BoxAIVoltar ao site

Adendo de Tratamento de Dados Pessoais (DPA) — Controlador-Operador

Última atualização: [DATA DE VIGÊNCIA]

Este Adendo de Tratamento de Dados Pessoais ("DPA" ou "Adendo") integra e complementa os Termos de Uso e/ou o Contrato de Prestação de Serviços (o "Contrato Principal") celebrado entre as Partes abaixo qualificadas, e disciplina o tratamento de dados pessoais realizado pela BoxAI por conta e em nome da Oficina contratante, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — "LGPD") e demais normas aplicáveis, inclusive os atos normativos da Autoridade Nacional de Proteção de Dados ("ANPD").

1. Qualificação das Partes

CONTROLADOR (Contratante / Oficina): A pessoa jurídica identificada como contratante no Contrato Principal e/ou no cadastro da plataforma BoxAI, doravante denominada "Controlador" ou "Oficina", responsável pelas decisões referentes ao tratamento dos dados pessoais de seus clientes finais e demais titulares.

OPERADOR (BoxAI): [RAZÃO SOCIAL], inscrita no CNPJ sob o nº [CNPJ], com sede em [ENDEREÇO COMPLETO], desenvolvedora e mantenedora da plataforma BoxAI, doravante denominada "Operador" ou "BoxAI", que realiza o tratamento de dados pessoais em nome e por conta do Controlador, segundo as instruções deste.

As Partes acima podem ser referidas individualmente como "Parte" e conjuntamente como "Partes".

Para fins deste Adendo, o Encarregado pelo Tratamento de Dados Pessoais (DPO) do Operador pode ser contatado pelo e-mail [E-MAIL DO ENCARREGADO/DPO], nos termos do art. 5º, VIII, da LGPD.

2. Natureza Acessória e Prevalência

2.1. Este DPA é parte integrante e acessória do Contrato Principal, ao qual adere automaticamente, não tendo existência autônoma.

2.2. Em caso de conflito entre as disposições deste DPA e quaisquer outras cláusulas do Contrato Principal ou dos Termos de Uso, exclusivamente em matéria de proteção de dados pessoais, prevalecerão as disposições deste Adendo.

2.3. Nos demais aspectos não regulados por este DPA, aplicam-se integralmente as cláusulas do Contrato Principal.

3. Definições

Para os fins deste Adendo, observadas as definições do art. 5º da LGPD, considera-se:

  • Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
  • Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (art. 5º, II).
  • Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração (art. 5º, X).
  • Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento (art. 5º, V), incluindo os clientes finais da Oficina.
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI) — neste DPA, a Oficina.
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador (art. 5º, VII) — neste DPA, a BoxAI.
  • Subprocessador (Suboperador): terceiro contratado pelo Operador para realizar, no todo ou em parte, o tratamento de dados pessoais por conta do Controlador, atuando sob as instruções do Operador.
  • Controlador Independente: terceiro que, ao receber dados em razão dos serviços, define autonomamente as finalidades e os meios do tratamento (por exemplo, instituições de pagamento sujeitas a regulação própria), não se confundindo com subprocessador.
  • Incidente de Segurança: qualquer evento adverso, confirmado ou sob suspeita fundada, relacionado à violação de segurança que possa acarretar acesso não autorizado, destruição, perda, alteração, vazamento ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais (art. 48).
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI).
  • ANPD: Autoridade Nacional de Proteção de Dados.

4. Objeto e Escopo do Tratamento

4.1. O presente DPA tem por objeto regular o tratamento de dados pessoais dos clientes finais da Oficina e de demais titulares, realizado pela BoxAI exclusivamente em nome e por conta do Controlador, no âmbito da prestação dos serviços de software de gestão de oficinas e centros automotivos disponibilizados pela plataforma BoxAI.

4.2. As Partes reconhecem que, em relação aos dados dos clientes finais (consumidores), a Oficina é a Controladora e a BoxAI atua como Operadora (art. 5º, VI e VII, da LGPD).

4.3. Quanto aos dados cadastrais da própria Oficina e de seus usuários (representantes, colaboradores e administradores da conta), a BoxAI atua como Controladora autônoma, regida por sua própria Política de Privacidade, hipótese não abrangida pelo presente Adendo. Esclarece-se, contudo, que os dados de uso e registros que contenham dados pessoais de clientes finais permanecem submetidos ao regime de Operadora deste DPA, ainda que tratados para fins de operação, segurança e melhoria do serviço sob instrução do Controlador ou por força de obrigação legal.

4.4. A descrição detalhada do tratamento — categorias de titulares, categorias de dados, finalidades, natureza, duração e operações — consta do Anexo I deste DPA, atendendo ao disposto no art. 37 da LGPD.

4.5. Dados de crianças e adolescentes. A plataforma não se destina ao tratamento de dados de crianças e adolescentes. Caso a Oficina insira dados de titulares menores de idade (por exemplo, na qualidade de proprietários ou condutores), o Controlador será integralmente responsável pela observância do art. 14 da LGPD, notadamente quanto ao melhor interesse do menor e ao consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, quando exigível.

5. Instruções do Controlador

5.1. O Operador tratará os dados pessoais somente conforme as instruções documentadas do Controlador, incluindo as constantes deste DPA, do Contrato Principal e das funcionalidades configuráveis na plataforma, ressalvadas as hipóteses de cumprimento de obrigação legal ou regulatória (art. 39 da LGPD).

5.2. Caso o Operador receba ordem judicial ou requisição de autoridade competente para tratamento ou divulgação de dados, comunicará o Controlador, salvo vedação legal, antes de proceder. O Operador limitará a divulgação ao estritamente exigido pela ordem ou requisição e adotará, quando juridicamente possível, as medidas cabíveis para questionar ou restringir requisições manifestamente ilegais, genéricas ou excessivas.

5.3. O Operador deverá alertar imediatamente o Controlador sempre que entender que uma instrução recebida infringe a LGPD ou outra norma de proteção de dados, podendo suspender a execução da instrução questionada até a manifestação do Controlador, sem prejuízo de suas demais obrigações.

5.4. O Operador não utilizará os dados pessoais para finalidades próprias, nem os comercializará, cederá ou compartilhará com terceiros fora das hipóteses previstas neste DPA.

6. Obrigações do Controlador

6.1. O Controlador é responsável por garantir a existência de base legal adequada (art. 7º e art. 11 da LGPD) e a licitude da coleta e do tratamento dos dados pessoais que disponibiliza ou determina sejam tratados pela plataforma BoxAI.

6.2. O Controlador compromete-se a:

a) Fornecer instruções lícitas, claras e documentadas ao Operador; b) Assegurar o cumprimento dos deveres de informação e, quando aplicável, a obtenção e a gestão do consentimento dos titulares; c) Manter atualizados os registros das bases legais aplicáveis a cada operação de tratamento; d) Responder, na qualidade de Controlador, às requisições dos titulares e da ANPD; e) Observar o art. 14 da LGPD em caso de tratamento de dados de crianças e adolescentes, conforme Cláusula 4.5.

7. Obrigações do Operador

7.1. Sem prejuízo das demais obrigações previstas neste DPA, o Operador compromete-se a:

a) Tratar os dados pessoais estritamente conforme as instruções do Controlador (art. 39); b) Implementar e manter as medidas de segurança técnicas e administrativas descritas no Anexo II (arts. 46 e 47); c) Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a dever de confidencialidade; d) Auxiliar o Controlador no atendimento aos direitos dos titulares e no cumprimento de suas obrigações legais, nos termos das Cláusulas 12 e 13; e) Comunicar incidentes de segurança nos termos da Cláusula 13; f) Manter registro das operações de tratamento (art. 37); g) Eliminar ou devolver os dados ao término da relação contratual, nos termos da Cláusula 16.

8. Confidencialidade

8.1. O Operador obriga-se a manter sigilo sobre todos os dados pessoais a que tiver acesso, mesmo após o término do Contrato Principal (art. 46 da LGPD).

8.2. O Operador limitará o acesso aos dados pessoais às pessoas que dele necessitem para a execução dos serviços ("need to know"), assegurando que todo o pessoal autorizado esteja vinculado por obrigação contratual ou legal de confidencialidade de eficácia equivalente à prevista neste DPA.

9. Medidas de Segurança

9.1. O Operador adotará medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (arts. 46 e 47 da LGPD).

9.2. As medidas incluem, no mínimo, e conforme detalhado no Anexo II:

a) Criptografia de dados em trânsito (TLS) e em repouso; b) Controle de acesso baseado em perfis e autenticação de usuários; c) Segregação lógica de dados entre tenants (arquitetura multi-tenant), de modo que os dados de uma Oficina não sejam acessíveis por outra; d) Registro de logs de acesso e de operações relevantes; e) Rotinas de backup e de recuperação de dados; f) Políticas internas de segurança da informação e gestão de vulnerabilidades.

9.3. As medidas de segurança poderão ser atualizadas pelo Operador desde que mantenham nível de proteção equivalente ou superior.

10. Subprocessadores (Suboperadores)

10.1. O Controlador autoriza, de forma geral, a contratação dos subprocessadores listados no Anexo III, necessários à prestação dos serviços (notadamente provedor de infraestrutura em nuvem, provedor de mensageria/WhatsApp e provedor de e-mail).

10.2. O Operador celebrará com cada subprocessador instrumento contratual que imponha obrigações de proteção de dados equivalentes às previstas neste DPA.

10.3. O Operador notificará o Controlador, com antecedência mínima de 30 (trinta) dias do início do tratamento, sobre a inclusão ou substituição de subprocessadores, por meio de comunicação eletrônica ou de atualização disponibilizada na plataforma, facultando ao Controlador opor-se de forma justificada. Durante o prazo de objeção, o subprocessador questionado não tratará os dados pessoais do Controlador opositor, salvo necessidade técnica inadiável devidamente justificada. Persistindo a objeção fundada, e não havendo solução técnica viável, qualquer das Partes poderá rescindir o Contrato Principal sem ônus adicional, observado o disposto na Cláusula 16.

10.4. O Operador permanece integralmente responsável perante o Controlador pelos atos e omissões dos subprocessadores por ele contratados, como se tais atos fossem seus próprios.

10.5. Eventuais terceiros que, em razão dos serviços, atuem como Controladores Independentes (por exemplo, instituições e gateways de pagamento sujeitos a regulação própria) não se enquadram como subprocessadores, sendo identificados como tais no Anexo III, com indicação da base de compartilhamento aplicável.

11. Transferência Internacional de Dados

11.1. As Partes reconhecem que parte da infraestrutura e dos subprocessadores poderá estar localizada fora do território nacional, implicando transferência internacional de dados pessoais (arts. 33 e 34 da LGPD).

11.2. O Operador adotará as salvaguardas necessárias para que a transferência ocorra apenas para países ou organismos que proporcionem grau de proteção adequado ou mediante garantias previstas no art. 33 da LGPD, tais como Cláusulas-Padrão Contratuais (CPC) editadas pela ANPD, cláusulas contratuais específicas, normas corporativas globais ou demais instrumentos reconhecidos pela ANPD, observada a Resolução CD/ANPD nº 19/2024 e suas eventuais alterações.

11.3. Caso a ANPD altere o regime de transferência internacional ou exija a substituição do instrumento de garantia adotado, o Operador promoverá a readequação necessária e notificará o Controlador a respeito, em prazo razoável.

11.4. O detalhamento dos locais de tratamento e das salvaguardas aplicáveis consta dos Anexos II e III.

12. Assistência ao Titular e à ANPD

12.1. O Operador auxiliará o Controlador, na medida do tecnicamente possível, no atendimento às requisições dos titulares relativas ao exercício de seus direitos previstos no art. 18 da LGPD, a saber: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade; eliminação dos dados tratados com consentimento; informação sobre o compartilhamento; informação sobre a possibilidade de não fornecer consentimento e suas consequências; revogação do consentimento; oposição a tratamento fundado em hipótese de dispensa de consentimento (art. 18, §2º); e petição perante a ANPD.

12.2. O Operador auxiliará, ainda, no atendimento a pedidos de revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20 da LGPD), quando aplicável, conforme Cláusula 12.5.

12.3. Recebendo requisição de titular diretamente, o Operador a encaminhará ao Controlador sem demora injustificada, e em prazo não superior a 5 (cinco) dias úteis, abstendo-se de responder por conta própria, salvo instrução do Controlador, de modo a permitir o cumprimento dos prazos legais aplicáveis ao Controlador (art. 19 da LGPD).

12.4. O Operador auxiliará o Controlador, observada a natureza do tratamento e as informações disponíveis, no cumprimento das obrigações de:

a) Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) (art. 38); b) Resposta a consultas, requisições e procedimentos de fiscalização da ANPD (art. 39); c) Adoção de medidas de segurança e prevenção de incidentes (arts. 46 a 48).

12.5. Decisões automatizadas. As Partes declaram que, na presente data, a plataforma BoxAI [DECLARAR: NÃO realiza / realiza] tratamento que produza decisões tomadas unicamente de forma automatizada com efeitos jurídicos ou que afetem de maneira relevante os interesses dos titulares. Caso passe a existir tal tratamento, o Operador prestará ao Controlador as informações e o auxílio técnico necessários para responder a pedidos de revisão e prestar esclarecimentos sobre os critérios e procedimentos utilizados (art. 20 da LGPD).

13. Comunicação de Incidentes de Segurança

13.1. O Operador comunicará ao Controlador a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares sem demora injustificada, a partir do momento em que dele tomar conhecimento, ainda que sob suspeita fundada e mesmo que a apuração não esteja concluída, em prazo não superior a 24 (vinte e quatro) horas. Comunicação preliminar deverá ser feita imediatamente, ainda que incompleta, sendo complementada por atualizações sucessivas conforme novas informações sejam apuradas. O prazo desta cláusula tem por finalidade assegurar que o Controlador cumpra suas próprias obrigações perante a ANPD e os titulares, observados os prazos da Resolução CD/ANPD nº 15/2024 (comunicação do controlador à ANPD em até 3 dias úteis) e o art. 48 da LGPD.

13.2. A comunicação conterá, no mínimo:

a) A descrição da natureza e da categoria dos dados pessoais afetados; b) As informações sobre os titulares envolvidos (número e categorias); c) A indicação das medidas técnicas e de segurança adotadas ou em adoção para a proteção dos dados; d) Os riscos relacionados ao incidente; e) As medidas que foram ou serão tomadas para reverter ou mitigar os efeitos; f) A data e hora em que o Operador tomou conhecimento do incidente; g) Quando aplicável, os motivos de eventual demora na comunicação.

13.3. O Operador prestará cooperação contínua ao Controlador na investigação, contenção e remediação do incidente, bem como na elaboração de eventuais comunicações à ANPD e aos titulares, cuja decisão final caberá ao Controlador.

14. Registro das Operações de Tratamento

14.1. O Operador manterá registro das operações de tratamento de dados pessoais que realizar por conta do Controlador (art. 37 da LGPD), incluindo logs técnicos e demais elementos que componham o registro de atividades de tratamento (ROPA), na medida de sua atuação como Operador.

14.2. Tais registros serão disponibilizados ao Controlador mediante solicitação fundamentada, observadas a confidencialidade e a segurança da informação.

15. Auditoria

15.1. O Controlador, diretamente ou por meio de auditor independente por ele designado e previamente aprovado pelo Operador, poderá verificar o cumprimento das obrigações deste DPA. A aprovação do auditor não será recusada injustificadamente, devendo eventual recusa ser fundamentada por escrito.

15.2. A auditoria observará as seguintes condições:

a) Aviso prévio por escrito de, no mínimo, [PRAZO, ex.: 30] dias; b) Realização durante horário comercial, sem comprometer a continuidade dos serviços; c) Limitação a, no máximo, [NUMERO, ex.: 1] auditoria por período de 12 (doze) meses, salvo em caso de incidente de segurança ou determinação de autoridade; d) Assinatura de termo de confidencialidade pelo Controlador e/ou auditor; e) Restrição a informações pertinentes ao tratamento de dados do próprio Controlador, preservados os dados de terceiros e os segredos de negócio do Operador.

15.3. O Operador poderá atender à finalidade da auditoria mediante apresentação de relatórios, certificações ou laudos de terceiros independentes, quando existentes.

16. Devolução e Eliminação dos Dados

16.1. Ao término da relação contratual, por qualquer motivo, o Operador, conforme instrução do Controlador, procederá à devolução e/ou eliminação dos dados pessoais tratados por conta do Controlador, no prazo de [PRAZO, ex.: 30] dias contados do encerramento.

16.2. A devolução observará formato estruturado e de uso comum (por exemplo, exportação em formato interoperável), facilitando a portabilidade.

16.3. Concluída a devolução, o Operador eliminará as cópias remanescentes, fornecendo, mediante solicitação, comprovação da eliminação, ressalvadas as cópias em backups, que serão eliminadas conforme o ciclo regular de rotação de backups e mantidas sob acesso restrito até então.

16.4. Ressalva-se a hipótese de guarda legal: o Operador e o Controlador poderão conservar dados pessoais quando obrigados por lei ou regulação, ou quando necessário ao exercício regular de direitos em processo judicial, administrativo ou arbitral, notadamente:

a) Os registros de acesso a aplicações de internet, pelo prazo do art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet); b) Documentos e dados fiscais, tributários e contábeis, pelos prazos exigidos pela legislação aplicável; c) Dados necessários à defesa em razão dos prazos prescricionais aplicáveis, inclusive os do Código de Defesa do Consumidor (art. 27 da Lei nº 8.078/1990) e do Código Civil;

restringindo-se o tratamento, nessas hipóteses, à estrita finalidade da obrigação legal ou da defesa de direitos, com acesso minimizado, nos termos do art. 7º, II e III, e do art. 16, I e III, da LGPD.

17. Responsabilidade, Solidariedade e Regresso

17.1. Cada Parte responde pelos danos decorrentes do descumprimento de suas obrigações sob este DPA e a legislação aplicável (arts. 42 a 44 da LGPD).

17.2. As Partes reconhecem a responsabilidade solidária perante o titular nas hipóteses do art. 42, §1º, da LGPD, observadas as excludentes do art. 43 (não realização do tratamento, ausência de violação ou culpa exclusiva do titular ou de terceiro).

17.3. Cláusula de regresso: a Parte que vier a ser compelida a reparar dano causado ao titular terá direito de regresso contra a outra Parte na proporção de sua culpa na causação do dano, nos termos do art. 42, §4º, da LGPD e dos arts. 389, 402 e 927 do Código Civil (Lei nº 10.406/2002).

17.4. Eventuais limitações de responsabilidade previstas no Contrato Principal não se aplicam às obrigações de confidencialidade, às hipóteses de dolo ou culpa grave, nem às indenizações devidas diretamente aos titulares por força de lei. Eventual teto global de responsabilidade entre as Partes, quando existente, será o previsto no Contrato Principal.

18. Vigência e Sobrevivência

18.1. Este DPA vigora enquanto perdurar o Contrato Principal e enquanto o Operador tratar dados pessoais por conta do Controlador.

18.2. Sobrevivem ao término deste Adendo, pelo prazo necessário, as obrigações de confidencialidade (Cláusula 8), de eliminação e comprovação (Cláusula 16), de guarda legal e de responsabilidade (Cláusula 17).

19. Alterações do Adendo

19.1. O Operador poderá atualizar este DPA para refletir alterações legislativas, regulatórias ou técnicas. Alterações materiais serão comunicadas ao Controlador com antecedência razoável e disponibilizadas na plataforma, indicando-se a nova data de vigência.

19.2. O uso continuado dos serviços após a entrada em vigor da nova versão, ou o aceite eletrônico, valerá como concordância com as alterações, ressalvado ao Controlador o direito de oposição fundada e, não havendo solução, de rescisão sem ônus adicional, nos termos da Cláusula 16.

20. Lei Aplicável e Foro

20.1. Este DPA é regido pela legislação brasileira, em especial a LGPD (Lei nº 13.709/2018) e os atos normativos da ANPD, o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e o Código Civil (Lei nº 10.406/2002).

20.2. Fica eleito o foro da comarca de [CIDADE/UF - FORO] para dirimir quaisquer controvérsias decorrentes deste Adendo, com renúncia a qualquer outro, por mais privilegiado que seja.

ANEXO I — Descrição do Tratamento (art. 37 da LGPD)

Categorias de Titulares:

  • Clientes finais (consumidores) da Oficina;
  • Condutores/proprietários de veículos vinculados às ordens de serviço;
  • Contatos comerciais e demais pessoas naturais inseridas pela Oficina.

Categorias de Dados Pessoais:

  • Dados de identificação e contato: nome, CPF/CNPJ, telefone, e-mail, endereço, data de nascimento;
  • Dados de veículo: placa, chassi, modelo, ano, histórico de serviços;
  • Dados de transação e pagamento (processados via gateway): valores, status e identificadores de cobrança;
  • Conteúdo de comunicações: mensagens via WhatsApp e e-mail;
  • Dados de uso e registros de acesso à aplicação.

Dados Sensíveis: Em regra, não há tratamento de dados sensíveis. Caso a Oficina insira tal categoria, assumirá integralmente a responsabilidade pela base legal específica (art. 11 da LGPD).

Dados de Crianças e Adolescentes: O tratamento não é destinado a menores. Eventual inserção é de responsabilidade do Controlador, observado o art. 14 da LGPD.

Finalidades: prestação dos serviços de gestão de ordens de serviço, agendamento, comunicação com clientes, cobrança e histórico de atendimento, exclusivamente conforme determinado pelo Controlador.

Natureza do Tratamento: coleta, armazenamento, organização, consulta, processamento, transmissão e eliminação.

Decisões Automatizadas: [DECLARAR: NÃO há / há] tratamento que produza decisões unicamente automatizadas com efeitos relevantes ao titular (art. 20 da LGPD).

Duração: enquanto vigente o Contrato Principal, observadas as Cláusulas 16 (devolução/eliminação) e suas ressalvas de guarda legal.

ANEXO II — Medidas de Segurança (arts. 46 e 47 da LGPD)

Medidas Técnicas:

  • Criptografia em trânsito (TLS) e em repouso;
  • Controle de acesso por perfis (RBAC) e autenticação de usuários;
  • Segregação lógica multi-tenant (isolamento de dados por Oficina);
  • Logs de auditoria e monitoramento de eventos;
  • Backups periódicos e plano de recuperação;
  • Gestão de vulnerabilidades e atualização de componentes.

Medidas Administrativas:

  • Políticas internas de segurança da informação;
  • Termos de confidencialidade para colaboradores e prestadores;
  • Procedimentos de resposta a incidentes;
  • Controle de acesso pelo princípio do "need to know".

Localização do Tratamento: [INDICAR REGIÕES/PAÍSES DOS SERVIDORES], com salvaguardas para transferência internacional conforme arts. 33 e 34 da LGPD e Resolução CD/ANPD nº 19/2024.

ANEXO III — Lista de Subprocessadores e Terceiros

Subprocessadores (tratam dados por conta do Operador):

| Subprocessador | Finalidade | Localização do Tratamento | Salvaguarda | |---|---|---|---| | Supabase (infraestrutura e banco de dados) | Hospedagem e armazenamento | [REGIÃO/PAÍS] | Cláusulas contratuais / art. 33, LGPD; Res. CD/ANPD 19/2024 | | WhatsApp / Meta Platforms | Mensageria com clientes | [REGIÃO/PAÍS] | Cláusulas contratuais / art. 33, LGPD; Res. CD/ANPD 19/2024 | | [PROVEDOR DE E-MAIL] | Envio de comunicações por e-mail | [REGIÃO/PAÍS] | Contrato equivalente |

Terceiros que atuam como Controladores Independentes (não subprocessadores):

| Terceiro | Papel | Finalidade própria | Base de compartilhamento | |---|---|---|---| | [GATEWAY DE PAGAMENTO, ex.: Asaas] | Controlador independente | Processamento de pagamentos, prevenção a fraude e cumprimento de obrigações regulatórias | Cumprimento de obrigação legal/regulatória e execução de contrato (arts. 7º, II e V, LGPD) |

*A lista poderá ser atualizada pelo Operador conforme a Cláusula 10.*

AVISO: Esta é uma minuta técnica gerada com base na legislação vigente e NÃO constitui aconselhamento jurídico. Deve ser revisada por advogado(a) antes da publicação.