Acordo de tratamento de dados (DPA)

Controlador: pessoa natural ou jurídica que define as finalidades e os meios do tratamento de dados pessoais de leads, clientes e contatos inseridos na Plataforma.

Operadora: operadora da Elena.IA, que trata dados pessoais em nome do Controlador, conforme instruções documentadas e limites técnicos do serviço contratado.

Dados pessoais, tratamento, titular, ANPD e demais termos seguem a Lei nº 13.709/2018 (LGPD), quando aplicável.

O DPA regula o tratamento de Dados Pessoais do Titular Final realizado pela Operadora para prestar o SaaS contratado (CRM, mensageria, campanhas, IA, automações e integrações habilitadas).

Vigência: enquanto perdurar a relação contratual e, após o término, pelo prazo necessário à eliminação ou devolução dos dados, conforme cláusulas abaixo e a Política de Privacidade.

O tratamento inclui, conforme funcionalidades ativas: armazenamento, organização, consulta, transmissão de mensagens, execução de automações, scoring de leads, logs de auditoria, backup e suporte técnico.

A Operadora não determina as finalidades comerciais perante os titulares finais; o Controlador é responsável pela base legal, transparência, opt-in/opt-out e conteúdo das comunicações.

Dependendo do uso do Controlador, podem ser tratados: identificação e contato (nome, telefone, e-mail), conteúdo de conversas e mídia, dados de CRM (etapa, notas, tarefas), metadados técnicos e inferências geradas por IA configurada pelo Controlador.

Titulares típicos: leads, clientes, prospects e usuários convidados pela organização do Controlador.

A Operadora tratará dados apenas conforme instruções documentadas do Controlador manifestadas pelo uso da Plataforma, configurações da organização e solicitações razoáveis por canais oficiais de suporte.

Se a Operadora entender que uma instrução viola a LGPD ou norma aplicável, comunicará o Controlador e poderá suspender o tratamento afetado até regularização.

A Operadora assegura que colaboradores e subprocessadores com acesso aos dados estejam sujeitos a dever de confidencialidade ou obrigação legal equivalente.

O acesso interno é restrito ao necessário para operação, segurança e suporte do serviço.

A Operadora implementa medidas técnicas e administrativas proporcionais ao risco, incluindo segregação multi-tenant, controles de autenticação, criptografia em trânsito quando aplicável e monitoramento de incidentes.

Detalhes adicionais podem ser solicitados por e-mail para avaliação de segurança corporativa do Controlador.

O Controlador autoriza o uso de subprocessadores necessários à prestação do serviço (hospedagem, autenticação, pagamentos, IA, mensageria), listados de forma geral na Política de Privacidade.

A Operadora exige de subprocessadores obrigações de proteção de dados compatíveis com este DPA e notificará alterações relevantes de subprocessadores por atualização da documentação ou aviso razoável.

O Controlador pode opor-se a novo subprocessador por motivos fundamentados de proteção de dados, mediante notificação no prazo indicado em comunicação específica, quando aplicável a contratos enterprise.

A Operadora auxiliará o Controlador, na medida do possível e conforme o plano contratado, a atender solicitações de titulares (acesso, correção, eliminação, portabilidade etc.), mediante requisição formal do Controlador.

Pedidos de titulares enviados diretamente à Operadora serão encaminhados ao Controlador, salvo quando a Operadora for controladora independente dos mesmos dados (ex.: dados de cadastro do usuário administrador).

A Operadora notificará o Controlador sem demora injustificada após tomar ciência de incidente de segurança que possa acarretar risco ou dano relevante aos Dados Pessoais do Titular Final, fornecendo informações disponíveis para cumprimento de obrigações do Controlador perante titulares e ANPD.

Quando houver processamento fora do Brasil, a Operadora adotará mecanismos previstos na LGPD (cláusulas-padrão, avaliações ou consentimento específico, conforme o caso).

Ao término do contrato, o Controlador poderá exportar dados enquanto o acesso estiver disponível. Após o prazo contratual de retenção, a Operadora eliminará ou anonimizará dados, salvo obrigação legal de conservação.

Backups residuais podem persistir por ciclo rotativo limitado antes da expurgação automática.

Mediante solicitação prévia e acordo de confidencialidade, clientes com plano empresarial podem solicitar informações razoáveis sobre conformidade (questionários de segurança ou relatórios resumidos), sem acesso indiscriminado a segredos comerciais ou dados de outros clientes.

Cada parte responde pelas violações que lhe forem imputáveis. O Controlador indenizará a Operadora por reclamações de titulares finais decorrentes de instruções ilícitas, ausência de base legal ou conteúdo de mensagens enviadas pelo Controlador.

Limitações de responsabilidade dos Termos de Uso aplicam-se na medida permitida pela lei.

Em caso de conflito entre este DPA e os Termos de Uso quanto ao tratamento de Dados Pessoais do Titular Final, prevalece este DPA.

Solicitações relacionadas ao DPA: privacidade@overdev.io. Demais assuntos: contato@overdev.io.