Adendo de Tratamento de Dados (DPA)
Adendo LGPD com Customer como Controlador e IALQM como Operador, sub-operadores e incidentes.
Este Adendo de Tratamento de Dados ("DPA") integra os Termos de Uso celebrados entre o Customer e a IALQM Tecnologia Ltda. ("IALQM") e disciplina o tratamento de Dados Pessoais realizado pela IALQM, na qualidade de Operadora, em nome do Customer, na qualidade de Controlador, no contexto da utilização da plataforma IALQM.
Em caso de conflito entre este DPA e os Termos de Uso quanto a aspectos de proteção de dados, prevalece o DPA.
1. Definições
Os termos "Dados Pessoais", "Tratamento", "Controlador", "Operador", "Encarregado", "Titular", "Incidente de Segurança" e demais relacionados à proteção de dados têm o significado da Lei nº 13.709/2018 ("LGPD").
2. Papéis das partes
O Customer é Controlador dos Dados Pessoais que insere, gera ou direciona à plataforma, em especial dos Dados Pessoais de seus Usuários Finais.
A IALQM é Operadora desses Dados Pessoais e os trata exclusivamente conforme as instruções documentadas do Customer e o necessário à prestação dos serviços contratados.
3. Objeto, natureza e finalidade
Objeto: tratamento de Dados Pessoais necessários à operação da plataforma de agentes de IA, mensageria, catálogo, pedidos, pagamentos e governança.
Natureza: coleta, armazenamento, organização, consulta, transmissão, transferência, comunicação, eliminação ou anonimização, conforme a finalidade.
Finalidade: prestar os serviços, autenticar usuários, processar pagamentos, emitir documentos fiscais, garantir segurança e cumprir obrigações legais.
4. Categorias de dados e titulares
- Dados cadastrais e de contato de operadores do Customer;
- Identificadores e conteúdo de mensagens dos Usuários Finais (telefone, e-mail, mensagens, anexos);
- Dados de pagamento (tokens, transações);
- Logs técnicos, métricas e telemetria;
- Eventuais dados sensíveis (apenas quando o Customer optar por tratá-los e tiver base legal própria).
5. Instruções e limites de tratamento
A IALQM trata Dados Pessoais somente:
- Para prestar os serviços conforme contratado;
- Para cumprir obrigações legais ou regulatórias aplicáveis à própria IALQM;
- Para fins de segurança, prevenção a fraudes e auditoria interna;
- Conforme instruções escritas do Customer, quando especificamente acordadas;
- Para gerar métricas agregadas e/ou anonimizadas para evolução do produto.
6. Sub-operadores
O Customer autoriza a IALQM a contratar sub-operadores para a execução dos serviços, observadas as garantias contratuais de proteção equivalentes às deste DPA. A lista atual inclui (mas não se limita a): Iopay (gateway de pagamento), provedores de mensageria (Evolution / WhatsApp Business API), provedores de modelos de IA, provedores de infraestrutura em nuvem, ISSNet/MV (NFS-e) e provedores de observabilidade.
A IALQM publicará atualizações na lista mediante aviso ao Customer pelos canais oficiais. Em caso de objeção justificada, as partes negociarão uma solução de boa-fé.
7. Transferência internacional
Sub-operadores podem realizar tratamento fora do Brasil. A IALQM adota cláusulas contratuais e medidas técnicas para garantir nível de proteção compatível com a LGPD, observadas as hipóteses legais de transferência internacional (art. 33).
8. Medidas de segurança
A IALQM adota medidas técnicas e administrativas para proteger os Dados Pessoais, considerando o estado da arte, os custos de implementação, a natureza, escopo e finalidades do tratamento, incluindo:
- Criptografia em trânsito (TLS) e em repouso para credenciais sensíveis (ex.: AES-256-GCM);
- Controle de acesso por perfil e segregação de ambientes;
- Gestão de identidades, registro de eventos críticos e auditoria;
- Hardening de imagens, atualização contínua e gestão de vulnerabilidades;
- Plano de continuidade e backup;
- Treinamento periódico das equipes envolvidas.
9. Incidentes de segurança
A IALQM notificará o Customer em até 24 (vinte e quatro) horas, contadas do conhecimento, sobre qualquer incidente de segurança que possa acarretar risco ou dano relevante aos Titulares cujos dados sejam tratados em nome do Customer, fornecendo informações disponíveis e cooperando com as medidas de mitigação. A notificação à ANPD e aos Titulares, quando exigida, é responsabilidade do Customer enquanto Controlador, com apoio da IALQM.
10. Atendimento a direitos do titular
A IALQM disponibilizará ao Customer mecanismos razoáveis para auxiliar no atendimento a solicitações dos Titulares (acesso, correção, anonimização, portabilidade, eliminação etc.). O Customer permanece como interface direta com seus Titulares.
11. Auditoria e relatórios
A IALQM disponibilizará, mediante solicitação razoável e mediante NDA, informações suficientes para demonstrar o cumprimento deste DPA, incluindo relatórios de segurança, certificações e respostas a questionários padrão de proteção de dados, sem prejuízo de auditorias por terceiros independentes quando justificadas.
12. Devolução e eliminação ao término
Encerrado o contrato, a IALQM, por opção do Customer e dentro de prazo razoável, devolverá ou eliminará os Dados Pessoais tratados em seu nome, exceto quando obrigada a retê-los para cumprimento de obrigação legal ou regulatória, hipótese em que a finalidade fica restrita ao cumprimento de tal obrigação.
13. Duração
Este DPA vigora pelo mesmo prazo dos Termos de Uso e produzirá efeitos enquanto a IALQM tratar Dados Pessoais em nome do Customer.
14. Contato
Comunicações sob este DPA devem ser enviadas para encarregado@alqm.io (Encarregado pelo Tratamento de Dados) ou legal@alqm.io.