Documentos jurídicos
ingestia.ioingestia.io

Acordo de Tratamento de Dados (DPA)

Este Acordo integra o Contrato entre o Cliente, na qualidade de controlador, e UDISOFTBOX TECNOLOGIA E CONSULTORIA LTDA, CNPJ 40.737.902/0001-20, na qualidade de operadora (“INGESTIA”), quando Dados do Cliente contiverem dados pessoais.

1. Definições e prevalência

1.1. Aplicam-se as definições da Lei nº 13.709/2018 (“LGPD”). “Dados Pessoais do Cliente” são os dados pessoais tratados pela INGESTIA em nome do Cliente.

1.2. Em conflito sobre proteção de dados, prevalece este DPA; cláusulas-padrão obrigatórias de transferência internacional prevalecerão quanto à matéria regulada.

2. Objeto, duração e instruções

2.1. A INGESTIA tratará dados para fornecer ingestão, armazenamento, transformação, consulta SQL e text-to-SQL, dashboards, APIs, suporte, segurança, backup, faturamento por uso e eliminação.

2.2. O tratamento durará enquanto vigorar o Contrato e durante o período técnico de devolução e eliminação.

2.3. O Contrato, a configuração da Plataforma, chamados autorizados e este DPA constituem instruções documentadas. Instruções adicionais que exijam desenvolvimento, custos ou alterem riscos dependerão de acordo.

2.4. Se uma instrução aparentar violar a legislação, a INGESTIA informará o Cliente e poderá suspender a execução até esclarecimento, salvo proibição legal.

3. Detalhes do tratamento

Titulares: clientes, empregados, fornecedores, parceiros e outros indivíduos cujos dados o Cliente conecte à Plataforma.

Dados: identificadores, contatos, dados profissionais, comerciais, financeiros e demais campos definidos pelo Cliente; credenciais técnicas cifradas; esquemas, consultas e logs.

Operações: coleta por conexão, recepção, armazenamento, organização, transformação, consulta, transmissão controlada, disponibilização, backup e eliminação.

Dados especiais: não se presume autorizada a inserção de dados sensíveis, dados de crianças ou adolescentes, biometria, saúde ou dados sujeitos a sigilo regulado. Seu tratamento exige avaliação e acordo prévios.

4. Obrigações da INGESTIA

A INGESTIA deverá:

  • tratar dados apenas conforme instruções documentadas e legislação aplicável;
  • assegurar compromisso de confidencialidade a pessoas autorizadas;
  • restringir acessos pelo menor privilégio e manter registro de ações administrativas;
  • adotar medidas técnicas e administrativas descritas no Anexo I;
  • comunicar solicitações de titulares recebidas diretamente, sem respondê-las em nome do Cliente, salvo autorização ou dever legal;
  • apoiar, na medida razoável, direitos dos titulares, avaliações de impacto, consultas à ANPD e demonstração de conformidade;
  • informar ordem de autoridade que exija acesso, quando permitido; e
  • disponibilizar informações necessárias para comprovar o cumprimento deste DPA.

5. Obrigações do Cliente

O Cliente deverá:

  • garantir base legal, transparência, minimização, exatidão e legitimidade das instruções;
  • configurar usuários, permissões, retenção e exportações;
  • não fornecer dados proibidos ou excessivos;
  • responder aos titulares e realizar comunicações regulatórias como controlador; e
  • avaliar se a Plataforma e suas configurações são adequadas aos riscos do tratamento.

6. Segurança

6.1. A INGESTIA manterá medidas proporcionais à natureza do serviço e poderá atualizá-las sem reduzir materialmente o nível geral de proteção.

6.2. O Cliente reconhece o modelo de responsabilidade compartilhada: controles da Plataforma não substituem segurança das fontes, dispositivos, usuários, chaves e configurações do Cliente.

7. Incidentes

7.1. A INGESTIA notificará o Cliente, sem demora injustificada e, sempre que viável, em até 24 horas após confirmar incidente de segurança envolvendo Dados Pessoais do Cliente.

7.2. A notificação trará, conforme disponível: natureza; categorias e volume estimado; titulares afetados; medidas de contenção; riscos; ponto de contato e atualizações. Informações poderão ser fornecidas por etapas sem que isso represente admissão de responsabilidade.

7.3. A INGESTIA apoiará a investigação e as comunicações. O Cliente decide sobre notificação à ANPD e aos titulares, considerando o prazo regulatório vigente de três dias úteis quando houver risco ou dano relevante.

8. Suboperadores

8.1. O Cliente concede autorização geral para os subprocessadores da lista pública vigente.

8.2. A INGESTIA imporá obrigações de proteção compatíveis com este DPA e continuará responsável por suas obrigações perante o Cliente, nos limites legais e contratuais.

8.3. Novo subprocessador material será informado com pelo menos 15 dias de antecedência. O Cliente poderá objetar por fundamento documentado de proteção de dados. As partes buscarão alternativa razoável; se inviável, o Cliente poderá encerrar apenas o serviço afetado, sem multa futura.

9. Transferência internacional

9.1. Dados de negócio armazenados em BigQuery/GCS e processados no Cloud Run permanecem, conforme configuração atual, na região de São Paulo. Metadados, conta, configuração, e-mail, autenticação e esquemas/consultas de IA podem ser processados nos Estados Unidos.

9.2. As partes adotarão mecanismo permitido pelo art. 33 da LGPD e pela Resolução CD/ANPD nº 19/2024, incluindo, quando aplicável, cláusulas-padrão da ANPD incorporadas sem alteração incompatível.

9.3. A INGESTIA manterá informação sobre país, finalidade e dados acessados por cada subprocessador.

10. Auditoria

10.1. Mediante pedido razoável, a INGESTIA fornecerá políticas, respostas a questionário, relatórios ou evidências disponíveis, preservando segredos, segurança e dados de outros clientes.

10.2. Auditoria presencial ou técnica ocorrerá no máximo uma vez por ano, salvo incidente ou exigência de autoridade, com 30 dias de aviso, durante horário comercial, por auditor independente sujeito a confidencialidade e às custas do Cliente. Não serão permitidos testes que afetem produção sem acordo específico.

11. Devolução e eliminação

11.1. Durante a vigência e por [30 dias] após o encerramento, o Cliente poderá exportar dados por API, REST, OData ou CSV, conforme funcionalidades contratadas.

11.2. Depois, a INGESTIA eliminará os dados ativos em até [30 dias]. Cópias em backup serão isoladas, não retornarão ao uso ordinário e serão eliminadas no ciclo aplicável, salvo obrigação legal.

11.3. A INGESTIA poderá fornecer declaração de eliminação mediante solicitação.

12. Responsabilidade e vigência

12.1. A responsabilidade de cada parte seguirá a LGPD, sua participação no dano e os limites válidos do Contrato, sem afastar direitos de titulares nem poderes da ANPD.

12.2. Confidencialidade, auditoria, cooperação e eliminação sobrevivem enquanto houver dados sob tratamento.

ANEXO I — MEDIDAS DE SEGURANÇA

  • TLS em trânsito;
  • credenciais de fontes cifradas em repouso por AES-256-GCM, com chave em variável server-only;
  • segredos não exibidos na interface nem registrados em logs;
  • datasets próprios por tenant, IAM escopado e bloqueio de consultas fora do prefixo autorizado;
  • cache segregado por tenant;
  • acesso super-admin restrito e ações auditadas;
  • suporte a TLS, SSH e allowlist nas conexões;
  • BigQuery time-travel por sete dias, landing GCS versionado e backup do PostgreSQL pelo Neon;
  • monitoramento, alertas, trilhas de execução e health check; e
  • revisão dos controles quando houver mudança material de arquitetura.