Termo de Tratamento de Dados (DPA) 1.0
Este DPA (Data Processing Agreement) descreve como a OQV trata dados pessoais em nome de seus clientes contratantes, no papel de Operadora, em conformidade com a LGPD (Lei nº 13.709/2018) e normas da ANPD. É parte integrante do contrato assinado pelo cliente, por incorporação por referência.
1 Papéis das partes
- person Cliente (Contratante) = Controlador dos dados pessoais de seus leads, clientes, pacientes, alunos, associados, contatos e demais titulares.
- settings OQV (Contratada) = Operadora, tratando dados em nome do Controlador, conforme suas instruções e para executar os serviços contratados.
Quando a OQV, de forma autônoma, definir finalidade ou meios de tratamento (por exemplo, para melhoria interna não identificável do produto), atuará como Controladora apenas quanto àquele tratamento específico.
2 Finalidades autorizadas
A OQV trata os dados pessoais do Cliente exclusivamente para:
- operar e manter a solução de atendimento digital, automação, IA e organização comercial;
- configurar fluxos, treinar bases de conhecimento, ajustar respostas, organizar tags/fases e suportar follow-up;
- gerar relatórios operacionais e métricas para o Cliente;
- responder a solicitações de suporte do Cliente;
- cumprir obrigação legal, regulatória ou ordem de autoridade competente;
- defender direitos em processo judicial ou administrativo;
- realizar testes, depuração e melhoria do serviço, com minimização de dados.
Para executar essas finalidades, o Cliente autoriza expressamente que a OQV e o seu pessoal autorizado acessem o conteúdo das conversas e dos dados tratados nos canais (WhatsApp, Instagram e outros canais conectados), inclusive para prestar suporte, diagnosticar e corrigir problemas e operar a solução. Esse acesso segue o princípio do menor privilégio (somente quem precisa, somente o necessário), está sujeito ao dever de sigilo e acontece exclusivamente para as finalidades listadas acima.
3 Categorias de dados e titulares
| Categoria | Exemplo | Origem |
|---|---|---|
| Identificação | Nome, telefone, e-mail, foto de perfil WhatsApp | Mensagens recebidas no canal |
| Contato | Número de WhatsApp, e-mail, Instagram handle | Iniciativa do titular |
| Interesse comercial | Plano de interesse, horário, dúvida, pendência | Conversas com o bot/atendente |
| Transação | Status de pagamento (sem dados de cartão) | Confirmação manual ou integração |
| Conteúdo de mensagens | Texto, áudio (transcrito), imagens | Conversas WhatsApp/Instagram |
| Dados sensíveis (eventual) | Condição física, lesão, restrição esportiva, dado de saúde | Mencionado espontaneamente pelo titular |
Titulares: leads, clientes, alunos, ex-alunos, pacientes, responsáveis e demais pessoas físicas que entrem em contato pelos canais operados pela solução.
4 Bases legais
O Cliente é responsável por definir e documentar a base legal de cada tratamento (arts. 7º e 11 da LGPD), incluindo execução de contrato, legítimo interesse, consentimento, cumprimento de obrigação legal/regulatória e, quando aplicável, tutela da saúde para dados sensíveis. Para mensagens ativas, disparos e reativação de base, o Cliente declara possuir opt-in válido ou outra base legal compatível.
5 Obrigações da OQV (Operadora)
- task_alt Tratar os dados estritamente conforme instruções documentadas do Cliente, salvo obrigação legal contrária.
- task_alt Adotar medidas técnicas e administrativas razoáveis (vide cláusula 9).
- task_alt Garantir confidencialidade de quem trata dados em nome da OQV.
- task_alt Auxiliar o Cliente, na medida do razoável, a atender direitos de titulares (art. 18) e responder à ANPD.
- task_alt Notificar incidentes de segurança relevantes em prazo razoável (objetivo: até 72 horas após confirmação).
- task_alt Devolver/eliminar dados ao término da contratação, conforme cláusula 7.
6 Suboperadores autorizados
O Cliente autoriza o uso dos seguintes suboperadores (ou equivalentes funcionais com proteção compatível):
| Categoria | Suboperador típico | Finalidade |
|---|---|---|
| Hospedagem / Cloud | AWS, Google Cloud, Hostinger, DigitalOcean | Servidores, banco de dados, armazenamento |
| Mensageria WhatsApp | Meta WhatsApp Business Platform, Evolution API, BSPs | Canal de comunicação |
| Mensageria Instagram | Meta Instagram Graph API | Canal de comunicação |
| Provedores de IA | OpenAI, Google (Gemini), Anthropic | Geração de respostas automatizadas |
| Assinatura eletrônica | Clicksign, DocuSign, Gov.br | Contratos e aceites |
| Pagamentos | Gateways e processadoras | Cobrança e recorrência |
A inclusão de novo suboperador que implique transferência internacional será comunicada ao Cliente, que poderá objetar fundamentadamente. Provedores podem operar fora do Brasil, observadas as garantias do art. 33 da LGPD.
7 Retenção, devolução e eliminação
Durante a vigência, os dados ficam armazenados pelo tempo necessário à prestação do serviço. Ao término, mediante solicitação do Cliente em até 30 dias, a OQV fornecerá os dados em formato estruturado utilizável (CSV, JSON) e procederá à eliminação em até 90 dias, salvo:
- obrigação legal de retenção (ex.: dados fiscais);
- backups técnicos cíclicos sobrescritos no curso normal da operação;
- dados anonimizados não passíveis de re-identificação.
Declaração de eliminação é fornecida quando solicitada.
8 Direitos dos titulares (art. 18)
O Cliente é o ponto focal para atender solicitações de titulares. Quando uma solicitação chegar diretamente à OQV, esta repassará ao Cliente em até 5 dias úteis e colaborará tecnicamente para o atendimento, observados limites técnicos de logs, backups e retenção mínima por obrigação legal.
9 Segurança
Aplicam-se as medidas descritas na Política de Segurança da Informação, incluindo as práticas em vigor (TLS, controle de acesso por necessidade, segregação lógica, logs em provedores reconhecidos, backups) e o roadmap em construção.
10 Auditoria
O Cliente pode solicitar, com 30 dias de antecedência e periodicidade anual, relatório de medidas técnicas e organizacionais adotadas pela OQV, mediante NDA. Auditoria in loco somente em caso de incidente confirmado, mediante acordo prévio sobre escopo, custo e confidencialidade.
11 Responsabilidades
O Controlador (Cliente) responde por base legal, conteúdo das mensagens, qualidade dos dados de entrada e direitos dos titulares. A Operadora (OQV) responde pelo cumprimento deste DPA e pelas medidas de segurança razoáveis adotadas. Multas e sanções da ANPD ou de autoridades competentes serão suportadas pela parte que tiver dado causa ao descumprimento.
12 Contato
Encarregado pelo Tratamento de Dados (DPO). Fale pelo e-mail contato@organizaquevende.com.