Objeto e Escopo do Tratamento
Este Acordo de Processamento de Dados ("DPA") integra e forma um anexo inseparável dos Termos de Uso da Plataforma ChurnDefense e estabelece os parâmetros para o tratamento de dados pessoais pela ChurnDefense ("Operador") em nome do Cliente contratante ("Controlador").
O Controlador delega ao Operador o tratamento de dados pessoais com a finalidade específica de viabilizar a prestação de serviços analíticos SaaS focados em: monitoramento preditivo de churn de assinantes, prevenção interativa de cancelamentos e recuperação automatizada de cobranças (dunning).
| Atributo | Descrição |
|---|---|
| Natureza do tratamento | Coleta, armazenamento, análise, pontuação algorítmica, geração de relatórios e eliminação |
| Categorias de titulares | Usuários finais, assinantes e clientes do Controlador |
| Tipos de dados pessoais | Dados de contato, metadados transacionais, analíticos comportamentais/uso, tokens de pagamento criptografados |
| Duração do tratamento | Coextensiva ao prazo contratual ativo |
| Escopo geográfico | Global (com salvaguardas de transferência conforme Cláusula 06) |
Obrigações do Operador
O Operador compromete-se com as seguintes obrigações:
- Tratar dados pessoais exclusivamente sob as instruções documentadas do Controlador, conforme configurado no painel de controle da Plataforma
- Jamais tratar dados para finalidades além do escopo contratado sem autorização prévia por escrito
- Assegurar que todo pessoal autorizado a tratar dados esteja vinculado por obrigações de confidencialidade
- Implementar e manter medidas técnicas e organizacionais de segurança adequadas (detalhadas na Cláusula 03)
- Auxiliar o Controlador no atendimento a pedidos de exercício de direitos dos titulares por meio de APIs documentadas e ferramentas do painel
- Fornecer todas as informações necessárias para demonstrar conformidade e permitir auditorias (Cláusula 08)
- Informar imediatamente o Controlador caso, em sua opinião, uma instrução do Controlador viole a legislação de proteção de dados aplicável
Medidas de Segurança Técnicas e Organizacionais
A arquitetura de segurança do Operador abrange, no mínimo:
- Criptografia em trânsito: TLS 1.2 ou superior para todos os dados em fluxo
- Criptografia em repouso: AES-256 para todos os dados pessoais armazenados
- Controle de acesso: Acesso baseado em papéis (RBAC) com SSO e MFA para todos os sistemas de produção
- Segurança de rede: Firewalls, sistemas de detecção de intrusão e mitigação de DDoS
- Segregação de dados: Isolamento lógico de tenants em arquitetura multi-tenant
- Backup e recuperação: Backups criptografados automatizados com Objetivos de Tempo de Recuperação (RTO) definidos
- Monitoramento: Registro de eventos de segurança em tempo real e detecção de anomalias
- Pessoal: Treinamento obrigatório de segurança para todos os colaboradores com acesso a dados pessoais
Resposta a Incidentes e Notificação de Violação
Na hipótese de uma violação confirmada de dados pessoais (acesso não autorizado, vazamento, destruição ou comprometimento de dados pessoais sob custódia do Operador), o Operador deverá:
Notificar o Controlador sem atraso injustificado e dentro do prazo máximo de 72 (setenta e duas) horas úteis após o conhecimento técnico confirmado do incidente, por canais de comunicação emergenciais. A notificação deverá incluir: natureza da violação, categorias e número aproximado de titulares afetados, consequências prováveis e medidas adotadas ou propostas para mitigar os efeitos.
O Controlador retém a obrigação e responsabilidade exclusiva por: notificar formalmente a ANPD (ou outra autoridade supervisora aplicável) e os titulares afetados, conforme exigido pelo Art. 48 da LGPD e Art. 33 do GDPR.
O Operador cooperará integralmente com a investigação do Controlador, fornecerá relatórios complementares quando solicitado e implementará medidas corretivas para prevenir recorrência.
Suboperadores
O Controlador concede autorização geral por escrito para que o Operador contrate suboperadores necessários para a prestação dos serviços da Plataforma (hospedagem em nuvem, processamento de pagamentos, infraestrutura analítica).
O Operador deverá: manter uma lista atualizada de suboperadores disponível mediante solicitação; notificar o Controlador com pelo menos 30 dias de antecedência antes de contratar um novo suboperador ou substituir um existente; e assegurar que todos os suboperadores estejam contratualmente vinculados a obrigações equivalentes de proteção de dados.
Caso o Controlador se oponha a um novo suboperador, poderá rescindir o componente de serviço afetado dentro de 30 dias da notificação. O Operador permanece integralmente responsável pelos atos e omissões de seus suboperadores.
Transferências Internacionais de Dados
O Controlador reconhece e autoriza a transferência internacional de dados pessoais para data centers operados pelos parceiros de infraestrutura em nuvem do Operador, em conformidade com o Art. 33 da LGPD.
Estados Unidos e Jurisdições sem Adequação
Transferências para jurisdições sem decisão de adequação da ANPD (incluindo os Estados Unidos) são conduzidas sob as Cláusulas Contratuais Padrão (SCCs) obrigatórias estabelecidas pela Resolução CD/ANPD nº 19/2024. Estas cláusulas são anexadas a este DPA integralmente e são inegociáveis.
Espaço Econômico Europeu
Transferências para o EEE são facilitadas pelo reconhecimento mútuo de adequação formalizado na Resolução ANPD nº 32/2026, permitindo o livre fluxo de dados sem a burocracia das SCCs.
O Operador certifica que todas as transferências internacionais estão em conformidade com o arcabouço legal aplicável e que salvaguardas apropriadas estão implementadas para proteger os direitos dos titulares independentemente da jurisdição onde os dados são tratados.
Assistência aos Direitos dos Titulares
O Operador auxiliará o Controlador no atendimento a pedidos de exercício de direitos dos titulares por meio de:
- Ferramentas do painel para exportação, correção e eliminação de dados
- APIs documentadas para acesso programático a registros de titulares
- Suporte técnico em até 5 dias úteis para solicitações complexas que exijam intervenção manual
- Trilhas de auditoria documentando todo o atendimento a pedidos de titulares
O Controlador permanece como o respondente primário perante os titulares. O Operador não responderá diretamente a pedidos de titulares, salvo instrução do Controlador.
Direito de Auditoria
O Controlador (ou um auditor independente terceirizado designado pelo Controlador) tem o direito de conduzir auditorias das atividades de tratamento de dados do Operador, sujeito a:
- Aviso prévio por escrito de 30 dias
- Auditorias conduzidas durante o horário comercial normal
- Máximo de uma auditoria por período de 12 meses (salvo se uma violação de dados ou investigação regulatória justificar auditorias adicionais)
- O auditor está vinculado por obrigações de confidencialidade
O Operador disponibilizará todas as informações necessárias para demonstrar conformidade, incluindo certificações de segurança (SOC 2, ISO 27001), resumos de testes de penetração e relatórios de auditoria interna.
Rescisão e Eliminação de Dados
Após a rescisão do contrato subjacente, o Operador deverá:
- Cessar imediatamente todo o tratamento de dados pessoais do Controlador
- Disponibilizar capacidade completa de exportação de dados em formato CSV ou JSON dentro de 30 dias úteis mediante solicitação por escrito
- Eliminar permanente e seguramente todos os dados pessoais dos bancos de dados de produção dentro de 30 dias após o encerramento da janela de exportação
- Fornecer certificação por escrito da destruição dos dados mediante solicitação do Controlador
Exceção: Registros de faturamento criptografados, logs de auditoria e dados financeiros exigidos por lei serão retidos em armazenamento de arquivo frio pelo período legalmente estabelecido e, então, destruídos de forma segura.
Contato
Para dúvidas sobre este DPA ou para solicitar a lista atual de suboperadores:
ChurnDefense Tecnologia e Dados Ltda.
E-mail do DPO: [email protected]
Jurídico: [email protected]
Respondemos a todas as consultas relacionadas ao DPA em até 5 dias úteis.