Aditivo de Tratamento de Dados (DPA)

Este Aditivo de Tratamento de Dados (“DPA”) complementa e integra os Termos de Uso e demais instrumentos firmados entre as partes, disciplinando o tratamento de dados pessoais realizado pela ConformiDoc em nome do Cliente, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — “LGPD”) e demais normas aplicáveis.

1. Objeto

O presente DPA tem por objeto estabelecer as condições aplicáveis ao tratamento de dados pessoais pela ConformiDoc, na qualidade de Operadora, em nome do Cliente, na qualidade de Controlador, no contexto da Plataforma ConformiDoc e dos serviços contratados.

2. Papéis das partes

2.1. Cliente (Controlador): determina as finalidades e os meios do tratamento de dados pessoais inseridos ou disponibilizados na Plataforma e/ou tratados no âmbito dos serviços.

2.2. ConformiDoc (Operadora): realiza o tratamento de dados pessoais em nome do Cliente, exclusivamente para execução dos serviços contratados e conforme instruções documentadas do Cliente, observado este DPA e a legislação aplicável.

2.3. Quando a ConformiDoc tratar dados pessoais para finalidades próprias, fora do escopo de Operadora, atuará como Controladora, conforme indicado em sua Política de Privacidade.

3. Categorias de dados e operações de tratamento

3.1. O Cliente poderá inserir ou disponibilizar, conforme o uso da Plataforma, dados pessoais de seus colaboradores, clientes, representantes e terceiros, incluindo dados cadastrais, de contato e registros operacionais.

3.2. Conciliação por importação de extratos (OFX), quando ativada: o Cliente poderá enviar arquivos OFX contendo dados financeiros de lançamentos (datas, valores, descrições e identificadores técnicos quando existentes), estritamente para fins de conciliação, categorização assistiva e relatórios gerenciais. A Plataforma não inicia transferências financeiras, não movimenta recursos e não armazena credenciais bancárias.

3.3. Logs e trilhas: a ConformiDoc poderá registrar logs de acesso e ações relevantes para segurança, prevenção a fraude, auditoria e suporte.

4. Finalidades e instruções documentadas

4.1. A ConformiDoc tratará dados pessoais apenas para: (i) viabilizar funcionalidades da Plataforma; (ii) executar automações, conciliações, relatórios e análises assistivas; (iii) armazenar dados na medida necessária à prestação dos serviços; (iv) registrar logs de acesso e uso; e (v) prestar suporte quando solicitado, dentro do escopo contratual.

4.2. Instruções do Cliente: o Cliente fornecerá instruções documentadas e lícitas. A ConformiDoc poderá recusar instruções que violem a legislação, sejam tecnicamente inviáveis ou causem risco desproporcional, comunicando o Cliente.

4.3. O Cliente declara possuir base legal adequada para o tratamento e para inserção de dados pessoais na Plataforma, bem como responsabilidade pela qualidade, licitude e legitimidade dos dados fornecidos.

5. Medidas técnicas e organizacionais de segurança

5.1. A ConformiDoc adotará medidas técnicas e administrativas razoáveis, proporcionais ao risco e à natureza dos dados tratados, incluindo, conforme aplicável: controles de acesso, autenticação, registro e monitoramento de eventos relevantes, segregação de ambientes, e criptografia em repouso e/ou em trânsito.

5.2. Isolamento por cliente: a ConformiDoc opera com segregação lógica e controles voltados ao isolamento por cliente, conforme arquitetura e plano contratado.

5.3. Acesso excepcional de suporte: quando necessário para diagnóstico e suporte, poderá ocorrer acesso excepcional, limitado ao necessário, com justificativa e rastreabilidade.

5.4. Uso de IA/LLM (quando aplicável): a ConformiDoc aplica pipeline de “parse determinístico no Brasil + sanitização/minimização” antes de qualquer uso de modelos de linguagem. Por padrão, o arquivo OFX bruto não é enviado a LLM; prioriza-se o uso de dados derivados e agregados.

6. Confidencialidade

6.1. A ConformiDoc manterá confidenciais os dados pessoais tratados como Operadora e limitará o acesso a pessoas autorizadas e vinculadas a deveres de confidencialidade.

6.2. A obrigação de confidencialidade subsistirá após o término do contrato, pelo prazo previsto no instrumento principal ou, na ausência, pelo prazo legal aplicável.

7. Suboperadores

7.1. O Cliente autoriza a ConformiDoc a utilizar suboperadores (ex.: infraestrutura de nuvem/hospedagem, observabilidade, comunicação/e-mail e serviços técnicos) para execução dos serviços.

7.2. A ConformiDoc firmará contratos com suboperadores impondo obrigações compatíveis com a LGPD e permanecerá responsável perante o Cliente pelos atos dos suboperadores no âmbito do tratamento realizado em seu nome, sem prejuízo de direito de regresso.

7.3. Lista de Suboperadores: a ConformiDoc manterá lista atualizada (página/anexo) contendo categoria, finalidade e localidade de processamento, disponível sob solicitação. Mudanças relevantes poderão ser comunicadas ao Cliente, conforme governança interna.

8. Transferência internacional de dados

8.1. Se houver tratamento por suboperador localizado fora do Brasil, a ConformiDoc adotará mecanismos e salvaguardas contratuais aplicáveis, em linha com a LGPD e regulamentação da ANPD.

8.2. Quando aplicável, as partes poderão firmar anexo específico com cláusulas contratuais e salvaguardas pertinentes para a transferência internacional, sem prejuízo das demais disposições deste DPA.

9. Incidentes de segurança

9.1. Em caso de incidente de segurança envolvendo dados pessoais tratados como Operadora que possa acarretar risco ou dano relevante, a ConformiDoc notificará o Cliente em prazo razoável após tomar conhecimento do incidente, fornecendo informações disponíveis para apoiar avaliação e medidas de mitigação.

9.2. A ConformiDoc cooperará com o Cliente na apuração e na mitigação, na medida de suas capacidades técnicas e do escopo contratual.

10. Direitos dos titulares

10.1. Solicitações de titulares relacionadas a dados tratados como Operadora deverão ser endereçadas ao Cliente (Controlador).

10.2. A ConformiDoc auxiliará o Cliente, na medida de suas capacidades técnicas, quando o atendimento depender de ações na Plataforma, observado o escopo contratual.

11. Auditoria e evidências

11.1. Mediante solicitação razoável e quando aplicável, a ConformiDoc poderá fornecer ao Cliente informações e evidências proporcionais sobre medidas de segurança e conformidade, resguardados segredos comerciais e informações sensíveis de segurança.

11.2. Auditorias presenciais ou testes intrusivos não são autorizados por padrão e, quando estritamente necessários, dependerão de acordo específico por escrito, incluindo escopo, prazos, confidencialidade e medidas de proteção.

12. Retenção, eliminação e devolução ao término

12.1. A ConformiDoc armazenará dados pessoais pelo tempo necessário à execução dos serviços, cumprimento de obrigações legais/regulatórias e resguardo de direitos.

12.2. Regras específicas (padrão): (i) arquivos OFX e dados diretamente derivados para conciliação: 30 (trinta) dias em servidores no Brasil; (ii) logs de auditoria: 6 (seis) meses; (iii) tickets de suporte: 12 (doze) meses.

12.3. Encerrado o contrato, a ConformiDoc eliminará ou anonimizará dados pessoais tratados como Operadora após decurso de prazos legais de guarda, ou adotará outra medida acordada por escrito com o Cliente.

12.4. A ConformiDoc não presta serviço de backup do Conteúdo do Usuário como obrigação contratual, cabendo ao Cliente manter cópias de segurança do conteúdo considerado crítico, conforme Termos de Uso.

13. Responsabilidades e limitações

13.1. Cada parte é responsável por violações à LGPD decorrentes de sua própria atuação ou omissão.

13.2. As limitações de responsabilidade, exclusões e demais condições do contrato principal e dos Termos de Uso aplicam-se a este DPA, salvo quando a legislação expressamente vedar tal limitação.

14. Prevalência e disposições finais

14.1. Em caso de conflito entre este DPA e o contrato principal, prevalecerá a disposição mais específica para proteção de dados pessoais, respeitada a legislação aplicável.

14.2. Este DPA poderá ser atualizado por motivos legais, regulatórios ou técnicos, mediante comunicação ao Cliente, quando aplicável.