Acordo de Processamento de Dados (DPA)

Versão 1.0 — Em vigor a partir de 05 de abril de 2026

1. Partes e Escopo

Este Acordo de Processamento de Dados ("DPA") é celebrado entre:

  • Controlador — A organização cliente que contrata os serviços do ChatSense e que determina as finalidades e os meios do tratamento de dados pessoais de seus clientes finais.
  • Operador (Processador)Omega Capital Holding Gestão e Participações Empresariais Ltda ("ChatSense", "nós", "nosso"), que processa dados pessoais em nome e sob as instruções do Controlador.

Escopo: Este DPA aplica-se a todos os dados pessoais de clientes finais do Controlador que sejam processados através da plataforma ChatSense, em complemento aos Termos de Uso e à Política de Privacidade. Em caso de conflito entre este DPA e os Termos de Uso, as disposições deste DPA prevalecerão no que diz respeito ao tratamento de dados pessoais.

2. Definições

Para fins deste DPA, os termos abaixo possuem os seguintes significados, alinhados à LGPD (Lei nº 13.709/2018) e ao GDPR (Regulamento UE 2016/679):

  • Dado Pessoal — Qualquer informação relacionada a pessoa natural identificada ou identificável (LGPD art. 5, I; GDPR art. 4(1)).
  • Tratamento — Toda operação realizada com dados pessoais, incluindo coleta, recepção, armazenamento, modificação, comunicação, transferência, difusão, extração e eliminação (LGPD art. 5, X; GDPR art. 4(2)).
  • Controlador — Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (LGPD art. 5, VI; GDPR art. 4(7)).
  • Operador (Processador) — Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (LGPD art. 5, VII; GDPR art. 4(8)).
  • Sub-operador (Sub-processador) — Terceiro contratado pelo Operador para realizar atividades específicas de tratamento de dados pessoais em nome do Controlador.
  • Violação de Dados Pessoais — Incidente de segurança que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais (LGPD art. 46; GDPR art. 4(12)).
  • ANPD — Autoridade Nacional de Proteção de Dados, órgão responsável por zelar pela proteção de dados pessoais no Brasil (LGPD art. 55-A).
  • Autoridade Supervisora — Autoridade pública independente responsável pela supervisão da aplicação da legislação de proteção de dados em sua jurisdição (GDPR art. 4(21)).

3. Objeto e Duração

Objeto: Este DPA estabelece os termos e condições sob os quais o Operador (ChatSense) realizará o tratamento de dados pessoais em nome do Controlador (organização cliente), exclusivamente para fins de prestação dos serviços da plataforma ChatSense de atendimento multicanal ao cliente.

Duração: Este DPA permanecerá em vigor durante toda a vigência do contrato principal (Termos de Uso) entre o Controlador e o Operador, e se estenderá até que todos os dados pessoais tenham sido devolvidos ou eliminados conforme as disposições deste acordo.

4. Natureza e Finalidade do Tratamento

O Operador realizará o tratamento de dados pessoais exclusivamente para as seguintes finalidades:

  • Recebimento, armazenamento e transmissão de mensagens multicanal — Processamento de comunicações recebidas e enviadas via WhatsApp, Instagram DM, Facebook Messenger, Telegram, Email e Live Chat.
  • Processamento por Inteligência Artificial — Utilização de modelos de linguagem (LLM) para geração de respostas automatizadas, sugestões de resposta, sumarização e classificação de conversas, conforme descrito na Política de Inteligência Artificial.
  • Armazenamento de mídia — Armazenamento seguro de arquivos de mídia (imagens, áudio, vídeo, documentos) enviados ou recebidos durante as interações.
  • Análise de sentimento — Classificação automatizada do sentimento expresso pelos clientes finais nas interações.
  • Geração de relatórios agregados — Produção de relatórios analíticos e estatísticos sobre volume, desempenho e qualidade do atendimento, utilizando dados anonimizados ou agregados quando possível.

5. Tipos de Dados Pessoais Processados

Os seguintes tipos de dados pessoais poderão ser processados pelo Operador no contexto da prestação dos serviços:

  • Dados de identificação — Nome, número de telefone, endereço de e-mail.
  • Conteúdo de comunicações — Mensagens de texto enviadas e recebidas em todos os canais suportados.
  • Arquivos de mídia — Imagens, gravações de áudio, vídeos e documentos compartilhados durante as interações.
  • Dados de localização — Informações de localização voluntariamente compartilhadas pelos clientes finais (por exemplo, via WhatsApp).
  • Metadados técnicos — Endereço IP, user-agent do navegador, timestamps de interações, identificadores de sessão.
  • Dados de CRM — Empresa, cargo/função, documento (CPF/CNPJ), website, data de nascimento e demais campos de enriquecimento cadastral.

6. Categorias de Titulares

Os dados pessoais processados referem-se às seguintes categorias de titulares:

  • Clientes finais e contatos — Pessoas que interagem com as organizações contratantes (Controladores) através dos canais de atendimento integrados à plataforma ChatSense.
  • Visitantes de widgets de chat — Usuários que acessam e interagem com widgets de live chat incorporados nos sites das organizações contratantes.
  • Destinatários de campanhas — Pessoas que recebem mensagens de campanhas de comunicação enviadas pelas organizações contratantes através da plataforma.

7. Obrigações do Operador (ChatSense)

O Operador compromete-se a:

7.1 Instruções Documentadas

Processar dados pessoais exclusivamente com base em instruções documentadas do Controlador, incluindo as instruções contidas neste DPA, nos Termos de Uso e em eventuais instruções adicionais por escrito. Caso o Operador considere que uma instrução do Controlador viola a legislação de proteção de dados aplicável, o Operador informará o Controlador imediatamente.

7.2 Confidencialidade

Garantir que todas as pessoas autorizadas a processar dados pessoais tenham se comprometido com obrigações de confidencialidade, seja por meio de acordos de não divulgação (NDAs), cláusulas contratuais ou obrigações legais equivalentes.

7.3 Medidas Técnicas e Organizacionais

Implementar e manter medidas técnicas e organizacionais adequadas para garantir um nível de segurança compatível com o risco do tratamento, conforme o art. 46 da LGPD e o art. 32 do GDPR. As medidas implementadas estão detalhadas no Anexo: Medidas Técnicas e Organizacionais (TOMs) deste DPA (Seção 13).

7.4 Notificação de Violações

Notificar o Controlador sobre qualquer violação de dados pessoais no prazo máximo de 72 (setenta e duas) horas após tomar conhecimento do incidente, em conformidade com o art. 48 da LGPD e o art. 33 do GDPR. A notificação conterá as informações detalhadas na Seção 11 deste DPA.

7.5 Direitos dos Titulares

Auxiliar o Controlador, por meios técnicos e organizacionais adequados, no cumprimento de sua obrigação de responder a solicitações de exercício de direitos dos titulares de dados pessoais, incluindo acesso, retificação, eliminação, portabilidade e oposição ao tratamento.

7.6 Avaliação de Impacto (DPIA)

Auxiliar o Controlador na realização de Avaliações de Impacto à Proteção de Dados (DPIA/RIPD), quando aplicável, fornecendo informações necessárias sobre as operações de tratamento realizadas.

7.7 Devolução ou Eliminação de Dados

Ao término do contrato, e por escolha do Controlador, devolver todos os dados pessoais ao Controlador ou eliminá-los de forma segura, incluindo cópias existentes, salvo quando a legislação aplicável exigir a conservação dos dados. O Controlador terá um prazo de 30 (trinta) dias após o término do contrato para solicitar a exportação de seus dados antes da eliminação.

8. Sub-operadores

8.1 Sub-operadores Autorizados

O Controlador autoriza o Operador a utilizar os seguintes sub-operadores para atividades específicas de tratamento:

  • Google Cloud (Gemini API) — Inferência de Inteligência Artificial para geração de respostas, análise de sentimento, sumarização e classificação de conversas. Localização: Estados Unidos.
  • OpenAI — Geração de embeddings vetoriais para busca semântica (RAG). Localização: Estados Unidos.
  • Meta Platforms — Entrega e recebimento de mensagens via WhatsApp Business API, Instagram DM e Facebook Messenger. Localização: Estados Unidos / Irlanda.
  • Telegram — Entrega e recebimento de mensagens via Telegram Bot API. Localização: Emirados Árabes Unidos.
  • Stripe — Processamento de pagamentos e gestão de assinaturas. Localização: Estados Unidos.
  • Asaas — Processamento de pagamentos e gestão de assinaturas (mercado brasileiro). Localização: Brasil.

8.2 Notificação de Alterações

O Operador notificará o Controlador com antecedência mínima de 15 (quinze) dias sobre a adição ou substituição de sub-operadores, informando o nome do sub-operador, a natureza do processamento e a localização geográfica.

8.3 Direito de Objeção

O Controlador poderá objetar à adição ou substituição de um sub-operador, por escrito, no prazo de 15 dias a partir da notificação. Se a objeção não puder ser razoavelmente acomodada, o Controlador poderá rescindir o contrato sem penalidades.

8.4 Responsabilidade

O Operador permanecerá integralmente responsável perante o Controlador pelo cumprimento das obrigações de seus sub-operadores. O Operador celebrará contratos com cada sub-operador impondo obrigações de proteção de dados equivalentes às estabelecidas neste DPA.

9. Transferência Internacional de Dados

9.1 Transferências para Países Terceiros

Em razão da utilização dos sub-operadores listados na Seção 8, dados pessoais poderão ser transferidos para fora do Brasil, em particular para os Estados Unidos da América. Essas transferências são realizadas em conformidade com o art. 33 da LGPD e o Capítulo V do GDPR.

9.2 Mecanismos de Transferência

  • Cláusulas Contratuais Padrão (SCCs) — Para transferências aos Estados Unidos (Google, OpenAI, Meta, Stripe), o Operador utiliza as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia, complementadas por medidas suplementares quando necessário.
  • Decisões de Adequação — Quando disponíveis e aplicáveis, o Operador baseará as transferências em decisões de adequação emitidas pela ANPD ou pela Comissão Europeia.
  • Consentimento específico — Quando os demais mecanismos não forem aplicáveis, o Controlador deverá obter consentimento específico e em destaque do titular para a transferência internacional (LGPD art. 33, VIII).

9.3 Minimização de Transferências

O Operador adota medidas para minimizar os dados pessoais transferidos internacionalmente. Os embeddings vetoriais são armazenados localmente no banco de dados PostgreSQL (extensão pgvector) e não são compartilhados com terceiros. Apenas o conteúdo estritamente necessário para inferência de IA é enviado aos provedores de LLM.

10. Direitos dos Titulares

10.1 Cooperação

O Operador cooperará com o Controlador para atender solicitações de exercício de direitos dos titulares de dados pessoais, conforme previsto nos arts. 17 a 22 da LGPD e nos arts. 15 a 22 do GDPR, incluindo:

  • Confirmação da existência de tratamento
  • Acesso aos dados pessoais
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
  • Portabilidade dos dados
  • Eliminação dos dados pessoais tratados com consentimento
  • Revogação do consentimento

10.2 Ferramentas Disponíveis

O ChatSense disponibiliza os seguintes endpoints de API para facilitar o exercício dos direitos dos titulares:

  • /gdpr-export — Exportação completa de todos os dados pessoais do titular em formato estruturado e legível por máquina.
  • /gdpr-erase — Eliminação irreversível de todos os dados pessoais do titular, incluindo mensagens, mídia, metadados e registros de CRM.

10.3 Prazos

O Operador auxiliará o Controlador a responder às solicitações dos titulares dentro dos prazos estabelecidos pela legislação aplicável: 15 (quinze) dias conforme a LGPD (art. 18, §5) e 1 (um) mês conforme o GDPR (art. 12(3)), prorrogável por mais 2 meses em casos de complexidade.

11. Notificação de Violação de Dados

11.1 Prazo de Notificação

O Operador notificará o Controlador sobre qualquer violação de dados pessoais no prazo máximo de 72 (setenta e duas) horas após tomar conhecimento do incidente, em conformidade com o art. 48 da LGPD e os arts. 33 e 34 do GDPR.

11.2 Conteúdo da Notificação

A notificação de violação conterá, no mínimo, as seguintes informações:

  • Natureza da violação — Descrição do incidente, incluindo o tipo de violação (acesso não autorizado, perda, alteração, divulgação).
  • Categorias e volume de dados afetados — Tipos de dados pessoais comprometidos e número aproximado de titulares e registros afetados.
  • Medidas adotadas — Ações de contenção, mitigação e remediação tomadas ou propostas para minimizar os efeitos da violação.
  • Ponto de contato — Nome e dados de contato do Encarregado de Proteção de Dados (DPO) ou responsável pela gestão do incidente.
  • Consequências prováveis — Avaliação das possíveis consequências da violação para os titulares afetados.

11.3 Cooperação em Incidentes

O Operador cooperará integralmente com o Controlador na investigação, remediação e comunicação do incidente às autoridades competentes (ANPD, Autoridades Supervisoras) e aos titulares afetados, conforme exigido pela legislação aplicável.

12. Auditoria

12.1 Direito de Auditoria

O Controlador tem o direito de solicitar evidências de conformidade do Operador com as obrigações estabelecidas neste DPA e na legislação de proteção de dados aplicável.

12.2 Documentação e Relatórios

O ChatSense fornece as seguintes evidências de conformidade mediante solicitação:

  • Relatórios de segurança e avaliações de vulnerabilidade
  • Certificações e atestados de conformidade aplicáveis
  • Resultados de testes de penetração (pentest)
  • Registros de auditoria interna do sistema
  • Documentação das medidas técnicas e organizacionais implementadas

12.3 Auditorias In-Loco

O Controlador poderá realizar auditorias in-loco, observando as seguintes condições:

  • Aviso prévio — Notificação por escrito com antecedência mínima de 30 (trinta) dias.
  • Horário — As auditorias serão realizadas durante o horário comercial, de forma a minimizar a interrupção das operações.
  • Custos — Os custos de auditoria serão integralmente custeados pelo Controlador solicitante.
  • Confidencialidade — Os auditores deverão assinar acordos de confidencialidade antes do início da auditoria.
  • Escopo — A auditoria será limitada às operações de tratamento realizadas em nome do Controlador solicitante, não abrangendo dados de outros controladores.

13. Anexo: Medidas Técnicas e Organizacionais (TOMs)

O Operador implementa as seguintes medidas técnicas e organizacionais para garantir a segurança dos dados pessoais processados em nome do Controlador:

13.1 Criptografia

  • Em repouso — Criptografia AES-256-GCM para dados sensíveis armazenados, incluindo tokens de canais, credenciais e chaves de API.
  • Em trânsito — TLS 1.2/1.3 para todas as comunicações entre cliente-servidor, servidor-banco de dados e servidor-provedores externos.
  • Senhas — Hashing com Argon2id (algoritmo resistente a GPU e ataques de memória), impedindo a reversão de senhas armazenadas.

13.2 Isolamento Multi-Tenant

  • Row-Level Security (RLS) — Políticas de segurança em nível de linha no PostgreSQL, garantindo que cada organização acesse exclusivamente seus próprios dados, com isolamento completo entre tenants.

13.3 Autenticação e Controle de Acesso

  • Autenticação multifator (MFA/TOTP) — Suporte a autenticação de dois fatores baseada em TOTP para acesso à plataforma.
  • RBAC (Role-Based Access Control) — Controle de acesso baseado em roles (papéis), com permissões granulares por funcionalidade.
  • Proteção SSRF — Bloqueio de requisições a endereços RFC-1918, loopback e ULA em webhooks de automação, prevenindo ataques SSRF.

13.4 Auditoria e Monitoramento

  • Audit logging — Registro completo de ações administrativas, incluindo endereço IP, user-agent, timestamp e identificação do usuário.
  • Monitoramento de infraestrutura — Prometheus e Grafana para monitoramento contínuo de métricas de sistema, desempenho e disponibilidade.
  • Rastreamento de erros — Sentry para detecção, registro e alerta de erros em tempo real.

13.5 Backups e Recuperação

  • Backups automatizados — Backups regulares do banco de dados com rotação automática, garantindo a capacidade de recuperação em caso de incidentes.

13.6 Infraestrutura

  • Kubernetes — Orquestração de containers com isolamento de namespaces, políticas de rede e atualizações automatizadas.
  • Envoy Gateway — Gateway de API com suporte a HTTP/3, rate limiting e proteção contra ataques DDoS.

Contato

Para dúvidas sobre este Acordo de Processamento de Dados:

ChatSense — Omega Capital Holding Gestão e Participações Empresariais Ltda
CNPJ: 58.557.020/0001-48
E-mail geral: contato@chatsense.app
Encarregado de dados (DPO): privacidade@chatsense.app
Segurança: seguranca-ia@chatsense.app