Adendo de Proteção de Dados (DPA) — LGPD
Anexo ao Contrato de Prestação de Serviços entre a Empresa-Cliente e a Maitau. Modelo preenchido e assinado por cliente.
Partes
- CONTROLADORA (Cliente): [RAZÃO SOCIAL DO CLIENTE], CNPJ [CNPJ], doravante “Controladora”.
- OPERADORA (Maitau): 67.231.485 LEONARDO CESAR CORBI (marca Maitau), CNPJ 67.231.485/0001-03, com sede na Rua Francisco Marcondes Vieira, 3, Apt 154, Bloco 2, São Paulo/SP, CEP 05639-090, doravante “Operadora”.
Este Adendo integra e está vinculado ao Contrato de Prestação de Serviçosfirmado entre as Partes (“Contrato Principal”) e rege o tratamento de dados pessoais realizado pela Operadora em nome da Controladora, nos termos da Lei nº 13.709/2018 (LGPD).
1. Definições
Os termos dado pessoal, dado pessoal sensível, titular, tratamento, controlador, operador, encarregado, incidente de segurança e ANPD têm o significado da LGPD.
2. Objeto e papéis
2.1. A Operadora trata dados pessoais exclusivamente em nome e segundo as instruções da Controladora, para a finalidade de prestar os serviços da plataforma app.maitau.com e das automações contratadas (Anexo I).
2.2. A Controladora é a controladora dos dados pessoais tratados por meio da plataforma e das automações (define finalidades e meios). A Operadora é a operadora desses dados.
2.3. Quanto aos dados de cadastro e uso da própria plataforma (contas de acesso dos usuários da Controladora), a Operadora atua como controladora, regida por sua Política de Privacidade.
3. Instruções de tratamento
3.1. A Operadora tratará os dados pessoais somente conforme: (i) este Adendo; (ii) o Contrato Principal; e (iii) instruções documentadas da Controladora.
3.2. A Operadora não usará os dados para finalidades próprias, nem os comercializará. Caso uma instrução pareça violar a LGPD, a Operadora informará a Controladora.
4. Obrigações da Operadora
A Operadora compromete-se a:
- a) tratar os dados apenas conforme a cláusula 3 e o Anexo I;
- b) garantir o dever de confidencialidade de quem tiver acesso aos dados;
- c) adotar medidas de segurança técnicas e administrativas (art. 46 da LGPD), descritas no Anexo III;
- d) auxiliar a Controladora a responder às requisições dos titulares (seção 8) e às solicitações da ANPD;
- e) comunicar incidentes de segurança conforme a seção 7;
- f) ao término, eliminar ou devolver os dados conforme a seção 9;
- g) manter registro das operações de tratamento que realiza em nome da Controladora;
- h) utilizar suboperadores apenas conforme a seção 5.
5. Suboperadores
5.1. A Controladora autoriza a Operadora a utilizar os suboperadores listados no Anexo II para a prestação do serviço.
5.2. A Operadora garante que cada suboperador esteja submetido a obrigações de proteção de dados compatíveis com este Adendo.
5.3. A Operadora informará a Controladora sobre a inclusão ou substituição de suboperadores, que poderá se opor por motivo legítimo, em até 15 dias.
5.4. A Operadora permanece responsável perante a Controladora pelos atos de seus suboperadores.
6. Transferência internacional
Quando o tratamento envolver suboperadores fora do Brasil (Anexo II), a transferência observará o art. 33 da LGPD, mediante garantias de nível de proteção adequado e cláusulas contratuais apropriadas.
7. Incidentes de segurança
7.1. A Operadora notificará a Controladora sobre incidente de segurança que possa acarretar risco ou dano aos titulares sem demora injustificada, em até 5 dias úteis após tomar conhecimento, fornecendo as informações disponíveis (natureza, dados e titulares afetados, medidas tomadas).
7.2. A comunicação à ANPD e aos titulares, quando cabível (art. 48 da LGPD), é responsabilidade da Controladora, com o auxílio da Operadora.
8. Direitos dos titulares
A Operadora auxiliará a Controladora a atender, dentro dos prazos legais, as requisições de titulares previstas no art. 18 da LGPD (acesso, correção, eliminação, portabilidade, etc.). Recebendo uma requisição diretamente, a Operadora a encaminhará à Controladora e não responderá por conta própria, salvo instrução.
9. Término — eliminação ou devolução
9.1. Encerrado o tratamento ou o Contrato Principal, a Operadora, conforme instrução da Controladora, eliminará ou devolverá os dados pessoais e eliminará as cópias existentes, em até 30 dias, salvo obrigação legal de retenção (art. 16 da LGPD).
9.2. A Operadora confirmará a eliminação por escrito, se solicitado.
10. Segurança e auditoria
10.1. As medidas de segurança constam do Anexo III.
10.2. A Operadora disponibilizará à Controladora, mediante solicitação razoável, informações necessárias para demonstrar o cumprimento deste Adendo.
11. Responsabilidade
As Partes respondem nos termos dos arts. 42 a 45 da LGPD. Eventuais limitações de responsabilidade do Contrato Principal aplicam-se a este Adendo, salvo disposição legal em contrário. (Cláusula a calibrar com advogado.)
12. Vigência e foro
12.1. Este Adendo vigora enquanto durar o tratamento de dados em nome da Controladora e enquanto vigente o Contrato Principal, ao qual se vincula.
12.2. Em caso de conflito sobre proteção de dados, prevalece este Adendo sobre o Contrato Principal.
12.3. Foro: [COMARCA], conforme o Contrato Principal.
Anexo I — Descrição do tratamento
| Item | Descrição |
|---|---|
| Natureza e finalidade | Operação de automações e do painel da plataforma para a Controladora |
| Tipos de dados pessoais | Nome, e-mail, telefone/WhatsApp, dados operacionais das automações, conteúdo de mensagens tratadas pelas automações e, na Fase 2, documentos enviados pelos clientes da Controladora, que podem conter dados pessoais de terceiros |
| Categorias de titulares | Funcionários/representantes da Controladora e clientes finais da Controladora |
| Duração | Enquanto vigente o Contrato Principal |
Anexo II — Suboperadores autorizados
| Suboperador | Finalidade | Local |
|---|---|---|
| Supabase | Banco de dados e autenticação | Região São Paulo, Brasil |
| Vercel | Hospedagem da aplicação | Estados Unidos (transf. internacional) |
| Resend | Envio de e-mail em nome da Controladora | Estados Unidos (transf. internacional) |
| Hostinger | Infraestrutura do motor de automação (n8n) | Brasil |
| Evolution API (self-hosted) | Conexão de WhatsApp das automações | Brasil (mesma VPS do motor de automação) |
Anexo III — Medidas de segurança
Criptografia de credenciais; isolamento de dados entre clientes (multi-tenant com Row-Level Security); controle de acesso por papel (RBAC); transmissão cifrada (HTTPS/TLS); cabeçalhos de segurança; limitação de tentativas (rate limiting); segregação de tokens de integração por cliente; registro de eventos e erros; restrição de acesso de pessoal ao mínimo necessário.
E, por estarem de acordo, as Partes assinam este Adendo.
CONTROLADORA: __________________________ Data: ______
[RAZÃO SOCIAL DO CLIENTE]
OPERADORA: __________________________ Data: ______
Maitau — 67.231.485 LEONARDO CESAR CORBI