MaitauVoltar ao app

Adendo de Proteção de Dados (DPA) — LGPD

Anexo ao Contrato de Prestação de Serviços entre a Empresa-Cliente e a Maitau. Modelo preenchido e assinado por cliente.

Partes

  • CONTROLADORA (Cliente): [RAZÃO SOCIAL DO CLIENTE], CNPJ [CNPJ], doravante “Controladora”.
  • OPERADORA (Maitau): 67.231.485 LEONARDO CESAR CORBI (marca Maitau), CNPJ 67.231.485/0001-03, com sede na Rua Francisco Marcondes Vieira, 3, Apt 154, Bloco 2, São Paulo/SP, CEP 05639-090, doravante “Operadora”.

Este Adendo integra e está vinculado ao Contrato de Prestação de Serviçosfirmado entre as Partes (“Contrato Principal”) e rege o tratamento de dados pessoais realizado pela Operadora em nome da Controladora, nos termos da Lei nº 13.709/2018 (LGPD).

1. Definições

Os termos dado pessoal, dado pessoal sensível, titular, tratamento, controlador, operador, encarregado, incidente de segurança e ANPD têm o significado da LGPD.

2. Objeto e papéis

2.1. A Operadora trata dados pessoais exclusivamente em nome e segundo as instruções da Controladora, para a finalidade de prestar os serviços da plataforma app.maitau.com e das automações contratadas (Anexo I).

2.2. A Controladora é a controladora dos dados pessoais tratados por meio da plataforma e das automações (define finalidades e meios). A Operadora é a operadora desses dados.

2.3. Quanto aos dados de cadastro e uso da própria plataforma (contas de acesso dos usuários da Controladora), a Operadora atua como controladora, regida por sua Política de Privacidade.

3. Instruções de tratamento

3.1. A Operadora tratará os dados pessoais somente conforme: (i) este Adendo; (ii) o Contrato Principal; e (iii) instruções documentadas da Controladora.

3.2. A Operadora não usará os dados para finalidades próprias, nem os comercializará. Caso uma instrução pareça violar a LGPD, a Operadora informará a Controladora.

4. Obrigações da Operadora

A Operadora compromete-se a:

  • a) tratar os dados apenas conforme a cláusula 3 e o Anexo I;
  • b) garantir o dever de confidencialidade de quem tiver acesso aos dados;
  • c) adotar medidas de segurança técnicas e administrativas (art. 46 da LGPD), descritas no Anexo III;
  • d) auxiliar a Controladora a responder às requisições dos titulares (seção 8) e às solicitações da ANPD;
  • e) comunicar incidentes de segurança conforme a seção 7;
  • f) ao término, eliminar ou devolver os dados conforme a seção 9;
  • g) manter registro das operações de tratamento que realiza em nome da Controladora;
  • h) utilizar suboperadores apenas conforme a seção 5.

5. Suboperadores

5.1. A Controladora autoriza a Operadora a utilizar os suboperadores listados no Anexo II para a prestação do serviço.

5.2. A Operadora garante que cada suboperador esteja submetido a obrigações de proteção de dados compatíveis com este Adendo.

5.3. A Operadora informará a Controladora sobre a inclusão ou substituição de suboperadores, que poderá se opor por motivo legítimo, em até 15 dias.

5.4. A Operadora permanece responsável perante a Controladora pelos atos de seus suboperadores.

6. Transferência internacional

Quando o tratamento envolver suboperadores fora do Brasil (Anexo II), a transferência observará o art. 33 da LGPD, mediante garantias de nível de proteção adequado e cláusulas contratuais apropriadas.

7. Incidentes de segurança

7.1. A Operadora notificará a Controladora sobre incidente de segurança que possa acarretar risco ou dano aos titulares sem demora injustificada, em até 5 dias úteis após tomar conhecimento, fornecendo as informações disponíveis (natureza, dados e titulares afetados, medidas tomadas).

7.2. A comunicação à ANPD e aos titulares, quando cabível (art. 48 da LGPD), é responsabilidade da Controladora, com o auxílio da Operadora.

8. Direitos dos titulares

A Operadora auxiliará a Controladora a atender, dentro dos prazos legais, as requisições de titulares previstas no art. 18 da LGPD (acesso, correção, eliminação, portabilidade, etc.). Recebendo uma requisição diretamente, a Operadora a encaminhará à Controladora e não responderá por conta própria, salvo instrução.

9. Término — eliminação ou devolução

9.1. Encerrado o tratamento ou o Contrato Principal, a Operadora, conforme instrução da Controladora, eliminará ou devolverá os dados pessoais e eliminará as cópias existentes, em até 30 dias, salvo obrigação legal de retenção (art. 16 da LGPD).

9.2. A Operadora confirmará a eliminação por escrito, se solicitado.

10. Segurança e auditoria

10.1. As medidas de segurança constam do Anexo III.

10.2. A Operadora disponibilizará à Controladora, mediante solicitação razoável, informações necessárias para demonstrar o cumprimento deste Adendo.

11. Responsabilidade

As Partes respondem nos termos dos arts. 42 a 45 da LGPD. Eventuais limitações de responsabilidade do Contrato Principal aplicam-se a este Adendo, salvo disposição legal em contrário. (Cláusula a calibrar com advogado.)

12. Vigência e foro

12.1. Este Adendo vigora enquanto durar o tratamento de dados em nome da Controladora e enquanto vigente o Contrato Principal, ao qual se vincula.

12.2. Em caso de conflito sobre proteção de dados, prevalece este Adendo sobre o Contrato Principal.

12.3. Foro: [COMARCA], conforme o Contrato Principal.


Anexo I — Descrição do tratamento

ItemDescrição
Natureza e finalidadeOperação de automações e do painel da plataforma para a Controladora
Tipos de dados pessoaisNome, e-mail, telefone/WhatsApp, dados operacionais das automações, conteúdo de mensagens tratadas pelas automações e, na Fase 2, documentos enviados pelos clientes da Controladora, que podem conter dados pessoais de terceiros
Categorias de titularesFuncionários/representantes da Controladora e clientes finais da Controladora
DuraçãoEnquanto vigente o Contrato Principal

Anexo II — Suboperadores autorizados

SuboperadorFinalidadeLocal
SupabaseBanco de dados e autenticaçãoRegião São Paulo, Brasil
VercelHospedagem da aplicaçãoEstados Unidos (transf. internacional)
ResendEnvio de e-mail em nome da ControladoraEstados Unidos (transf. internacional)
HostingerInfraestrutura do motor de automação (n8n)Brasil
Evolution API (self-hosted)Conexão de WhatsApp das automaçõesBrasil (mesma VPS do motor de automação)

Anexo III — Medidas de segurança

Criptografia de credenciais; isolamento de dados entre clientes (multi-tenant com Row-Level Security); controle de acesso por papel (RBAC); transmissão cifrada (HTTPS/TLS); cabeçalhos de segurança; limitação de tentativas (rate limiting); segregação de tokens de integração por cliente; registro de eventos e erros; restrição de acesso de pessoal ao mínimo necessário.


E, por estarem de acordo, as Partes assinam este Adendo.

CONTROLADORA: __________________________ Data: ______
[RAZÃO SOCIAL DO CLIENTE]

OPERADORA: __________________________ Data: ______
Maitau — 67.231.485 LEONARDO CESAR CORBI

Termos de Uso·Política de Privacidade·DPA / LGPD·Voltar ao app