Contrato de Operação de Dados (DPA)
Versão 2026-05-26-1 · Vigente desde 26 de maio de 2026.
Este Contrato de Operação ("DPA") complementa o contrato de prestação de serviços firmado entre a Organização Contratante ("Controladora") e a Agência Piloto Digital ("Operadora"), regulando o tratamento de dados pessoais realizado pela Operadora em nome da Controladora no âmbito do Cockpit.
1. Objeto e Natureza do Tratamento
A Operadora tratará dados pessoais de titulares (leads e contatos da Controladora) exclusivamente para:
- Receber, armazenar e exibir mensagens trocadas via WhatsApp
- Permitir gestão comercial e atribuição a vendedores
- Gerar relatórios e dashboards de funil para a Controladora
- Manter logs operacionais e de auditoria
2. Categorias de Dados e Titulares
- Categorias de dados: identificadores pessoais (nome, telefone), conteúdo de comunicações (mensagens, mídias), metadados de tráfego, dados comportamentais (estágio no funil, etiquetas, anotações)
- Categorias de titulares: leads que iniciaram contato com a Controladora via WhatsApp ou outros canais; contatos cadastrados manualmente pela Controladora
3. Obrigações da Operadora
A Operadora compromete-se a:
- Tratar dados exclusivamente conforme instruções documentadas da Controladora
- Garantir confidencialidade de pessoas autorizadas a acessar os dados
- Adotar medidas técnicas e organizacionais de segurança conforme art. 46 da LGPD
- Auxiliar a Controladora a atender solicitações de titulares (art. 18 LGPD)
- Notificar a Controladora de incidentes de segurança em até 24 horas
- Disponibilizar funções automatizadas de exportação, correção e anonimização
- Excluir ou devolver os dados ao término do contrato, conforme escolha da Controladora
4. Obrigações da Controladora
A Controladora compromete-se a:
- Possuir base legal válida para o tratamento dos dados antes de submetê-los ao Cockpit
- Fornecer informações verídicas e atualizadas
- Conduzir as comunicações com titulares em conformidade com a LGPD e o Marco Civil da Internet
- Não submeter ao Cockpit dados pessoais sensíveis (art. 5º II LGPD) sem prévia autorização escrita
- Designar interlocutor responsável pela governança de dados
5. Subprocessadores
A Operadora utiliza os seguintes subprocessadores:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Supabase Inc. | Banco de dados, autenticação e Realtime | São Paulo (BR) |
| Vercel Inc. | Hospedagem da aplicação web | Múltiplas regiões |
| Cloudflare Inc. | CDN, R2 Storage de mídias, DDoS | Global |
| UazAPI | Integração com WhatsApp via protocolo Multi-Device | Brasil |
| Resend Inc. | Envio de emails transacionais | Estados Unidos |
Alterações em subprocessadores serão comunicadas à Controladora com pelo menos 30 dias de antecedência, com direito de objeção.
6. Transferência Internacional
Subprocessadores fora do Brasil (Vercel, Cloudflare em outras regiões, Resend) oferecem grau de proteção adequado conforme cláusulas contratuais e certificações vigentes (SOC 2, ISO 27001).
7. Auditoria
A Controladora pode auditar a Operadora uma vez ao ano, mediante aviso prévio de 30 dias, ou imediatamente em caso de incidente. Audições serão realizadas em horário comercial e sob compromisso de confidencialidade.
8. Vigência e Rescisão
Este DPA vigora pelo prazo do contrato principal. Em caso de rescisão, a Operadora manterá os dados acessíveis por até 30 dias para exportação pela Controladora, após o que serão excluídos de forma segura, salvo retenções legais obrigatórias (logs de auditoria).
9. Responsabilidade
Cada parte responde pelos danos decorrentes do descumprimento de suas obrigações. A Operadora não responde por uso inadequado dos dados pela Controladora.