Acuerdo de Procesamiento de Datos (DPA)

1. Partes y Alcance

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre:

• Responsable del Tratamiento (Controlador) — La organizacion cliente que contrata los servicios de ChatSense y que determina las finalidades y los medios del tratamiento de datos personales de sus clientes finales.
• Encargado del Tratamiento (Procesador) — Omega Capital Holding Gestao e Participacoes Empresariais Ltda ("ChatSense", "nosotros", "nuestro"), que procesa datos personales en nombre y bajo las instrucciones del Responsable del Tratamiento.

Alcance: Este DPA se aplica a todos los datos personales de clientes finales del Responsable del Tratamiento que sean procesados a traves de la plataforma ChatSense, como complemento a los Terminos de Uso y a la Politica de Privacidad. En caso de conflicto entre este DPA y los Terminos de Uso, las disposiciones de este DPA prevaleceran en lo que respecta al tratamiento de datos personales.

2. Definiciones

Para los fines de este DPA, los terminos siguientes poseen los siguientes significados, alineados con la LGPD (Ley N.o 13.709/2018) y el GDPR (Reglamento UE 2016/679):

• Dato Personal — Cualquier informacion relacionada con una persona natural identificada o identificable (LGPD art. 5, I; GDPR art. 4(1)).
• Tratamiento — Toda operacion realizada con datos personales, incluyendo recoleccion, recepcion, almacenamiento, modificacion, comunicacion, transferencia, difusion, extraccion y eliminacion (LGPD art. 5, X; GDPR art. 4(2)).
• Responsable del Tratamiento (Controlador) — Persona natural o juridica a quien competen las decisiones referentes al tratamiento de datos personales (LGPD art. 5, VI; GDPR art. 4(7)).
• Encargado del Tratamiento (Procesador) — Persona natural o juridica que realiza el tratamiento de datos personales en nombre del responsable del tratamiento (LGPD art. 5, VII; GDPR art. 4(8)).
• Sub-encargado (Sub-procesador) — Tercero contratado por el Encargado del Tratamiento para realizar actividades especificas de tratamiento de datos personales en nombre del Responsable del Tratamiento.
• Violacion de Datos Personales — Incidente de seguridad que resulte en acceso no autorizado, destruccion, perdida, alteracion o divulgacion de datos personales (LGPD art. 46; GDPR art. 4(12)).
• ANPD — Autoridade Nacional de Protecao de Dados, organo responsable de velar por la proteccion de datos personales en Brasil (LGPD art. 55-A).
• Autoridad de Supervision — Autoridad publica independiente responsable de la supervision de la aplicacion de la legislacion de proteccion de datos en su jurisdiccion (GDPR art. 4(21)).

3. Objeto y Duracion

Objeto: Este DPA establece los terminos y condiciones bajo los cuales el Encargado del Tratamiento (ChatSense) realizara el tratamiento de datos personales en nombre del Responsable del Tratamiento (organizacion cliente), exclusivamente para fines de prestacion de los servicios de la plataforma ChatSense de atencion multicanal al cliente.

Duracion: Este DPA permanecera vigente durante toda la vigencia del contrato principal (Terminos de Uso) entre el Responsable del Tratamiento y el Encargado del Tratamiento, y se extendera hasta que todos los datos personales hayan sido devueltos o eliminados conforme las disposiciones de este acuerdo.

4. Naturaleza y Finalidad del Tratamiento

El Encargado del Tratamiento realizara el tratamiento de datos personales exclusivamente para las siguientes finalidades:

• Recepcion, almacenamiento y transmision de mensajes multicanal — Procesamiento de comunicaciones recibidas y enviadas via WhatsApp, Instagram DM, Facebook Messenger, Telegram, Email y Live Chat.
• Procesamiento por Inteligencia Artificial — Utilizacion de modelos de lenguaje (LLM) para generacion de respuestas automatizadas, sugerencias de respuesta, resumen y clasificacion de conversaciones, conforme lo descrito en la Politica de Inteligencia Artificial.
• Almacenamiento de medios — Almacenamiento seguro de archivos de medios (imagenes, audio, video, documentos) enviados o recibidos durante las interacciones.
• Analisis de sentimiento — Clasificacion automatizada del sentimiento expresado por los clientes finales en las interacciones.
• Generacion de reportes agregados — Produccion de reportes analiticos y estadisticos sobre volumen, desempeno y calidad de la atencion, utilizando datos anonimizados o agregados cuando sea posible.

5. Tipos de Datos Personales Procesados

Los siguientes tipos de datos personales podran ser procesados por el Encargado del Tratamiento en el contexto de la prestacion de los servicios:

• Datos de identificacion — Nombre, numero de telefono, direccion de correo electronico.
• Contenido de comunicaciones — Mensajes de texto enviados y recibidos en todos los canales soportados.
• Archivos de medios — Imagenes, grabaciones de audio, videos y documentos compartidos durante las interacciones.
• Datos de ubicacion — Informacion de ubicacion voluntariamente compartida por los clientes finales (por ejemplo, via WhatsApp).
• Metadatos tecnicos — Direccion IP, user-agent del navegador, timestamps de interacciones, identificadores de sesion.
• Datos de CRM — Empresa, cargo/funcion, documento (CPF/CNPJ), sitio web, fecha de nacimiento y demas campos de enriquecimiento de registro.

6. Categorias de Titulares

Los datos personales procesados se refieren a las siguientes categorias de titulares:

• Clientes finales y contactos — Personas que interactuan con las organizaciones contratantes (Responsables del Tratamiento) a traves de los canales de atencion integrados a la plataforma ChatSense.
• Visitantes de widgets de chat — Usuarios que acceden e interactuan con widgets de live chat incorporados en los sitios de las organizaciones contratantes.
• Destinatarios de campanas — Personas que reciben mensajes de campanas de comunicacion enviadas por las organizaciones contratantes a traves de la plataforma.

7. Obligaciones del Encargado del Tratamiento (ChatSense)

El Encargado del Tratamiento se compromete a:

7.1 Instrucciones Documentadas

Procesar datos personales exclusivamente con base en instrucciones documentadas del Responsable del Tratamiento, incluyendo las instrucciones contenidas en este DPA, en los Terminos de Uso y en eventuales instrucciones adicionales por escrito. En caso de que el Encargado del Tratamiento considere que una instruccion del Responsable del Tratamiento viola la legislacion de proteccion de datos aplicable, el Encargado del Tratamiento informara al Responsable del Tratamiento de manera inmediata.

7.2 Confidencialidad

Garantizar que todas las personas autorizadas a procesar datos personales se hayan comprometido con obligaciones de confidencialidad, ya sea mediante acuerdos de no divulgacion (NDAs), clausulas contractuales u obligaciones legales equivalentes.

7.3 Medidas Tecnicas y Organizativas

Implementar y mantener medidas tecnicas y organizativas adecuadas para garantizar un nivel de seguridad compatible con el riesgo del tratamiento, conforme el art. 46 de la LGPD y el art. 32 del GDPR. Las medidas implementadas se detallan en el Anexo: Medidas Tecnicas y Organizativas (TOMs) de este DPA (Seccion 13).

7.4 Notificacion de Violaciones

Notificar al Responsable del Tratamiento sobre cualquier violacion de datos personales en un plazo maximo de 72 (setenta y dos) horas despues de tomar conocimiento del incidente, en conformidad con el art. 48 de la LGPD y el art. 33 del GDPR. La notificacion contendra la informacion detallada en la Seccion 11 de este DPA.

7.5 Derechos de los Titulares

Asistir al Responsable del Tratamiento, por medios tecnicos y organizativos adecuados, en el cumplimiento de su obligacion de responder a solicitudes de ejercicio de derechos de los titulares de datos personales, incluyendo acceso, rectificacion, eliminacion, portabilidad y oposicion al tratamiento.

7.6 Evaluacion de Impacto (DPIA)

Asistir al Responsable del Tratamiento en la realizacion de Evaluaciones de Impacto a la Proteccion de Datos (DPIA/RIPD), cuando sea aplicable, proporcionando la informacion necesaria sobre las operaciones de tratamiento realizadas.

7.7 Devolucion o Eliminacion de Datos

Al termino del contrato, y por eleccion del Responsable del Tratamiento, devolver todos los datos personales al Responsable del Tratamiento o eliminarlos de forma segura, incluyendo las copias existentes, salvo cuando la legislacion aplicable exija la conservacion de los datos. El Responsable del Tratamiento tendra un plazo de 30 (treinta) dias despues del termino del contrato para solicitar la exportacion de sus datos antes de la eliminacion.

8. Sub-encargados

8.1 Sub-encargados Autorizados

El Responsable del Tratamiento autoriza al Encargado del Tratamiento a utilizar los siguientes sub-encargados para actividades especificas de tratamiento:

• Google Cloud (Gemini API) — Inferencia de Inteligencia Artificial para generacion de respuestas, analisis de sentimiento, resumen y clasificacion de conversaciones. Ubicacion: Estados Unidos.
• OpenAI — Generacion de embeddings vectoriales para busqueda semantica (RAG). Ubicacion: Estados Unidos.
• Meta Platforms — Entrega y recepcion de mensajes via WhatsApp Business API, Instagram DM y Facebook Messenger. Ubicacion: Estados Unidos / Irlanda.
• Telegram — Entrega y recepcion de mensajes via Telegram Bot API. Ubicacion: Emiratos Arabes Unidos.
• Stripe — Procesamiento de pagos y gestion de suscripciones. Ubicacion: Estados Unidos.
• Asaas — Procesamiento de pagos y gestion de suscripciones (mercado brasileno). Ubicacion: Brasil.

8.2 Notificacion de Cambios

El Encargado del Tratamiento notificara al Responsable del Tratamiento con una antelacion minima de 15 (quince) dias sobre la adicion o sustitucion de sub-encargados, informando el nombre del sub-encargado, la naturaleza del procesamiento y la ubicacion geografica.

8.3 Derecho de Objecion

El Responsable del Tratamiento podra objetar a la adicion o sustitucion de un sub-encargado, por escrito, en el plazo de 15 dias a partir de la notificacion. Si la objecion no puede ser razonablemente acomodada, el Responsable del Tratamiento podra rescindir el contrato sin penalidades.

8.4 Responsabilidad

El Encargado del Tratamiento permanecera integramente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones de sus sub-encargados. El Encargado del Tratamiento celebrara contratos con cada sub-encargado imponiendo obligaciones de proteccion de datos equivalentes a las establecidas en este DPA.

9. Transferencia Internacional de Datos

9.1 Transferencias a Paises Terceros

En razon de la utilizacion de los sub-encargados listados en la Seccion 8, los datos personales podran ser transferidos fuera de Brasil, en particular a los Estados Unidos de America. Estas transferencias se realizan en conformidad con el art. 33 de la LGPD y el Capitulo V del GDPR.

9.2 Mecanismos de Transferencia

• Clausulas Contractuales Estandar (SCCs) — Para transferencias a los Estados Unidos (Google, OpenAI, Meta, Stripe), el Encargado del Tratamiento utiliza las Clausulas Contractuales Estandar aprobadas por la Comision Europea, complementadas con medidas suplementarias cuando sea necesario.
• Decisiones de Adecuacion — Cuando esten disponibles y sean aplicables, el Encargado del Tratamiento basara las transferencias en decisiones de adecuacion emitidas por la ANPD o por la Comision Europea.
• Consentimiento especifico — Cuando los demas mecanismos no sean aplicables, el Responsable del Tratamiento debera obtener consentimiento especifico y destacado del titular para la transferencia internacional (LGPD art. 33, VIII).

9.3 Minimizacion de Transferencias

El Encargado del Tratamiento adopta medidas para minimizar los datos personales transferidos internacionalmente. Los embeddings vectoriales se almacenan localmente en la base de datos PostgreSQL (extension pgvector) y no se comparten con terceros. Solo el contenido estrictamente necesario para inferencia de IA se envia a los proveedores de LLM.

10. Derechos de los Titulares

10.1 Cooperacion

El Encargado del Tratamiento cooperara con el Responsable del Tratamiento para atender solicitudes de ejercicio de derechos de los titulares de datos personales, conforme lo previsto en los arts. 17 a 22 de la LGPD y en los arts. 15 a 22 del GDPR, incluyendo:

• Confirmacion de la existencia de tratamiento
• Acceso a los datos personales
• Correccion de datos incompletos, inexactos o desactualizados
• Anonimizacion, bloqueo o eliminacion de datos innecesarios o excesivos
• Portabilidad de los datos
• Eliminacion de los datos personales tratados con consentimiento
• Revocacion del consentimiento

10.2 Herramientas Disponibles

ChatSense pone a disposicion los siguientes endpoints de API para facilitar el ejercicio de los derechos de los titulares:

• /gdpr-export — Exportacion completa de todos los datos personales del titular en formato estructurado y legible por maquina.
• /gdpr-erase — Eliminacion irreversible de todos los datos personales del titular, incluyendo mensajes, medios, metadatos y registros de CRM.

10.3 Plazos

El Encargado del Tratamiento asistira al Responsable del Tratamiento para responder a las solicitudes de los titulares dentro de los plazos establecidos por la legislacion aplicable: 15 (quince) dias conforme la LGPD (art. 18, parrafo 5) y 1 (un) mes conforme el GDPR (art. 12(3)), prorrogable por 2 meses mas en casos de complejidad.

11. Notificacion de Violacion de Datos

11.1 Plazo de Notificacion

El Encargado del Tratamiento notificara al Responsable del Tratamiento sobre cualquier violacion de datos personales en un plazo maximo de 72 (setenta y dos) horas despues de tomar conocimiento del incidente, en conformidad con el art. 48 de la LGPD y los arts. 33 y 34 del GDPR.

11.2 Contenido de la Notificacion

La notificacion de violacion contendra, como minimo, la siguiente informacion:

• Naturaleza de la violacion — Descripcion del incidente, incluyendo el tipo de violacion (acceso no autorizado, perdida, alteracion, divulgacion).
• Categorias y volumen de datos afectados — Tipos de datos personales comprometidos y numero aproximado de titulares y registros afectados.
• Medidas adoptadas — Acciones de contencion, mitigacion y remediacion tomadas o propuestas para minimizar los efectos de la violacion.
• Punto de contacto — Nombre y datos de contacto del Encargado de Proteccion de Datos (DPO) o responsable de la gestion del incidente.
• Consecuencias probables — Evaluacion de las posibles consecuencias de la violacion para los titulares afectados.

11.3 Cooperacion en Incidentes

El Encargado del Tratamiento cooperara integramente con el Responsable del Tratamiento en la investigacion, remediacion y comunicacion del incidente a las autoridades competentes (ANPD, Autoridades de Supervision) y a los titulares afectados, conforme lo exigido por la legislacion aplicable.

12. Auditoria

12.1 Derecho de Auditoria

El Responsable del Tratamiento tiene el derecho de solicitar evidencias de cumplimiento del Encargado del Tratamiento con las obligaciones establecidas en este DPA y en la legislacion de proteccion de datos aplicable.

12.2 Documentacion y Reportes

ChatSense proporciona las siguientes evidencias de cumplimiento mediante solicitud:

• Reportes de seguridad y evaluaciones de vulnerabilidad
• Certificaciones y atestaciones de cumplimiento aplicables
• Resultados de pruebas de penetracion (pentest)
• Registros de auditoria interna del sistema
• Documentacion de las medidas tecnicas y organizativas implementadas

12.3 Auditorias In-Situ

El Responsable del Tratamiento podra realizar auditorias in-situ, observando las siguientes condiciones:

• Aviso previo — Notificacion por escrito con una antelacion minima de 30 (treinta) dias.
• Horario — Las auditorias se realizaran durante el horario comercial, de forma que minimicen la interrupcion de las operaciones.
• Costos — Los costos de auditoria seran integramente asumidos por el Responsable del Tratamiento solicitante.
• Confidencialidad — Los auditores deberan firmar acuerdos de confidencialidad antes del inicio de la auditoria.
• Alcance — La auditoria se limitara a las operaciones de tratamiento realizadas en nombre del Responsable del Tratamiento solicitante, sin abarcar datos de otros responsables del tratamiento.

13. Anexo: Medidas Tecnicas y Organizativas (TOMs)

El Encargado del Tratamiento implementa las siguientes medidas tecnicas y organizativas para garantizar la seguridad de los datos personales procesados en nombre del Responsable del Tratamiento:

13.1 Cifrado

• En reposo — Cifrado AES-256-GCM para datos sensibles almacenados, incluyendo tokens de canales, credenciales y claves de API.
• En transito — TLS 1.2/1.3 para todas las comunicaciones entre cliente-servidor, servidor-base de datos y servidor-proveedores externos.
• Contrasenas — Hashing con Argon2id (algoritmo resistente a GPU y ataques de memoria), impidiendo la reversion de contrasenas almacenadas.

13.2 Aislamiento Multi-Tenant

• Row-Level Security (RLS) — Politicas de seguridad a nivel de fila en PostgreSQL, garantizando que cada organizacion acceda exclusivamente a sus propios datos, con aislamiento completo entre tenants.

13.3 Autenticacion y Control de Acceso

• Autenticacion multifactor (MFA/TOTP) — Soporte para autenticacion de dos factores basada en TOTP para acceso a la plataforma.
• RBAC (Role-Based Access Control) — Control de acceso basado en roles, con permisos granulares por funcionalidad.
• Proteccion SSRF — Bloqueo de solicitudes a direcciones RFC-1918, loopback y ULA en webhooks de automatizacion, previniendo ataques SSRF.

13.4 Auditoria y Monitoreo

• Audit logging — Registro completo de acciones administrativas, incluyendo direccion IP, user-agent, timestamp e identificacion del usuario.
• Monitoreo de infraestructura — Prometheus y Grafana para monitoreo continuo de metricas de sistema, desempeno y disponibilidad.
• Rastreo de errores — Sentry para deteccion, registro y alerta de errores en tiempo real.

13.5 Respaldos y Recuperacion

• Respaldos automatizados — Respaldos regulares de la base de datos con rotacion automatica, garantizando la capacidad de recuperacion en caso de incidentes.

13.6 Infraestructura

• Kubernetes — Orquestacion de contenedores con aislamiento de namespaces, politicas de red y actualizaciones automatizadas.
• Envoy Gateway — Gateway de API con soporte para HTTP/3, rate limiting y proteccion contra ataques DDoS.

Contacto

Para consultas sobre este Acuerdo de Procesamiento de Datos:

ChatSense — Omega Capital Holding Gestao e Participacoes Empresariais Ltda
CNPJ: 58.557.020/0001-48
Correo general: contato@chatsense.app
Encargado de datos (DPO): privacidade@chatsense.app
Seguridad: seguranca-ia@chatsense.app