CONTRATO DE TRATAMENTO DE DADOS PESSOAIS (DPA)
Este documento integra os Termos e Condições de Uso do Sidor e os complementa naquilo que se refere ao tratamento de dados pessoais realizado pelo Fornecedor em nome do Contratante, conforme Lei nº 13.709/2018 (LGPD).
Versão: 1.0 Data de vigência: Início da prestação dos serviços contratados.
1. Partes
OPERADOR (Operador dos dados pessoais): [NOME COMPLETO DO RESPONSÁVEL], advogado, OAB/[UF] [Nº], CPF [CPF], com endereço profissional na [RUA E NÚMERO], [BAIRRO], [CIDADE/UF], CEP [CEP] — doravante "Sidor" ou "Operador".
CONTROLADOR (Controlador dos dados pessoais): A pessoa física ou jurídica que contrata o Sidor — doravante "Contratante" ou "Controlador", e cuja qualificação completa consta do contrato principal de prestação de serviços.
2. Objeto e enquadramento legal
2.1. Este instrumento regula o tratamento de Dados Pessoais que o Operador realiza em nome e sob instruções do Controlador, no âmbito da prestação dos serviços do software Sidor (CRM com inteligência artificial integrada ao WhatsApp).
2.2. O presente contrato segue:
(a) a Lei nº 13.709/2018 (LGPD), em especial os arts. 5º, VI e VII (definições de controlador e operador), 35 (sub-operadores), 39 (responsabilidades do operador), 42 a 45 (responsabilização) e 48 (incidentes); e (b) os regulamentos da Autoridade Nacional de Proteção de Dados (ANPD) em vigor.
3. Definições
Para os fins deste DPA:
- Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável (LGPD art. 5º, I).
- Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (LGPD art. 5º, II).
- Titular: pessoa natural a quem se referem os Dados Pessoais.
- Tratamento: toda operação realizada com Dados Pessoais (LGPD art. 5º, X).
- Sub-operador: terceiro contratado pelo Operador para executar parte do tratamento em nome do Controlador.
- Incidente de Segurança: ocorrência de acesso não autorizado, alteração, eliminação, perda ou divulgação indevida de Dados Pessoais.
4. Detalhes do tratamento
4.1. Categorias de titulares
- Clientes finais do Controlador (pessoas físicas que se relacionam com o escritório-cliente: leads, clientes contratantes, ex-clientes).
- Eventualmente, terceiros mencionados em mensagens ou documentos enviados pelos clientes finais (ex.: empregadores, dependentes).
4.2. Categorias de Dados Pessoais
| Categoria | Exemplos |
|---|---|
| Identificação | Nome, CPF, RG, data de nascimento |
| Contato | Telefone (com DDD/DDI), e-mail, endereço |
| Profissionais | Profissão, estado civil, vínculos empregatícios |
| Comunicação | Conteúdo de mensagens (texto, áudio transcrito), imagens, documentos enviados |
| Previdenciários | Extratos do INSS (CNIS), histórico contributivo, salários |
| Trabalhistas | TRCT, holerites, cartão de ponto, valores de rescisão |
| Financeiros operacionais | Comprovantes de Pix, valores cobrados |
| Sensíveis (eventual) | Saúde (em ações previdenciárias por incapacidade), filiação sindical (ações trabalhistas), origem racial (raros casos) |
| Credenciais (quando voluntariamente compartilhadas pelo titular) | Senha de acesso a sistemas governamentais (ex.: GOV.BR), tokens de procuração |
4.3. Finalidades do tratamento
O tratamento limita-se às seguintes finalidades, todas determinadas pelo Controlador:
(a) atendimento ao cliente final via WhatsApp (mensagens automatizadas e humanas); (b) qualificação e organização do funil de captação; (c) análise técnica preliminar de documentos (CNIS, TRCT, etc.) para apoio à atuação advocatícia do Controlador; (d) emissão e envio de contratos de prestação de serviços e procurações via assinatura eletrônica; (e) cobrança de honorários e taxas de análise via Pix; (f) registro de atividades para fins de auditoria, segurança e cumprimento legal.
4.4. Duração do tratamento
O tratamento ocorre durante toda a vigência do contrato principal de prestação de serviços, podendo ser estendido por períodos adicionais para:
- 30 (trinta) dias após rescisão, para que o Controlador exporte seus dados;
- prazos legalmente exigidos para retenção de logs (mínimo 6 meses, Marco Civil art. 15) e demais obrigações regulatórias.
5. Obrigações do Operador (Sidor)
5.1. O Operador obriga-se a:
(a) tratar os Dados Pessoais somente para as finalidades descritas no item 4.3, sob instruções documentadas do Controlador;
(b) não usar os Dados Pessoais para finalidades próprias, incluindo, mas não se limitando a, treinamento de modelos de IA, benchmarks, marketing direto ou cessão a terceiros;
(c) manter sigilo sobre os Dados Pessoais, exigindo o mesmo compromisso de seus colaboradores e prepostos;
(d) adotar medidas técnicas e organizacionais de segurança aptas a proteger os dados, conforme art. 46 da LGPD, especialmente:
- criptografia em trânsito (TLS 1.2 ou superior);
- hash criptográfico para senhas armazenadas (algoritmo scrypt);
- mascaramento de CPF nas listagens com revelação auditada;
- controle de acesso por papéis e autenticação obrigatória;
- rate limiting em endpoints sensíveis;
- audit log de eventos relevantes;
- backups diários com retenção controlada;
- aplicação tempestiva de atualizações de segurança;
(e) não envolver Sub-operador sem comunicação prévia ao Controlador nos termos da Cláusula 8;
(f) auxiliar o Controlador a atender solicitações de Titulares (LGPD art. 18) — em até 5 (cinco) dias úteis a partir da comunicação;
(g) notificar o Controlador, em até 24 (vinte e quatro) horas do conhecimento, sobre Incidente de Segurança que envolva os Dados Pessoais sob sua responsabilidade — fornecendo:
- descrição da natureza do incidente;
- categorias e quantidade aproximada de titulares afetados;
- categorias e quantidade aproximada de Dados Pessoais afetados;
- medidas adotadas e a adotar para mitigar efeitos;
- dados de contato do Encarregado (DPO);
(h) cooperar com a ANPD e demais autoridades, quando demandado, informando o Controlador previamente sempre que possível;
(i) eliminar ou devolver os Dados Pessoais ao final do tratamento, nos termos da Cláusula 10.
6. Obrigações do Controlador
6.1. O Controlador obriga-se a:
(a) possuir base legal lícita para todo Dado Pessoal que insira ou autorize que seja inserido na Plataforma (LGPD art. 7º ou 11);
(b) atender diretamente os Titulares quanto ao exercício dos direitos do art. 18 da LGPD, podendo solicitar auxílio operacional do Operador conforme Cláusula 5.1.f;
(c) manter registros (RoPA — Registros de Operações de Tratamento) atualizados sobre o tratamento que realiza, conforme art. 37 da LGPD;
(d) fornecer aos Titulares informações claras sobre o tratamento realizado, especialmente no primeiro contato no WhatsApp, podendo utilizar o aviso LGPD configurável da Plataforma;
(e) responsabilizar-se por instruções dadas ao Operador, isentando-o de responsabilidade por tratamento realizado em estrita observância dessas instruções, salvo comprovada má-fé do Operador;
(f) manter contratos adequados com seus próprios prestadores de serviço que tratem os mesmos dados (Astrea, contadores, peritos, etc.);
(g) comunicar prontamente qualquer alteração relevante (mudança de finalidades, bases legais, etc.) que demande adaptação no tratamento.
7. Sub-operadores autorizados
7.1. O Controlador autoriza expressamente o Operador a envolver, para a execução do tratamento, os seguintes Sub-operadores:
| Sub-operador | Função | País | Documento de governança |
|---|---|---|---|
| Anthropic PBC | Modelo Claude (geração de respostas, transcrição) | EUA | Termos de Uso e DPA da Anthropic + Cláusulas de transferência |
| Railway Corp. | Hospedagem da Plataforma | EUA | Termos de Uso Railway + DPA padrão |
| Resend Inc. | E-mails transacionais | EUA | Termos de Uso Resend |
| ZapSign Tecnologia | Assinatura eletrônica de documentos | Brasil | Termos de Uso ZapSign |
| Asaas Gestão Financeira | Cobrança via Pix (quando ativada) | Brasil | Termos de Uso Asaas |
| Meta Platforms Ireland | Conversions API (quando ativada) | Irlanda | Termos da Meta + transferência |
| Groq Inc. | Transcrição de áudio (quando ativada) | EUA | Termos de Uso Groq |
7.2. Antes de envolver novo Sub-operador ou substituir um da lista acima, o Operador comunicará o Controlador com antecedência mínima de 15 (quinze) dias. O Controlador poderá, durante esse prazo, manifestar oposição fundamentada, hipótese em que as partes negociarão solução técnica equivalente.
7.3. O Operador exige dos Sub-operadores obrigações equivalentes às deste DPA, conforme art. 39 da LGPD, e responde solidariamente pelo descumprimento por parte deles.
8. Transferência internacional
8.1. As partes reconhecem que parte do tratamento ocorre em servidores fora do Brasil (EUA e Irlanda — vide Sub-operadores na Cláusula 7).
8.2. O Operador adota mecanismos de adequação previstos no art. 33 da LGPD, especialmente:
(a) cláusulas contratuais específicas (Standard Contractual Clauses ou equivalentes) com cada Sub-operador internacional; (b) avaliação contínua do nível de proteção do país de destino; (c) certificações ou códigos de conduta reconhecidos, quando aplicáveis.
8.3. O Operador disponibilizará, sob solicitação, cópia ou referência dos instrumentos firmados com cada Sub-operador.
9. Auditoria
9.1. O Controlador poderá auditar o cumprimento deste DPA, mediante:
(a) questionário escrito anual, respondido pelo Operador em até 30 dias; (b) auditoria presencial ou remota, com aviso prévio de 30 (trinta) dias, em horário comercial, sem prejudicar a operação normal — limitada a uma auditoria por ano, salvo em caso de Incidente de Segurança ou suspeita fundada de descumprimento.
9.2. As partes acordarão escopo, prazo e auditor (que pode ser terceiro independente), com custo a cargo do Controlador, salvo quando a auditoria comprovar descumprimento relevante pelo Operador, hipótese em que o Operador arca com os custos.
9.3. O auditor firma compromisso de confidencialidade compatível com este DPA antes de iniciar trabalhos.
10. Eliminação ou devolução ao final
10.1. Ao final do contrato principal de prestação de serviços, o Controlador poderá optar, em até 30 (trinta) dias, por:
(a) devolução dos Dados Pessoais em formato aberto (CSV/JSON, incluindo anexos); ou (b) eliminação definitiva dos Dados Pessoais.
10.2. Padrão (default): caso o Controlador não se manifeste em 30 dias, o Operador procede à eliminação definitiva, mantendo apenas o estritamente necessário para cumprir obrigações legais (logs do art. 15 do Marco Civil — 6 meses; obrigações fiscais — 5 anos para dados de cobrança; etc.).
10.3. A eliminação envolve:
(a) banco de dados da Instância; (b) backups armazenados em provedor de nuvem; (c) sessão Baileys (autenticação WhatsApp); (d) anexos armazenados em volume de disco; (e) caches em memória.
10.4. O Operador emite Declaração de Eliminação ao Controlador, certificando o cumprimento.
11. Responsabilização
11.1. As partes reconhecem que, nos termos do art. 42 da LGPD, respondem solidariamente pelos danos causados ao Titular quando:
(a) o Operador agir fora ou descumprir as instruções lícitas do Controlador; (b) houver descumprimento das obrigações de segurança previstas neste DPA.
11.2. Em caso de condenação solidária, fica resguardado o direito de regresso entre Operador e Controlador, conforme as respectivas parcelas de culpa.
11.3. Cada parte mantém registros documentais das próprias condutas (instruções, configurações, alterações), elementos fundamentais para apuração de regresso.
12. Vigência
12.1. Este DPA vigora pelo mesmo período do contrato principal, e se prorroga automaticamente para abranger:
(a) o prazo de eliminação ou devolução (Cláusula 10); (b) os prazos de retenção legalmente exigidos; (c) eventuais procedimentos administrativos ou judiciais em curso relativos ao tratamento ocorrido durante a vigência.
13. Disposições finais
13.1. Em caso de divergência entre este DPA e o contrato principal, prevalece este DPA quanto a tratamento de dados pessoais.
13.2. Atualizações deste DPA, motivadas por evolução regulatória ou operacional, serão comunicadas ao Controlador com antecedência mínima de 30 (trinta) dias, com possibilidade de rescisão sem ônus adicional caso o Controlador não concorde.
13.3. As partes elegem o foro da Comarca de [CIDADE/UF] para dirimir controvérsias, sem prejuízo da competência da ANPD para matérias administrativas.