Data Processing Agreement (DPA)
Última atualização: abril de 2025 — RASCUNHO — pendente revisão jurídica
Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Uso e regula o tratamento de dados pessoais realizado pela Pruma IA em nome do Cliente, nos termos da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
1. Partes e papéis
- Controlador: o Cliente que contrata a Pruma IA e determina as finalidades e meios do tratamento dos dados pessoais de seus usuários e aprovadores.
- Operadora: Pruma IA, que trata dados pessoais em nome do Controlador, conforme suas instruções documentadas.
2. Objeto e finalidade do tratamento
A Pruma IA trata dados pessoais exclusivamente para:
- Autenticar usuários do painel do Cliente
- Registrar e gerenciar aprovações criadas pelos fluxos n8n do Cliente
- Enviar notificações transacionais relacionadas a aprovações pendentes
- Processar pagamentos e manter o serviço ativo
Nenhum dado pessoal do Cliente será usado para finalidades próprias da Pruma IA (ex.: publicidade, análise de mercado) sem consentimento explícito do Controlador.
3. Categorias de dados e titulares
| Categoria | Exemplos | Titulares |
|---|---|---|
| Dados de identificação | Nome, e-mail | Usuários do painel do Cliente |
| Dados de aprovações | Título, decisão, comentários, arquivos | Aprovadores e solicitantes |
| Logs de acesso | IP, timestamps, ações | Usuários do painel |
4. Suboperadores autorizados
O Cliente autoriza o uso dos seguintes suboperadores. A Pruma garante que todos têm obrigações de proteção de dados equivalentes às deste DPA:
- Neon — PostgreSQL (armazenamento principal)
- Vercel — hospedagem e edge runtime
- Cloudflare R2 — armazenamento de arquivos de aprovações
- Asaas — processamento de pagamentos
- Google — autenticação OAuth
- Resend — e-mails transacionais
- Meta — notificações WhatsApp (quando habilitado)
A Pruma notificará o Cliente com 30 dias de antecedência sobre qualquer alteração nos suboperadores.
5. Obrigações da Pruma (Operadora)
- Tratar dados somente conforme instruções documentadas do Controlador
- Garantir que pessoas autorizadas estão sob obrigação de confidencialidade
- Implementar medidas técnicas e organizacionais adequadas (criptografia TLS, acesso mínimo, monitoramento)
- Auxiliar o Controlador no atendimento a direitos dos titulares
- Excluir ou devolver dados ao término do contrato, conforme instrução do Controlador
- Disponibilizar informações necessárias para demonstrar conformidade
6. Notificação de incidentes
Em caso de incidente de segurança que afete dados pessoais do Cliente:
- Notificação ao Controlador: em até 24 horas após ciência do incidente
- Notificação à ANPD: em até 72 horas, quando aplicável
- A notificação incluirá: natureza do incidente, categorias e volume de dados afetados, medidas tomadas e recomendadas
7. Direito de auditoria
O Cliente pode solicitar auditoria das práticas de processamento da Pruma, mediante aviso prévio de 30 dias. A auditoria será conduzida em horário comercial, sem impacto para outros clientes, e a Pruma poderá exigir NDA para proteção de informações confidenciais de terceiros.
8. Transferência internacional de dados
Dados podem ser transferidos para os EUA (Neon, Vercel, Cloudflare, Google, Resend). Essas transferências são amparadas por cláusulas contratuais padrão ou adequação reconhecida, conforme art. 33 da LGPD.
9. Direitos dos titulares durante a vigência
Titulares de dados podem exercer seus direitos previstos na LGPD (acesso, correção, exclusão, portabilidade, revogação de consentimento) a qualquer momento durante a relação contratual, enviando solicitação para privacidade@pruma.io. A Pruma responderá em até 15 dias úteis e executará as ações cabíveis conforme a legislação vigente.
Pedidos de exclusão de dados durante a vigência serão atendidos desde que não haja obrigação legal de retenção (ex.: dados fiscais retidos por 5 anos). Quando a exclusão não for possível, a Pruma informará o motivo e o prazo estimado.
10. Duração e encerramento
Este DPA vigora pelo período da relação contratual entre as partes. Ao término, a Pruma excluirá os dados pessoais do Cliente em até 30 dias, salvo obrigação legal de retenção. Dados de aprovações serão mantidos pelo período legal mínimo (5 anos para fins fiscais) e depois eliminados.
11. Contato
Para questões relativas a este DPA: privacidade@pruma.io