Data Processing Agreement (DPA)
Atualizado em 15 de abril de 2026
Este documento descreve a forma pela qual ZappIQ Brasil Sistemas de IA LTDA processa dados pessoais em nome de seus clientes, conforme Lei Geral de Proteção de Dados Pessoais (LGPD) e GDPR, quando aplicável.
1. Definições
- Controlador: O Cliente, entidade responsável pelas decisões sobre tratamento de dados.
- Operador: ZappIQ Brasil Sistemas de IA LTDA, responsável pelo processamento sob instruções do Controlador.
- Dados Pessoais: Qualquer informação que identifica ou possa identificar pessoa física.
- Processamento: Coleta, armazenagem, uso, análise, transferência ou exclusão de dados.
2. Objeto e Escopo
O Operador processa dados pessoais conforme instruções do Controlador, especificamente:
- Fornecimento e operação da plataforma ZappIQ.
- Processamento de conversas, mensagens e contexto de usuários finais (end-users) via WhatsApp Business API.
- Armazenamento seguro de dados de cadastro, configurações e histórico.
- Análise de uso e logs para segurança e conformidade.
3. Natureza e Categorias de Dados
- Dados de identificação (nome, email, telefone).
- Dados de contato de end-users (números WhatsApp, nomes).
- Conteúdo de conversas e mensagens processadas via IA.
- Dados de comportamento e uso da plataforma.
- Dados de pagamento (tokenizados via Stripe).
4. Categorias de Titulares de Dados
- Usuários finais do Cliente (clientes do Cliente que interagem via WhatsApp).
- Colaboradores do Cliente com acesso à plataforma.
- Contatos e leads gerenciados via CRM integrado.
5. Duração do Processamento
O Operador processará dados enquanto o Controlador mantiver assinatura ativa. Após rescisão, dados serão deletados conforme cronograma acordado (padrão: 30 dias úteis).
6. Medidas de Segurança Técnicas
- Criptografia em trânsito: TLS 1.3, HTTPS obrigatório.
- Criptografia em repouso: AES-256 para dados sensíveis em PostgreSQL (Supabase).
- Isolamento de dados: Separação de dados por organizationId em arquitetura multi-tenant.
- Controle de acesso: Autenticação JWT + RBAC (Role-Based Access Control).
- Logs de auditoria: Registro de todas as ações administrativas com timestamps.
- Firewalls e WAF: Proteção contra acessos não autorizados.
- Penetration testing: Testes de segurança trimestrais.
7. Medidas de Segurança Administrativas
- Políticas de acesso restritivo (least privilege).
- Treinamento de segurança para funcionários.
- Acordo de confidencialidade obrigatório para staff.
- Processo de aprovação para acesso a dados de Clientes.
- Verificação de antecedentes para pessoal com acesso sensível.
8. Subprocessadores
O Operador utiliza os seguintes subprocessadores (processadores de dados):
- Supabase: Banco de dados PostgreSQL hospedado em AWS us-east-1.
- Upstash: Redis gerenciado para cache e filas.
- Anthropic: Processamento de requisições Claude API (dados anônimos de contexto).
- Stripe: Processamento e armazenamento tokenizado de pagamentos.
- Resend: Envio de emails transacionais.
- Meta/WhatsApp: Integração WhatsApp Business API para processamento de mensagens.
O Controlador pode requerer lista atualizada de subprocessadores em qualquer momento. Notificação de mudanças será realizada com 30 dias de antecedência, com direito de oposição.
9. Direitos dos Titulares de Dados
O Operador, por solicitação do Controlador, facilitará o exercício de direitos dos titulares:
- Acesso e portabilidade de dados.
- Correção ou atualização.
- Exclusão (direito ao esquecimento).
- Limitação de processamento.
- Oposição ao processamento.
O Controlador é responsável por fornecer mecanismos aos seus titulares para exercer estes direitos. O Operador responderá requisições do Controlador em até 10 dias úteis.
10. Transferência Internacional de Dados
Dados são armazenados em AWS us-east-1 (EUA) e processados por Anthropic (potencialmente em jurisdições distintas). Aplicam-se Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCCs) aprovadas pela Comissão Europeia como mecanismo de adequação.
11. Notificação de Violação de Dados
O Operador notificará o Controlador de qualquer violação de segurança, vazamento ou acesso não autorizado em até 24 horas (ou 48 horas em caso de fim de semana/feriado). A notificação incluirá:
- Descrição da violação e dados afetados.
- Possível impacto para titulares.
- Medidas remediativas já implementadas.
- Contato para esclarecimentos.
12. Auditorias e Inspeções
O Controlador ou auditor independente pode solicitar auditoria anual de conformidade com este DPA. O Operador fornecerá documentação de medidas de segurança, logs de acesso, e relatório de conformidade no prazo de 30 dias.
13. Retenção e Deleção
Dados são retidos conforme necessário para fornecer o Serviço. Após rescisão do contrato:
- Período de 30 dias para exportação de dados pelo Controlador.
- Deleção segura após 30 dias (hard delete com certificação).
- Exceção: Dados necessários para conformidade legal retidos por 5 anos.
14. Conformidade com Regulamentações
Este DPA opera em conformidade com:
- Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018).
- Regulamento Geral sobre a Proteção de Dados — GDPR (UE 2016/679).
- Legislação de privacidade aplicável em outras jurisdições relevantes.
15. Responsabilidade e Indenização
O Operador é responsável por danos causados pelo não-cumprimento deste DPA. Responsabilidade se limita a valores compatíveis com Termos de Uso. O Controlador é responsável pela legalidade das instruções e conformidade com direitos de titulares.
16. Rescisão e Vigência
Este DPA vigora enquanto houver contrato de Serviço ativo. Rescisão do contrato principal resulta em fim do processamento conforme seção 13.
17. Emendas e Modificações
Alterações ao DPA que reduzem proteções requerem consentimento prévio do Controlador. Alterações por exigência legal podem ser aplicadas com notificação de 30 dias.
18. Contato — Data Protection Officer (Encarregado)
- Encarregado: DPO externo em homologação — nome será publicado após assinatura do contrato de prestação de serviço de encarregado (compliance LGPD Art. 41 — independência em relação à área operacional)
- Email: dpo@zappiq.com.br
- Endereço postal: Av. das Nações Unidas, 12901 — CENU Torre Norte, 25° andar — São Paulo/SP — CEP 04578-910
- Prazo de resposta (ANPD art. 19): até 15 dias corridos
Este Data Processing Agreement é parte integral dos Termos de Uso de ZappIQ. Para cópias assinadas ou esclarecimentos legais, contate dpa@zappiq.com.br.