operadora (papel da Gaia Prime)

A Gaia Prime é a Operadora (Art. 5º VII LGPD), atuando estritamente nos limites das instruções do Controlador, formalizadas neste DPA, nos Termos de Uso e nas configurações operadas pelo Controlador na Plataforma.

A Operadora não toma decisões autônomas sobre finalidades, exceto:

  • Operações intrínsecas ao funcionamento técnico da Plataforma (logs de auditoria, segurança, faturamento);
  • Operações exigidas por obrigação legal (registro de eventos, cooperação com autoridades).

2.3 Vedação de uso secundário

A Operadora não utilizará dados pessoais dos Titulares fora do escopo da prestação do serviço ao Controlador. Em particular:

  • Não treinaremos modelos de IA cross-tenant compartilhados usando dados de um Controlador específico;
  • Não venderemos, locaremos ou compartilharemos dados com fins comerciais próprios;
  • Não enriqueceremos perfis de Titulares com dados externos sem instrução expressa do Controlador.

3. Instruções do Controlador

3.1 Instruções padrão

As configurações na Plataforma constituem instruções operacionais do Controlador (ex: ativar agente "Cecília Closer" implica autorização para tratamento conversacional dos Titulares correspondentes).

3.2 Instruções adicionais

Instruções fora do escopo configurável devem ser formalizadas por e-mail registrado ao DPO (privacidade@gaiaprime.pro) e podem ser:

  • Atendidas pela Operadora dentro de prazo razoável conforme viabilidade técnica;
  • Recusadas justificadamente quando contrariarem a LGPD, regulamentação aplicável ou capacidade técnica;
  • Cobradas quando exigirem desenvolvimento dedicado fora dos planos contratados.

4. Finalidade e duração do tratamento

Aspecto Descrição
Natureza do tratamento Coleta, armazenamento, organização, consulta, transmissão, arquivamento, eliminação
Finalidade do tratamento Prestação dos serviços SaaS contratados — automação de comunicação, qualificação de leads, follow-up, BI, atendimento
Tipos de dados Identificação (nome, telefone, e-mail), conteúdo de conversas, metadados temporais, scoring/ranking de leads
Categorias de Titulares Leads e clientes do Controlador
Duração Vigência do plano contratado + 30 dias de buffer pós-cancelamento

A Operadora não tratará dados pessoais sensíveis (Art. 11 LGPD) sem instrução expressa do Controlador acompanhada de fundamentação de base legal específica.

5. Direitos dos Titulares e responsabilidade primária

5.1 Responsabilidade primária do Controlador

Os Titulares devem dirigir requisições de direitos LGPD (Art. 18) diretamente ao Controlador, conforme política de privacidade publicada pelo próprio Controlador.

5.2 Suporte técnico da Operadora

A Operadora prestará suporte técnico ao Controlador no atendimento de requisições, incluindo:

  • Acesso e exportação: ferramentas no dashboard para exportar dados de um Titular específico em formato JSON ou CSV;
  • Correção: APIs e interfaces para correção de dados;
  • Eliminação: endpoint específico para eliminação de Titular (orquestrador "Right-to-Forget" — referência ADR-012, em desenvolvimento Sprint 31);
  • Portabilidade: exportação em formato estruturado e legível por máquina;
  • Anonimização: ferramenta para mascarar Titular preservando agregados estatísticos;
  • Bloqueio: opção para suspender processamento sem eliminar.

5.3 Prazos de resposta da Operadora ao Controlador

A Operadora processará solicitações de suporte do Controlador para atendimento de requisições de Titulares em até 5 dias úteis (planos pagos) ou 15 dias (Free-Locked), salvo casos excepcionais comunicados antecipadamente.

5.4 Ônus

Suporte para volume excepcional (>50 requisições/mês) ou complexidade técnica fora do dashboard padrão poderá ser cobrado conforme tabela de serviços profissionais — comunicada em até 5 dias úteis após análise.

6. Segurança da informação (Art. 46-49 LGPD)

A Operadora implementa as seguintes medidas técnicas e organizacionais apropriadas (TOMs):

6.1 Medidas técnicas

  • Encriptação em trânsito: TLS 1.3 obrigatório, HSTS habilitado;
  • Encriptação em repouso: PostgreSQL com pgcrypto em campos sensíveis (BYTEA + pgp_sym_encrypt);
  • Chave KEK: armazenada em GCP Secret Manager com rotação trimestral programada;
  • Row-Level Security (RLS): isolamento criptográfico-equivalente entre tenants via set_config('app.current_tenant', tenant_id, true) em 100% das queries (Lei 53 do projeto);
  • MFA TOTP para perfis administrativos;
  • HMAC em webhooks (Asaas) e RPCs internos (BFF ↔ Backend);
  • Rate limiting por IP e por tenant em todas as rotas críticas;
  • Behavioral jitter determinístico (referência ADR-025) anti-clone-army;
  • Sentry com filtro before_send redatando PII antes de enviar a observabilidade;
  • Backups diários com retenção 30 dias;
  • Monitoramento de tentativas RLS bypass com alerta P0 ao DPO.

6.2 Medidas organizacionais

  • Acesso por necessidade (need-to-know basis) — apenas pessoal essencial acessa banco de produção;
  • Audit log de ações administrativas;
  • Treinamento LGPD anual obrigatório a colaboradores (programado pós-revenue);
  • Plano de resposta a incidentes documentado em runbooks;
  • Processo de revogação de credenciais imediata em caso de desligamento.

6.3 Atualização das medidas

A Operadora atualiza as medidas conforme evolução de melhores práticas. Reduções materiais nos controles serão comunicadas ao Controlador com 30 dias de antecedência.

7. Comunicação de incidentes (Art. 48 LGPD + Resolução CD/ANPD Nº 15/2024)

7.1 Da Operadora ao Controlador

Em caso de incidente que envolva dados pessoais dos Titulares sob custódia da Operadora, comunicaremos ao Controlador no prazo razoável a partir da ciência (no máximo 24h), por e-mail registrado, contendo:

  • Descrição do incidente (vetor, escopo);
  • Categorias e volume estimado de Titulares afetados;
  • Categorias e volume estimado de dados afetados;
  • Medidas técnicas adotadas para contenção;
  • Recomendações de medidas que o Controlador deva tomar perante seus Titulares e a ANPD.

7.2 Do Controlador à ANPD e Titulares

Cabe ao Controlador comunicar o incidente à ANPD e aos Titulares, com base nos elementos fornecidos pela Operadora (Art. 48 LGPD).

7.3 Cooperação durante o incidente

A Operadora cooperará com o Controlador no fornecimento de evidências, logs e demais informações necessárias para o cumprimento das obrigações legais do Controlador. Esta cooperação não implica reconhecimento de responsabilidade.

8. Auditoria (right-to-audit)

8.1 Direito de auditoria do Controlador

Para Controlantes do plano Enterprise, a Operadora oferece direito de auditoria mediante:

  • Relatórios técnicos anuais sobre TOMs implementadas;
  • Sessão de Q&A técnica com a equipe de SRE da Gaia Prime (até 4h/ano);
  • Envio de questionários (DDQ) estruturados respondidos em até 30 dias.

Auditorias on-site ou de dados específicos requerem agendamento prévio com 60 dias e custos a serem combinados.

8.2 Para planos Starter/Pro/Ultra

O Controlador pode solicitar DDQ resumido (até 20 perguntas) uma vez por ano, sem custo. Auditorias mais profundas seguem regime do plano Enterprise sob orçamento.

9. Transferência internacional de dados

9.1 Operadora no Brasil

A Operadora (Tiago Nonato MEI, futura Softnatos LTDA) está domiciliada no Brasil. O servidor primário de produção está hospedado na Hetzner Falkenstein/Alemanha (UE — adequação reconhecida pela Decisão CE 2021/914).

9.2 Sub-operadores fora do Brasil

Conforme §10, alguns sub-operadores estão sediados fora do Brasil. Para todas as transferências internacionais aplicam-se:

  • Destinos com adequação: UE (Hetzner Alemanha, Hostinger Cyprus) — Decisão CE 2021/914 reconhece nível adequado;
  • Demais destinos: vinculados por Cláusulas-Padrão Contratuais (SCC) modelo UE 2021/914 ou equivalentes — Google LLC (EUA), Sentry (EUA), Meta Platforms (EUA + Irlanda), Cloudflare (EUA);
  • Base legal LGPD: Art. 33 II (cláusulas contratuais específicas) e/ou Art. 33 IX (consentimento específico do Titular via aceite desta política e da Política de Privacidade).

9.3 Listagem detalhada

Lista de DPAs com sub-operadores pode ser solicitada ao DPO. Mudanças nos países de tratamento serão comunicadas com 30 dias de antecedência.

10. Sub-operadores

10.1 Lista atual

Sub-operador Função País sede DPA vigente
Asaas Pagamentos PIX/boleto/cartão Brasil (Joinville/SC) DPA Asaas + integração contratada
Google LLC OAuth 2.0 + Google Cloud (Secret Manager) EUA + UE DPA Google + SCC adotadas
Hetzner Online GmbH Hospedagem servidor produção Alemanha (UE) Adequação UE + DPA Hetzner
Hostinger DNS gaiaprime.pro Cyprus (UE) Adequação UE
Sentry (Functional Software, Inc.) Observabilidade de erros EUA DPA Sentry + SCC + filtro PII redact
Meta Platforms (WhatsApp) Canal outbound (deferido Sprint 30+) EUA + Irlanda DPA Meta + SCC, ativação após RNE WABA
Cloudflare (deferido D-H11) WAF/DDoS edge EUA + Brasil POPs A formalizar quando ativada

10.2 Adição de sub-operadores

A Operadora pode adicionar novos sub-operadores. Quando o tratamento envolver categorias materialmente novas de dados ou países sem adequação, comunicará ao Controlador com 30 dias de antecedência.

10.3 Direito de oposição

O Controlador pode opor-se à inclusão de novo sub-operador mediante e-mail justificado em até 15 dias da comunicação. Em caso de oposição não-resolvível, o Controlador pode rescindir o plano sem penalidade, com reembolso pró-rata dos valores remanescentes.

11. Sucessão contratual: Tiago Nonato MEI → Softnatos LTDA

11.1 Cláusula de sucessão

Quando a Softnatos LTDA estiver constituída e regular, a relação contratual será sucedida automaticamente, sem solução de continuidade. A sucessão será comunicada ao Controlador com 30 dias de antecedência por e-mail registrado.

11.2 Migração de dados

A migração será realizada sob cláusula de sigilo e cadeia de custódia técnica preservada. Não haverá transferência fora do Brasil durante a migração. Os controles técnicos (RLS, encriptação, backups) permanecem ativos.

11.3 Direito do Controlador

Caso o Controlador tenha objeção fundamentada à sucessão, terá direito a rescindir sem penalidade com reembolso pró-rata e exportação completa de dados.

12. Eliminação ou devolução de dados ao final

12.1 Procedimento de cancelamento

Ao término do contrato (cancelamento pelo Controlador, expiração de plano, ou rescisão), a Operadora:

  1. Suspende processamento ativo dos dados imediatamente;
  2. Mantém 30 dias de buffer com dados disponíveis para exportação pelo Controlador;
  3. Após 30 dias, elimina ou anonimiza os dados pessoais, exceto quando obrigado a guardar (matriz de retenção em privacy.md §6);
  4. Envia certificado de eliminação mediante solicitação do Controlador.

12.2 Backups históricos

Backups criptografados podem reter dados além do prazo regular por até 30 dias antes da rotação natural. Estes backups não são utilizados para tratamento ativo.

13. Responsabilidade civil entre as partes

13.1 Limites

A responsabilidade civil entre Controlador e Operadora é regida pela LGPD (Art. 42-45) e pela legislação geral.

13.2 Limitação contratual

Sem prejuízo das normas de ordem pública, a responsabilidade civil agregada da Operadora perante o Controlador relativa a este DPA é limitada a:

  • Valor pago pelo Controlador nos últimos 12 meses anteriores ao evento que originou o pleito; ou
  • R$ 50.000,00 (cinquenta mil reais), o que for maior.

A limitação não se aplica em casos de dolo, culpa grave, ou hipóteses em que a legislação imponha responsabilidade ilimitada.

13.3 Solidariedade ativa para Titulares

Perante os Titulares, Controlador e Operadora respondem solidariamente quando ambos descumprem obrigações próprias da LGPD (Art. 42 § 1º). Cada parte tem direito de regresso contra a outra na medida da culpa.

14. Disposições finais

14.1 Vigência

Este DPA entra em vigor com o aceite dos Termos de Uso e permanece vigente enquanto houver plano ativo do Controlador, mais o período de retenção legal aplicável.

14.2 Alterações

Alterações materiais são comunicadas com 30 dias de antecedência. Continuidade do uso equivale a aceite. Discordância dá direito a cancelamento sem penalidade.

14.3 Foro

Mesmo regime de foro dos Termos de Uso §13.

14.4 Independência das cláusulas

Invalidação de cláusula específica não afeta as demais.

Notas de auditoria (não-vinculantes)

  • Lei 51 RCEP: medidas técnicas §6.1 espelham implementações reais do projeto (Lei 53 RLS, Lei 67 Diamante, ADR-025 Behavioral Jitter, Sentry filter PII).
  • Lacunas conhecidas D-H45 review: (a) DPAs específicos por sub-operador a anexar individualmente; (b) tabela de serviços profissionais (suporte LGPD volume excepcional) a publicar; (c) modelo DDQ formal Enterprise a definir; (d) certificado de eliminação automatizado (template a criar Sprint 31+).
  • Casos enforcement considerados: padrão DPA inspirado em SaaS B2B Brasil (HubSpot, RD Station, Pipedrive) + GDPR DPA Article 28 quando LGPD silencia.

Dúvidas sobre este documento? Contate o Encarregado de Tratamento de Dados em privacidade@gaiaprime.pro.