Contrato de Tratamento de Dados Pessoais

Este Contrato de Tratamento de Dados Pessoais ("DPA" ou "Contrato Operador-Controlador") é parte integrante e complementar do Contrato Principal de Prestação de Serviços do CloudBox firmado entre as partes, e regula especificamente o tratamento de dados pessoais conforme exigido pela Lei Geral de Proteção de Dados — Lei nº 13.709/2018 (LGPD).

Das Partes

1. Objeto

O presente DPA tem por objeto regular o tratamento de dados pessoais realizado pela Operadora, por conta e ordem do Controlador, no contexto da prestação do serviço CloudBox, em conformidade com a LGPD.

2. Definições

Aplicam-se a este DPA as definições estabelecidas no art. 5º da LGPD, complementadas pelas seguintes:

3. Papéis das Partes

Para fins deste DPA e da LGPD:

• O Cliente atua como Controlador dos dados pessoais armazenados, processados e/ou compartilhados através do CloudBox, sendo responsável pelas decisões sobre o tratamento
• A Suport Express atua como Operadora, realizando o tratamento dos dados conforme as instruções do Controlador e nos limites contratados

4. Escopo do Tratamento

4.1. Natureza e finalidade

A Operadora tratará dados pessoais exclusivamente para a finalidade de prestação do serviço CloudBox, conforme contratado, incluindo: armazenamento, sincronização, compartilhamento, backup, indexação para busca e demais operações inerentes ao funcionamento da plataforma.

4.2. Categorias de titulares

Os titulares cujos dados poderão ser tratados incluem, sem limitação:

• Colaboradores do Controlador (atuais e ex-colaboradores)
• Clientes, fornecedores e parceiros do Controlador
• Terceiros mencionados em arquivos armazenados
• Destinatários de compartilhamentos externos realizados pelo Controlador

4.3. Categorias de dados pessoais

O tratamento poderá envolver, conforme escolha do Controlador sobre o que armazena no serviço:

• Dados de identificação (nome, CPF, RG, e-mail, telefone)
• Dados profissionais (cargo, departamento, salário, contratos)
• Dados financeiros (notas fiscais, faturas, dados bancários)
• Dados em arquivos diversos (documentos, planilhas, fotos, vídeos)
• Dados de comunicação (e-mails arquivados, atas de reuniões)
• Eventualmente, dados pessoais sensíveis (a critério e responsabilidade do Controlador)

4.4. Duração

O tratamento ocorrerá pelo prazo de vigência do Contrato Principal, observados os prazos de retenção pós-rescisão previstos na Política de Privacidade do CloudBox.

5. Obrigações da Operadora

A Suport Express, na qualidade de Operadora, obriga-se a:

1. Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador, ressalvadas as obrigações legais
2. Garantir que pessoas autorizadas a tratar os dados estejam vinculadas a obrigação de confidencialidade
3. Implementar e manter as medidas técnicas e administrativas de segurança descritas na Cláusula 8
4. Não utilizar os dados para finalidades próprias além das estritamente necessárias à prestação do serviço
5. Auxiliar o Controlador no atendimento a solicitações de titulares (art. 18, LGPD)
6. Auxiliar o Controlador na gestão de incidentes de segurança
7. Disponibilizar informações necessárias para demonstração de conformidade
8. Manter registro das operações de tratamento realizadas (art. 37, LGPD)
9. Eliminar ou devolver os dados ao final do contrato, conforme escolha do Controlador
10. Notificar imediatamente o Controlador caso receba ordem judicial ou administrativa relacionada aos dados tratados, salvo vedação legal

6. Obrigações do Controlador

O Cliente, na qualidade de Controlador, obriga-se a:

1. Possuir base legal adequada para todo tratamento de dados que realizar através do CloudBox
2. Fornecer informações claras aos titulares sobre o tratamento realizado
3. Configurar adequadamente as permissões e compartilhamentos no CloudBox
4. Manter a confidencialidade das credenciais administrativas
5. Avaliar a necessidade de Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
6. Atender diretamente as solicitações dos titulares de dados
7. Não inserir no serviço dados pessoais que extrapolem o escopo contratado
8. Comunicar à Operadora alterações relevantes em suas instruções de tratamento
9. Indicar seu próprio Encarregado de Dados (DPO), quando aplicável
10. Avaliar especificamente se está adequado a tratar dados pessoais sensíveis no serviço

7. Suboperadores

7.1. Autorização geral

O Controlador autoriza, em caráter geral, a Operadora a contratar suboperadores para auxiliar na prestação do serviço, conforme lista atualizada disponível na Política de Privacidade do CloudBox.

7.2. Comunicação de alterações

A Operadora comunicará alterações no quadro de suboperadores com antecedência mínima de 30 (trinta) dias. O Controlador poderá objetar fundamentadamente, hipótese em que as partes buscarão solução consensual; persistindo o impasse, o Controlador poderá rescindir o contrato sem ônus.

7.3. Responsabilidade

A Operadora é responsável perante o Controlador pelo cumprimento das obrigações deste DPA pelos suboperadores que contratar, garantindo que estejam vinculados a obrigações equivalentes.

8. Medidas de Segurança

A Operadora implementa as seguintes medidas técnicas e administrativas, sem prejuízo de evolução conforme melhores práticas:

8.1. Medidas técnicas

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
• Suporte a autenticação de dois fatores (2FA)
• Proteção contra força bruta e enumeração de usuários
• Antivírus integrado para verificação de uploads
• Backups criptografados com retenção mínima de 30 dias
• Logs de auditoria com retenção mínima de 12 meses
• Aplicação regular de atualizações de segurança
• Monitoramento contínuo de integridade e disponibilidade
• Segregação lógica entre ambientes de Clientes
• Hardening de servidores conforme baselines de mercado

8.2. Medidas administrativas

• Política interna de segurança da informação documentada
• Termo de confidencialidade assinado pela equipe técnica
• Treinamento periódico em LGPD e segurança
• Princípio do menor privilégio no acesso a dados
• Plano documentado de resposta a incidentes
• Plano de continuidade de negócios (BCP)

9. Atendimento a Titulares de Dados

Os titulares devem dirigir suas solicitações ao Controlador, que é o destinatário primário dos direitos previstos no art. 18 da LGPD. A Operadora prestará auxílio razoável ao Controlador no atendimento dessas solicitações, mediante chamado pelos canais de suporte.

Caso a Operadora seja contatada diretamente por um titular, ela:

• Não responderá diretamente sobre os dados objeto do tratamento
• Encaminhará a solicitação ao Controlador em até 5 dias úteis
• Notificará o titular do encaminhamento

10. Incidentes de Segurança

10.1. Notificação ao Controlador

A Operadora notificará o Controlador em até 24 (vinte e quatro) horas da detecção de incidente de segurança que possa afetar os dados tratados em seu nome, contendo:

• Descrição da natureza do incidente
• Categorias e quantidade aproximada de titulares afetados
• Categorias e quantidade aproximada de dados envolvidos
• Possíveis consequências aos titulares
• Medidas adotadas ou propostas para mitigação
• Contato do DPO da Operadora para mais informações

10.2. Atribuições

Cabe ao Controlador, na qualidade de tomador de decisão, avaliar a necessidade de:

• Comunicação à ANPD nos termos do art. 48 da LGPD
• Comunicação aos titulares afetados
• Adoção de medidas adicionais de mitigação

A Operadora prestará todo o auxílio razoável solicitado pelo Controlador no cumprimento dessas obrigações.

11. Auditoria

O Controlador tem o direito de auditar o cumprimento deste DPA, observadas as seguintes condições:

• Frequência máxima de uma auditoria por ano, salvo após incidente confirmado
• Aviso prévio de 30 dias
• Realização em horário comercial e de forma a não comprometer a operação
• Confidencialidade absoluta das informações de outros clientes e da infraestrutura
• Custos por conta do Controlador, salvo se a auditoria revelar descumprimento material

Em substituição à auditoria presencial, a Operadora pode oferecer relatórios de auditoria independente, certificações ou questionários estruturados de segurança.

12. Transferência Internacional

A Operadora não realizará transferência internacional dos dados pessoais armazenados no CloudBox, exceto:

• Para suboperadores listados na Política de Privacidade que processem dados em contexto técnico limitado (ex: emissão de certificados SSL)
• Mediante autorização expressa e prévia do Controlador
• Em cumprimento de obrigação legal

Em qualquer hipótese, observará os requisitos do Capítulo V da LGPD (arts. 33 a 36).

13. Vigência e Término

Este DPA vigorará pelo mesmo prazo do Contrato Principal e permanecerá em vigor enquanto a Operadora detiver dados pessoais do Controlador.

Ao término do Contrato Principal, observar-se-ão os prazos e procedimentos de devolução/eliminação de dados previstos na Política de Privacidade e nos Termos de Uso do CloudBox.

14. Encarregados de Dados

14.1. DPO da Operadora

14.2. DPO do Controlador

O Controlador deve indicar abaixo seu Encarregado, se aplicável:

15. Disposições Finais

15.1. Prevalência

Em caso de conflito entre as disposições deste DPA e o Contrato Principal sobre proteção de dados pessoais, prevalecerão as disposições deste DPA.

15.2. Alterações

Alterações neste DPA, decorrentes de mudanças regulatórias ou técnicas, serão comunicadas com antecedência mínima de 30 dias e seguirão o procedimento previsto nos Termos de Uso.

15.3. Foro

Fica eleito o foro da Comarca de Brasília/DF para dirimir controvérsias decorrentes deste DPA.

Assinaturas