1. Partes
Controlador de Dados
Você, o cliente
Processador de Dados
ClientFlow
1.1 Escopo do Processamento
Este DPA se aplica ao processamento de dados pessoais quando:
- O ClientFlow processa dados pessoais em nome do Controlador como parte da prestação do Serviço
- O processamento está relacionado ao gerenciamento dos relacionamentos com clientes do Controlador
- Os titulares dos dados são os clientes e contatos comerciais do Controlador
Atividades de Processamento
- Armazenamento e organização de informações de contato de clientes
- Registro e rastreamento de transações de pagamento
- Envio de comunicações autorizadas (lembretes, notificações)
- Geração de análises e relatórios baseados em dados agregados
2. Categorias de Dados
| Categoria | Exemplos | Finalidade |
|---|---|---|
| Dados da Conta | E-mail, nome, foto de perfil | Acesso ao serviço |
| Dados de Clientes | Nomes de clientes, telefones, e-mails | Funcionalidade CRM |
| Registros de Pagamento | Valores, datas, status | Rastreamento de pagamentos |
| Dados de Uso | Horários de login, uso de recursos | Segurança, melhoria |
3. Obrigações do Processador
Nós Iremos:
- Processar dados apenas mediante suas instruções documentadas
- Garantir que o pessoal esteja vinculado por confidencialidade
- Implementar medidas de segurança apropriadas
- Auxiliar com solicitações de titulares de dados
- Notificá-lo de violações de dados dentro de 72 horas
- Excluir dados após a rescisão (após o período de retenção)
4. Medidas de Segurança
Técnicas
- TLS 1.3 (trânsito)
- AES-256 (repouso)
- Autenticação OAuth 2.0
- Controle de acesso baseado em funções
- Monitoramento em tempo real
Organizacionais
- Políticas de segurança
- Plano de resposta a incidentes
- Auditorias regulares
- Revisões de segurança de fornecedores
- Treinamento de funcionários
5. Sub-processadores
Usamos os seguintes sub-processadores autorizados:
| Provedor | Serviço | Localização | DPF |
|---|---|---|---|
| Google Cloud | Autenticação | EUA | Sim |
| iyzico | Pagamentos | Turquia | CCPs |
| Meta (WhatsApp) | Mensagens | EUA | Sim |
| Reenviar | EUA | CCPs | |
| Hetzner | Hospedagem e Banco de Dados | Alemanha (UE) | CCPs |
| Cloudflare | CDN e Armazenamento | UE | Sim |
DPF = Certificado pelo Marco de Privacidade de Dados UE-EUA
Alterações de Sub-processadores
Notificaremos você de quaisquer alterações pretendidas aos sub-processadores:
- Pelo menos 14 dias de aviso prévio antes de adicionar ou substituir sub-processadores
- Notificação por e-mail para o endereço de e-mail registrado da sua conta
- Você pode se opor às alterações dentro de 14 dias entrando em contato conosco
- Se sua objeção não puder ser resolvida, você pode encerrar os serviços afetados
5.1 Direitos de Auditoria
O Controlador tem o direito de verificar a conformidade com este DPA:
- Solicitar documentação e certificações relevantes
- Realizar auditorias com pelo menos 30 dias de aviso por escrito
- As auditorias devem ser realizadas durante o horário comercial normal
- O auditor deve assinar um acordo de confidencialidade
Escopo da Auditoria
- Medidas de segurança e salvaguardas técnicas
- Conformidade de sub-processadores
- Procedimentos de tratamento de dados
- Capacidades de resposta a incidentes
Os custos das auditorias serão suportados pelo Controlador, a menos que a auditoria revele não conformidade material.
6. Retenção e Exclusão de Dados
Seus dados são preservados para recuperação de conta e conformidade regulatória.
| Cronograma | Ação |
|---|---|
| Imediatamente | Conta desativada |
| Indefinido | Dados preservados (arquivados) |
| A qualquer momento | Conta pode ser reativada |
7. Disposições CCPA
Sob a CCPA, atuamos como um "Provedor de Serviços" e:
- Processamos dados apenas para fins comerciais especificados
- Não vendemos informações pessoais
- Auxiliamos com solicitações de direitos do consumidor
- Implementamos medidas de segurança razoáveis
8. Notificação de Violação de Dados
No caso de uma violação de dados pessoais, comprometemo-nos com o seguinte:
Cronograma de Notificação
- Notificá-lo dentro de 72 horas após tomar conhecimento de uma violação
- Fornecer avaliação inicial do escopo e impacto da violação
- Entregar notificação detalhada por escrito dentro de 5 dias úteis
Conteúdo da Notificação
- Natureza da violação incluindo categorias e número aproximado de titulares de dados afetados
- Nome e detalhes de contato do nosso Responsável pela Proteção de Dados
- Descrição das prováveis consequências da violação
- Medidas tomadas ou propostas para abordar a violação
- Medidas para mitigar possíveis efeitos adversos
Cooperaremos plenamente com sua investigação e quaisquer consultas regulatórias, e auxiliaremos com notificações de violação às autoridades supervisoras e indivíduos afetados conforme exigido pela lei aplicável.
9. Transferências Internacionais de Dados
Quando dados pessoais são transferidos para fora do Espaço Econômico Europeu (EEE), garantimos salvaguardas apropriadas:
Mecanismos de Transferência
Decisões de Adequação da UE
Transferências para países considerados adequados pela Comissão Europeia
Marco de Privacidade de Dados UE-EUA
Para processadores sediados nos EUA certificados sob o DPF
Cláusulas Contratuais Padrão (SCCs)
Cláusulas aprovadas pela Comissão da UE (versão 2021) para outras transferências
Realizamos avaliações de impacto de transferência quando necessário e implementamos medidas suplementares (técnicas, organizacionais e contratuais) quando necessário para garantir um nível essencialmente equivalente de proteção.
Você pode solicitar cópias dos mecanismos de transferência relevantes mediante solicitação.
10. Responsabilidade e Indenização
Responsabilidade do Processador
O ClientFlow será responsável por danos causados por processamento que não esteja em conformidade com este DPA ou quando agirmos fora ou contrariamente às instruções legais do Controlador.
Responsabilidade do Controlador
O Controlador será responsável por danos causados por processamento que viole a lei de proteção de dados aplicável ou que não esteja em conformidade com as obrigações do Controlador sob este DPA.
Limitações
- Nenhuma das partes será responsável por danos indiretos, incidentais ou consequenciais
- A responsabilidade total agregada sob este DPA é limitada às taxas pagas nos 12 meses anteriores à reclamação
- Essas limitações não se aplicam a violações de confidencialidade, má conduta intencional ou negligência grave
Cada parte concorda em indenizar a outra contra reclamações de terceiros decorrentes da violação desta parte do DPA ou das leis de proteção de dados aplicáveis.
11. Rescisão e Devolução de Dados
Duração
Este DPA permanece em vigor durante a vigência do Contrato de Serviço e enquanto processarmos dados pessoais em seu nome.
Após a Rescisão
- A seu critério, retornaremos ou excluiremos todos os dados pessoais dentro de 30 dias
- Você pode solicitar exportação de dados em um formato legível por máquina comumente usado
- Certificaremos a exclusão mediante solicitação
- Os dados podem ser retidos quando exigido pela lei aplicável
As seções relacionadas à confidencialidade, responsabilidade e direitos de proteção de dados sobreviverão à rescisão deste DPA.