top of page

ANEXO 03 – DPA / LGPD

Este Acordo de Tratamento de Dados Pessoais (“DPA”) integra o Contrato de Licença de Uso de Software (SaaS), Implantação, Suporte e Serviços – Plataforma IAFarma (“Contrato”), celebrado entre a CONTRATADA e a CONTRATANTE, nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) e, quando aplicável, do Marco Civil da Internet (Lei nº 12.965/2014).

 

Em caso de conflito, este DPA prevalecerá exclusivamente quanto às matérias de proteção de dados pessoais, nos termos do Contrato.

 

1. Papéis das Partes

 

A CONTRATANTE atuará como CONTROLADORA, sendo a única responsável por:

 

  • definir as finalidades e bases legais do tratamento;

  • decidir sobre o conteúdo das mensagens, fluxos e comunicações;

  • coletar, inserir e operar dados pessoais na Plataforma.

 

A CONTRATADA atuará como OPERADORA, realizando o tratamento exclusivamente conforme instruções documentadas da CONTROLADORA, para viabilizar a prestação dos serviços contratados.

 

A CONTRATADA não decide finalidade, conteúdo, público-alvo ou base legal do tratamento e não utiliza os dados para fins próprios, comerciais ou estatísticos.

 

2. Objeto e Finalidades do Tratamento

 

O tratamento de dados pessoais tem por finalidade exclusiva:

 

  • viabilizar o funcionamento da Plataforma IAFarma;

  • permitir automação de atendimento digital e relacionamento comercial;

  • registrar históricos operacionais, logs e métricas técnicas;

  • integrar a Plataforma a sistemas contratados pela CONTROLADORA.

 

O tratamento limitar-se-á ao necessário, adequado e pertinente ao objeto do Contrato.

 

3. Categorias de Titulares e Dados

 

Titulares dos dados:

 

  • clientes e potenciais clientes da CONTRATANTE;

  • usuários autorizados da Plataforma;

  • colaboradores e prepostos da CONTRATANTE;

  • entregadores ou terceiros indicados, quando aplicável.

 

Categorias de dados pessoais:

 

  • dados cadastrais (nome, telefone, e-mail);

  • dados de contato e mensagens;

  • histórico de atendimento, pedidos e interações;

  • dados operacionais vinculados ao uso da Plataforma.

 

Dados pessoais sensíveis (art. 5º, II, LGPD):

 

  • somente serão tratados se inseridos pela CONTROLADORA;

  • sob sua inteira responsabilidade;

  • exclusivamente quando houver base legal válida.

 

4. Obrigações da CONTRATANTE (Controladora)

 

Compete exclusivamente à CONTRATANTE:

 

  • garantir base legal válida para o tratamento;

  • informar adequadamente os titulares;

  • obter consentimento quando aplicável (opt‑in);

  • assegurar mecanismos de opt‑out;

  • cumprir obrigações regulatórias (ANVISA, CDC, etc.).

 

A CONTRATANTE declara que:

 

  • os dados inseridos foram coletados licitamente;

  • possui autorização para compartilhamento com a Plataforma;

  • isenta a CONTRATADA de qualquer responsabilidade por ilegalidade na origem dos dados.

 

5. Obrigações da CONTRATADA (Operadora)

 

A CONTRATADA compromete‑se a:

 

  • tratar dados exclusivamente conforme instruções da CONTROLADORA;

  • empregar medidas técnicas e organizacionais compatíveis com padrões de mercado;

  • restringir o acesso aos dados a pessoas autorizadas;

  • manter confidencialidade sobre os dados tratados.

 

A CONTRATADA não será responsável por:

 

  • conteúdo das mensagens;

  • decisões comerciais, sanitárias ou regulatórias;

  • erros decorrentes de parametrização definida pela CONTRATANTE;

  • uso indevido da Plataforma pelos usuários da CONTRATANTE.

 

6. Suboperadores e Terceiros

 

A CONTRATADA poderá utilizar suboperadores para:

 

  • hospedagem em nuvem;

  • serviços de mensageria;

  • processamento técnico necessário à operação.

 

A CONTRATADA:

 

  • manterá contratos com cláusulas equivalentes de proteção de dados;

  • permanecerá responsável perante a CONTROLADORA pelos atos dos suboperadores.

 

7. Segurança da Informação

 

A CONTRATADA adota medidas compatíveis com o estado da técnica, incluindo:

 

  • controle de acesso e autenticação;

  • segregação lógica de ambientes;

  • registros de logs;

  • criptografia de dados em trânsito e, quando aplicável, em repouso;

  • backups e monitoramento.

 

Não se exige da CONTRATADA:

 

  • garantia de segurança absoluta;

  • inexistência de incidentes;

  • certificações específicas não contratadas.

 

8. Incidentes de Segurança

 

Em caso de incidente de segurança envolvendo dados pessoais tratados pela CONTRATADA:

 

  • a CONTROLADORA será notificada em prazo razoável, após ciência;

  • a notificação incluirá, quando possível, natureza do incidente e medidas adotadas.

 

A CONTRATADA não será responsável por incidentes decorrentes de:

 

  • uso inadequado da Plataforma;

  • compartilhamento indevido de credenciais;

  • falhas nos sistemas da CONTRATANTE ou de terceiros por ela contratados;

  • exportações manuais de dados realizadas pela CONTRATANTE.

 

9. Direitos dos Titulares

 

A CONTRATADA auxiliará a CONTROLADORA, dentro dos limites técnicos, operacionais e contratuais aplicáveis, no atendimento a solicitações de titulares.

O atendimento aos titulares é responsabilidade primária e exclusiva da CONTROLADORA.

 

10. Transferência Internacional de Dados

 

Poderá haver transferência internacional de dados, em razão de hospedagem ou processamento em nuvem.

 

A CONTRATADA adotará mecanismos legais adequados, conforme a LGPD.

 

11. Retenção e Eliminação de Dados

 

Encerrado o Contrato, a CONTRATADA:

 

  • manterá os dados por até 30 (trinta) dias para exportação;

  • posteriormente, eliminará ou anonimizará os dados, salvo obrigação legal diversa.

 

A CONTRATADA poderá reter dados:

 

  • para cumprimento de obrigação legal;

  • defesa em processos judiciais ou administrativos;

  • preservação de logs técnicos permitidos por lei.

 

12. Responsabilidade

 

Cada Parte responde por suas próprias obrigações legais.

 

A CONTRATADA somente será responsável por:

 

  • tratamento em desconformidade com instruções documentadas;

  • violação direta e comprovada deste DPA.

 

Aplicam-se ao presente DPA as limitações de responsabilidade previstas no Contrato.

 

13. Natureza do DPA

 

Este DPA possui natureza complementar.

 

Não poderá ser interpretado para:

 

  • ampliar obrigações da CONTRATADA;

  • transferir responsabilidade regulatória à CONTRATADA;

  • afastar cláusulas de limitação de responsabilidade.

 

 

 

[Versão do DPA: 01 | Data: Abril/2026]

bottom of page