Acordo de Tratamento de Dados

v1.0-2026-05-20 · vigente em 2026-06-05 · Artigo 28 do GDPR + Prestadora de Serviços do CCPA

Este Acordo de Tratamento de Dados (o “DPA”) é incorporado e passa a fazer parte do Acordo Mestre de Serviços (o “MSA”) entre [Entidade jurídica do Cliente] (o “Controlador”) e a Ataski, Inc. (o “Operador”). Ele rege o Tratamento de Dados Pessoais realizado pelo Operador em nome do Controlador.

1. Definições

Os termos usados neste DPA têm o significado atribuído no GDPR (Regulamento (UE) 2016/679) e no CCPA (Cal. Civ. Code §1798.140), quando aplicável. As seguintes definições aplicam-se a ambos os regimes:

• Controlador. A pessoa física ou jurídica que determina as finalidades e os meios do Tratamento de Dados Pessoais (Artigo 4(7) do GDPR). Para os fins deste DPA, o Cliente é o Controlador.
• Operador. A pessoa física ou jurídica que trata Dados Pessoais em nome do Controlador (Artigo 4(8) do GDPR). A Ataski é o Operador. Para os fins do CCPA, a Ataski opera como Prestadora de Serviços (Cal. Civ. Code §1798.140(ag)).
• Dados Pessoais. Qualquer informação relacionada a uma pessoa física identificada ou identificável (Artigo 4(1) do GDPR) ou Informação Pessoal (CCPA §1798.140(v)) que o Controlador transmite para ou através do Serviço, ou que o Serviço coleta em nome do Controlador.
• Tratamento. Qualquer operação realizada sobre Dados Pessoais, incluindo coleta, armazenamento, análise, uso, divulgação, exclusão (Artigo 4(2) do GDPR).
• Subprocessador. Qualquer terceiro contratado pela Ataski para Tratar Dados Pessoais em nome do Controlador. A lista atual é publicada em /legal/subprocessors.
• Titular dos Dados. Uma pessoa física identificada ou identificável a quem os Dados Pessoais se referem.

2. Objeto e duração

Objeto. O Operador presta serviços de equipe de IA ao Controlador (os “Serviços”). No curso da prestação dos Serviços, o Operador trata Dados Pessoais em nome do Controlador, de acordo com as instruções documentadas do Controlador.

Duração. Este DPA entra em vigor em 2026-06-05 e permanece em vigor pela duração da assinatura subjacente, mais uma janela de retenção de dados de 30 dias durante a qual o Controlador pode exportar os Dados do Cliente via o endpoint de autoatendimento /api/export, após o que o Operador exclui todos os Dados do Cliente (Artigo 28(3)(g) do GDPR).

3. Natureza e finalidade do Tratamento

A natureza e a finalidade do Tratamento são determinadas pelas funções de equipe de IA que o Controlador ativa no seu workspace (Assistente de Vendas de Saída, Contato com Profissionais Licenciados, Analista Financeiro, Redator de Board Pack, Redator de Respostas de Suporte, Gerente de Renovações, Monitor de Contas de Clientes, Resumo de Contrato, Coordenador de Resumos de Reunião). A matriz de capacidades de cada função é publicada na página de marketing correspondente, e a ativação da função pelo Controlador constitui instrução documentada para Tratar Dados Pessoais dentro do escopo declarado dessa função.

4. Tipos de Dados Pessoais e categorias de Titulares dos Dados

Tipos de Dados Pessoais. Dados de contato profissional (nome, e-mail corporativo, telefone corporativo, cargo); metadados de comunicações (carimbos de hora de envio / recebimento de e-mail, presença em reuniões); conteúdo fornecido pelo Controlador (CSVs enviados, materiais de conselho, minutas de contrato); insumos e resultados de modelo (prompts e respostas rascunhadas por IA).

Categorias de Titulares dos Dados. Os funcionários, contratados, clientes, prospects, fornecedores, membros do conselho e participantes de reuniões do Controlador cujos dados o Controlador transmite para ou através do Serviço.

5. Obrigações do Controlador

O Controlador é responsável pela conformidade com as leis de proteção de dados aplicáveis em relação aos Dados Pessoais que transmite ao Serviço, incluindo estabelecer uma base legal para o Tratamento (Artigo 6 do GDPR) e fornecer as notificações exigidas aos Titulares dos Dados. O Controlador garante que suas instruções documentadas ao Operador cumprem o GDPR e demais leis de proteção de dados aplicáveis.

6. Obrigações do Operador (Artigo 28(3) do GDPR)

1. Instruções documentadas. O Operador trata Dados Pessoais apenas mediante instruções documentadas do Controlador, inclusive no que diz respeito a transferências internacionais de dados, salvo se for exigido a fazê-lo por lei da União ou de Estado-Membro à qual o Operador esteja sujeito; nesse caso, o Operador informa o Controlador dessa exigência legal antes do Tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público.
2. Confidencialidade. O Operador assegura que as pessoas autorizadas a tratar Dados Pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação estatutária adequada de confidencialidade.
3. Segurança. O Operador implementa Medidas Técnicas e Organizacionais apropriadas (Apêndice A) para garantir um nível de segurança adequado ao risco (Artigo 32 do GDPR).
4. Subtratamento. O Operador contrata Subprocessadores apenas nas condições do §7 abaixo.
5. Assistência aos direitos do Titular dos Dados. O Operador assiste o Controlador, por meio de medidas técnicas e organizacionais apropriadas, no cumprimento da obrigação do Controlador de responder a solicitações de Titulares dos Dados nos termos do Capítulo III do GDPR (Artigos 12–23).
6. Assistência aos Artigos 32–36. O Operador assiste o Controlador a garantir a conformidade com os Artigos 32 (Segurança), 33 (Notificação de violação), 34 (Comunicação de violação), 35 (RIPD) e 36 (Consulta prévia) do GDPR, levando em conta a natureza do Tratamento e as informações disponíveis ao Operador.
7. Devolução ou exclusão. Mediante o término dos Serviços, o Operador devolve ou exclui todos os Dados Pessoais à escolha do Controlador, e exclui as cópias existentes, salvo se a lei da União ou de Estado-Membro exigir o armazenamento. A janela padrão é de 30 dias a partir do término via o endpoint de autoatendimento /api/export e a tarefa automatizada de exclusão pós-30 dias.
8. Auditoria. O Operador disponibiliza ao Controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas no Artigo 28 do GDPR e permite e contribui para auditorias, incluindo inspeções, conduzidas pelo Controlador ou por outro auditor mandatado pelo Controlador. As auditorias podem ser conduzidas no máximo uma vez por ano civil, salvo se exigido por ordem de autoridade supervisora.

7. Subprocessadores

O Controlador concede ao Operador, por meio deste, autorização geral por escrito para contratar os Subprocessadores listados em /legal/subprocessors (incorporados por referência). O Operador informará o Controlador de quaisquer alterações pretendidas a essa lista, dando ao Controlador não menos que 30 dias de aviso prévio, durante os quais o Controlador pode se opor por motivos razoáveis. O Operador permanece responsável perante o Controlador pelos atos e omissões de cada Subprocessador como se fossem seus próprios.

O Operador assegura que cada Subprocessador esteja vinculado por um acordo escrito que imponha obrigações de proteção de dados não menos protetivas do que as deste DPA. A lista atual de Subprocessadores compreende 18 fornecedores em 2026-06-05 (consulte a página pública de subprocessadores para a lista canônica).

8. Transferências internacionais

Quando Dados Pessoais são transferidos do Espaço Econômico Europeu, do Reino Unido ou da Suíça para um país terceiro que não se beneficia de uma decisão de adequação, o Operador e o Controlador concordam que as Cláusulas Contratuais Padrão da UE (Decisão de Execução da Comissão (UE) 2021/914) se aplicam, Módulo Dois (Controlador para Operador) quando o Controlador estiver estabelecido no EEE, com a Ataski atuando como importadora de dados. O Adendo de Transferência Internacional de Dados do Reino Unido e a orientação do Comissário Federal de Proteção de Dados e Informação da Suíça aplicam-se mutatis mutandis para as transferências do Reino Unido e da Suíça, respectivamente. Quando aplicável, a Ataski participa do EU–US Data Privacy Framework e de suas extensões para o Reino Unido e a Suíça; o Controlador pode invocar, à sua escolha, a certificação DPF ou as SCCs.

9. Violação de Dados Pessoais

O Operador notifica o Controlador sem atraso indevido e, em qualquer caso, em até 72 horas, após tomar conhecimento de uma violação de Dados Pessoais (Artigos 4(12), 33 do GDPR). A notificação descreve a natureza da violação, incluindo, quando possível, as categorias e o número aproximado de Titulares dos Dados envolvidos, as consequências prováveis e as medidas tomadas ou propostas para tratar a violação.

10. Vigência e rescisão

Este DPA permanece em vigor enquanto o Operador tratar Dados Pessoais em nome do Controlador nos termos do MSA. Qualquer das partes pode rescindir este DPA apenas rescindindo o MSA de acordo com seus termos; na rescisão, o Operador conclui o procedimento de devolução / exclusão do §6(7) acima.

11. Lei aplicável

Este DPA é regido pela lei especificada no MSA. Nada neste DPA derroga os direitos concedidos aos Titulares dos Dados pela lei da União, de Estado-Membro ou outra lei de proteção de dados aplicável.

Apêndice A — Medidas Técnicas e Organizacionais (Artigo 32 do GDPR)

O Operador implementa as seguintes Medidas Técnicas e Organizacionais (“MTOs”) para garantir um nível de segurança adequado ao risco, de acordo com o Artigo 32 do GDPR:

• Multi-tenancy. Per-tenant data isolation via Postgres Row Level Security; every customer-data table enforces the tenant_id session variable at the database layer (defence-in-depth on top of application-level scoping).
• Encryption at rest. All credential material stored encrypted via Fernet (AES-128 in CBC mode with HMAC-SHA-256 authentication). Database storage layer encryption provided by Neon (AES-256); object storage encryption provided by Cloudflare R2 (AES-256).
• Encryption in transit. TLS 1.3 enforced on every HTTPS endpoint and database connection; mutual-TLS for sub-processor API calls where the vendor supports it.
• Access control. WorkOS-backed SSO + SAML for tenant workspaces; role-gated approval workflows for high-stakes actions (board pack approval, monthly investor update send, outbound email send) per CLAUDE.md principle #9 capability matrix.
• Audit logging. Append-only audit_log table with database-level REVOKE UPDATE/DELETE; every LLM call, external API call, and data modification logged with tenant_id, user_id, correlation_id, cost, and latency.
• PII handling. Service Provider posture per CCPA §1798.140(ag); contact records stay in per-tenant RLS scope and are never aggregated across tenants. Per-tenant deletion within 45 days of request via /privacy/optout.
• Cost guardrails. Four-tier cost ceiling (provider limit, per-task budget, per-customer daily cap, global kill switch) prevents runaway exfiltration via a compromised credential.
• Incident response. Bugsink error tracking with 24-hour customer notification for any incident involving Customer Data; status page operated via Better Stack with uptime monitoring on every tenant-facing endpoint.
• Personnel. All personnel with access to Customer Data bound by confidentiality covenants; principle of least privilege enforced via role-gated routes; access reviewed quarterly.

Apêndice B — Subprocessadores

A lista atual de Subprocessadores é publicada em /legal/subprocessors e é incorporada a este DPA por referência. Em 2026-06-05 a lista compreende 18 fornecedores.