Anexo Contratual

Contrato de Operador-Controlador

Tratamento de Dados Pessoais conforme LGPD (Lei nº 13.709/2018)

Modelo Versão 1.0 - Maio/2026 - Documento personalizável conforme cliente

Sobre este documento Este é o modelo de Contrato de Operador-Controlador (DPA) que é firmado entre a Suport Express e seus Clientes B2B. Disponível publicamente para análise prévia de juristas e DPOs. Ao contratar o serviço Webmail Express, este contrato é parte integrante e indissociável do contrato principal.

Preâmbulo

Este Contrato de Tratamento de Dados Pessoais ("DPA - Data Processing Agreement"), parte integrante e indissociável do contrato principal de prestação de serviço Webmail Express, regula o tratamento de dados pessoais entre as Partes em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - "LGPD").

Pelo presente instrumento:

SUPORT EXPRESS COMPUTADORES LTDA, sociedade empresária limitada, inscrita no CNPJ sob o nº 03.084.911/0001-32, com sede em SRTV/Norte Quadra 701, Conjunto C, nº 124, Sala 409, Ala "A", Asa Norte, Brasília/DF, CEP 70.719-000, doravante denominada "OPERADORA";

______________________________________________ (Razão Social), inscrita no CNPJ sob o nº ______________________, com sede em ______________________________________________, neste ato representada por seu(sua) representante legal Sr.(Sra.) ______________________, portador(a) do CPF nº ______________________, doravante denominada "CONTROLADORA";

em conjunto denominadas "PARTES", têm entre si justo e contratado o presente, mediante as cláusulas e condições seguintes:

Cláusula 1ª - Definições

Para os fins deste Contrato, aplicam-se as definições da LGPD, em especial:

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.

Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. No presente Contrato, o Controlador é o Cliente da Suport Express.

Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Neste Contrato, a Operadora é a Suport Express.

Tratamento: toda operação realizada com dados pessoais.

Incidente de Segurança: qualquer acesso não autorizado, perda acidental, destruição, alteração ou comunicação indevida de dados pessoais.

Cláusula 2ª - Objeto

2.1. Este Contrato regula o tratamento de dados pessoais realizado pela OPERADORA em nome da CONTROLADORA, no contexto da prestação do serviço Webmail Express, conforme contrato principal de prestação de serviço firmado entre as Partes.

2.2. A OPERADORA tratará dados pessoais exclusivamente conforme as instruções da CONTROLADORA e nos limites necessários à prestação dos serviços contratados.

Cláusula 3ª - Papéis e Responsabilidades

3.1. Papel da CONTROLADORA

A CONTROLADORA é responsável por:

Determinar as finalidades e os meios do tratamento dos dados pessoais
Garantir base legal adequada para o tratamento
Informar adequadamente os Titulares sobre o tratamento dos seus dados
Atender solicitações dos Titulares no exercício de seus direitos
Manter atualizadas as informações cadastrais junto à OPERADORA
Configurar adequadamente o serviço (criação de mailboxes, permissões, políticas internas)
Treinar seus colaboradores e Usuários Finais sobre uso adequado
Garantir segurança das credenciais de acesso

3.2. Papel da OPERADORA

A OPERADORA é responsável por:

Tratar dados pessoais exclusivamente conforme instruções da CONTROLADORA
Aplicar medidas técnicas e administrativas de segurança adequadas
Manter sigilo sobre os dados pessoais tratados
Auxiliar a CONTROLADORA no atendimento de solicitações de Titulares
Notificar a CONTROLADORA em caso de incidente de segurança
Não compartilhar dados com terceiros sem instrução expressa da CONTROLADORA
Eliminar ou devolver os dados ao final do contrato
Cooperar com auditorias razoavelmente solicitadas pela CONTROLADORA

Cláusula 4ª - Escopo do Tratamento

4.1. Categorias de Dados Tratados

Categoria	Tipo de dado
Identificação dos Usuários	Nome completo, e-mail corporativo, departamento/cargo (opcional)
Credenciais	Senhas (armazenadas exclusivamente como hash criptográfico)
Conteúdo	Mensagens enviadas e recebidas, anexos, contatos, calendários
Metadados de uso	IPs de acesso, data/hora de logins, agentes de usuário
Comunicações	Histórico de envio/recebimento, status de entrega

4.2. Categorias de Titulares

Colaboradores da CONTROLADORA
Contratados, prestadores e parceiros da CONTROLADORA
Clientes, fornecedores e contatos comerciais que se comunicam com a CONTROLADORA
Eventualmente, dados de terceiros mencionados em e-mails

4.3. Finalidades

Disponibilização do serviço de e-mail corporativo
Autenticação e controle de acesso
Armazenamento de mensagens e conteúdos
Backup e recuperação de dados
Filtros antispam, antivírus e segurança
Suporte técnico mediante solicitação
Cumprimento de obrigações legais

4.4. Duração do Tratamento

O tratamento será realizado durante toda a vigência do contrato principal de prestação de serviço, sendo encerrado conforme cláusula 11ª.

Cláusula 5ª - Medidas de Segurança

5.1. Medidas Técnicas

A OPERADORA adota e mantém as seguintes medidas técnicas de segurança:

Criptografia em trânsito: TLS 1.2+ obrigatório
Criptografia de senhas: hash criptográfico (BLF-CRYPT/SSHA512)
Backup criptografado em servidor localizado em Brasília/DF
Autenticação de dois fatores (2FA) disponível
Controle de acesso baseado em função (princípio do menor privilégio)
Logs de auditoria de acessos administrativos
Anti-spam e antivírus: Rspamd e ClamAV
Firewall com regras restritivas
Monitoramento contínuo 24x7
Atualizações regulares de segurança

5.2. Medidas Administrativas

Termo de Confidencialidade assinado por todos os colaboradores
Treinamento periódico em proteção de dados e LGPD
Política interna de Segurança da Informação documentada
Procedimentos formalizados de resposta a incidentes
Revisão periódica de permissões e acessos
Encarregado de Proteção de Dados (DPO): dpo@suportexpress.com

Cláusula 6ª - Subcontratação (Sub-Operadores)

6.1. Sub-Operadores Autorizados

A CONTROLADORA autoriza expressamente a OPERADORA a utilizar os seguintes sub-operadores na prestação do serviço:

Sub-operador	Finalidade	Localização
Hetzner Online GmbH	Hospedagem da infraestrutura primária	União Europeia
Cloudflare Inc.	CDN, segurança, proxy reverso	Global (com DPA)
Sendinblue SAS (Brevo)	Relay SMTP para envios externos	União Europeia
Gateway de Pagamento	Processamento de pagamentos	Brasil (PCI-DSS)

6.2. Garantias dos Sub-Operadores

A OPERADORA garante que todos os sub-operadores:

Atendem padrões de segurança equivalentes ou superiores aos seus
Possuem políticas de proteção de dados compatíveis com a LGPD
Quando localizados na União Europeia, são regidos pelo GDPR
Tratam os dados apenas para as finalidades contratadas

6.3. Alteração de Sub-Operadores

A OPERADORA poderá alterar a lista de sub-operadores, mediante comunicação prévia à CONTROLADORA com antecedência mínima de 30 (trinta) dias.

Cláusula 7ª - Transferência Internacional de Dados

7.1. Cenários de Transferência

Em decorrência da arquitetura técnica do serviço, dados pessoais poderão ser transferidos internacionalmente para os seguintes cenários, todos amparados por bases legais da LGPD (Art. 33):

Servidor primário de hospedagem em país da União Europeia
CDN global (Cloudflare) para acesso eficiente
Relay SMTP localizado na União Europeia

7.2. Garantias da Transferência

Para países que oferecem grau de proteção de dados adequado, conforme Art. 33, I da LGPD
Sob égide do GDPR (padrão internacional rigoroso)
Com cláusulas contratuais padrão equivalentes às reconhecidas pela ANPD
Mediante medidas técnicas robustas (criptografia em trânsito e em repouso)

7.3. Backup Nacional

Garantia adicional Independentemente do servidor primário, a OPERADORA mantém backup completo em território nacional brasileiro, na cidade de Brasília/DF, garantindo redundância geográfica e conformidade com eventuais requisitos de soberania de dados.

Cláusula 8ª - Direitos dos Titulares

8.1. Atendimento pela CONTROLADORA

A CONTROLADORA é a parte responsável primária por atender solicitações dos Titulares relativas aos seus direitos previstos no Art. 18 da LGPD.

8.2. Auxílio da OPERADORA

A OPERADORA fornecerá à CONTROLADORA todo o auxílio técnico razoável para atendimento das solicitações dos Titulares, em especial:

Geração de relatório de dados de um Titular específico
Exportação de dados em formato estruturado para portabilidade
Eliminação de dados de um Titular específico mediante solicitação fundamentada
Bloqueio temporário de mailbox específica

8.3. Solicitações Diretas à OPERADORA

Caso um Titular contate diretamente a OPERADORA, esta encaminhará a solicitação à CONTROLADORA dentro de até 5 (cinco) dias úteis.

Cláusula 9ª - Incidentes de Segurança

9.1. Notificação à CONTROLADORA

Em caso de incidente de segurança envolvendo dados pessoais sob tratamento, a OPERADORA notificará a CONTROLADORA em prazo não superior a 48 (quarenta e oito) horas da constatação, contendo no mínimo:

Descrição da natureza do incidente
Categorias e número aproximado de dados/Titulares afetados
Possíveis consequências para os Titulares
Medidas técnicas adotadas para mitigar o incidente
Plano de ação e cronograma para resolução
Identificação de contato para informações adicionais

9.2. Cooperação

A OPERADORA cooperará com a CONTROLADORA no atendimento das obrigações de notificação à ANPD e aos Titulares afetados, conforme exigido pela LGPD (Art. 48).

9.3. Documentação

A OPERADORA manterá registro detalhado de todos os incidentes de segurança por prazo mínimo de 5 (cinco) anos.

Cláusula 10ª - Auditoria

10.1. Direito de Auditoria

A CONTROLADORA poderá auditar o cumprimento das obrigações deste DPA pela OPERADORA, mediante:

Solicitação formal com antecedência mínima de 30 (trinta) dias
Frequência máxima anual, salvo em caso de incidente
Realização em horário comercial
Sigilo sobre informações obtidas
Custos por conta da CONTROLADORA

10.2. Documentação Disponível

A OPERADORA disponibilizará à CONTROLADORA, mediante solicitação:

Política de Privacidade vigente
Política de Segurança da Informação (resumo executivo)
Relatórios de incidentes (resumidos)
Certificações relevantes (quando aplicáveis)
Lista atualizada de sub-operadores

Cláusula 11ª - Término do Tratamento

11.1. Encerramento

Ao término do contrato principal de prestação de serviço, a OPERADORA:

Manterá os dados acessíveis ao Cliente por 30 (trinta) dias
Após esse período, eliminará definitivamente todos os dados pessoais sob tratamento
Eliminará backups conforme política de retenção (até 7 dias adicionais)
Manterá apenas logs e dados necessários para cumprimento de obrigações legais
Fornecerá declaração de eliminação mediante solicitação

Cláusula 12ª - Vigência

Este DPA entra em vigor na mesma data do contrato principal de prestação de serviço Webmail Express e permanecerá válido durante toda a vigência deste, bem como após o seu término no que se refere às obrigações de sigilo, eliminação e cooperação remanescentes.

Cláusula 13ª - Disposições Gerais

13.1. Conformidade Legal

As Partes obrigam-se a cumprir integralmente a LGPD, demais legislações de proteção de dados aplicáveis e regulamentações da ANPD.

13.2. Alterações

Alterações neste DPA serão formalizadas mediante aditivo contratual, assinado por ambas as Partes ou aceito eletronicamente.

13.3. Conflitos

Em caso de conflito entre este DPA e o contrato principal, prevalecerão as disposições deste DPA quanto às matérias de proteção de dados.

13.4. Foro

Fica eleito o Foro da Comarca de Brasília/DF para dirimir quaisquer questões oriundas deste DPA.

Como assinar este contrato Para formalizar este DPA com a Suport Express, baixe o PDF (botão acima), preencha os dados da sua empresa, assine (digitalmente ou em meio físico) e envie para dpo@suportexpress.com. A Suport Express assinará e devolverá em até 5 dias úteis.

Contato e Suporte

Encarregado de Proteção de Dados

Para dúvidas sobre este contrato, processo de assinatura ou qualquer questão LGPD:

📧 DPO: dpo@suportexpress.com

📧 Comercial: contato@suportexpress.com

📞 WhatsApp: (61) 99845-8081

🕐 Atendimento: Segunda a sexta, 9h às 18h