# ANEXO I — DPA (DATA PROCESSING AGREEMENT)

ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS

Nilara Tecnologia Ltda

CNPJ: 42.793.818/0001-59

Av. Pedro I, 2055 — São João Batista — Belo Horizonte/MG — CEP 31515-300

E-mail: contato@nilara.com.br

CONTRATANTE

devidamente identificada na Proposta Comercial e no Contrato Principal.

1. OBJETO

1.1 —

O presente DPA (Data Processing Agreement — Acordo de Processamento de Dados) regula as condições aplicáveis ao tratamento de dados pessoais realizado no contexto da prestação dos serviços de PABX Virtual em Nuvem, VoIP, numeração DID, gravação de chamadas, APIs, plataformas de comunicação e demais soluções tecnológicas fornecidas pela CONTRATADA.

1.2 —

Este DPA integra de forma indissociável o contrato principal firmado entre as partes, prevalecendo especificamente sobre as atividades de tratamento de dados pessoais.

1.3 —

As partes comprometem-se a observar integralmente a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), regulamentações da ANATEL e demais normas aplicáveis.

2. DEFINIÇÕES

Para fins deste DPA:

3. PAPÉIS DAS PARTES

3.1 —

As partes reconhecem que os papéis de CONTROLADORA e OPERADORA poderão variar conforme a natureza da atividade de tratamento realizada.

3.2 —

A CONTRATANTE atuará como CONTROLADORA em relação aos dados pessoais tratados em suas operações empresariais, incluindo:

  • dados de seus colaboradores;
  • dados de clientes e fornecedores;
  • gravações de chamadas;
  • cadastros internos;
  • comunicações realizadas por meio da plataforma.
3.3 —

A CONTRATADA atuará como OPERADORA sempre que realizar tratamento de dados pessoais em nome da CONTRATANTE, exclusivamente para execução dos serviços contratados.

3.4 —

A CONTRATADA atuará como CONTROLADORA em relação aos tratamentos necessários para:

  • faturamento;
  • prevenção à fraude;
  • segurança da informação;
  • registros técnicos e logs;
  • autenticação;
  • cumprimento de obrigações legais e regulatórias;
  • exercício regular de direitos;
  • auditoria e monitoramento operacional.

4. FINALIDADES DO TRATAMENTO

4.1 —

Os dados pessoais poderão ser tratados para as seguintes finalidades:

  • prestação dos serviços contratados;
  • autenticação SIP;
  • roteamento de chamadas;
  • fornecimento de numeração virtual;
  • gravação de chamadas;
  • suporte técnico;
  • monitoramento antifraude;
  • emissão de faturas;
  • prevenção de SPAM telefônico;
  • detecção de uso abusivo;
  • atendimento a obrigações legais e regulatórias;
  • auditoria técnica e operacional;
  • geração de registros técnicos e CDRs;
  • proteção da infraestrutura tecnológica.

5. CATEGORIAS DE DADOS TRATADOS

5.1 —

Os dados pessoais tratados poderão incluir:

  • nome;
  • CPF;
  • RG;
  • e-mail;
  • telefone;
  • endereço IP;
  • geolocalização aproximada;
  • dados de autenticação;
  • registros de chamadas;
  • gravações de voz;
  • logs de acesso;
  • horários de conexão;
  • identificadores SIP;
  • dados de faturamento;
  • dados cadastrais corporativos.
5.2 —

A CONTRATANTE declara que somente utilizará os serviços para finalidades lícitas e mediante base legal adequada.

6. BASES LEGAIS

6.1 —

O tratamento de dados pessoais poderá ocorrer com fundamento nas seguintes bases legais:

  • execução contratual;
  • cumprimento de obrigação legal ou regulatória;
  • exercício regular de direitos;
  • legítimo interesse;
  • prevenção à fraude e segurança;
  • consentimento, quando aplicável;
  • proteção do crédito.
6.2 —

A obtenção de consentimento dos titulares, quando necessária, será de responsabilidade da parte que realizar a coleta.

7. OBRIGAÇÕES DA CONTRATANTE

7.1 —

Compete exclusivamente à CONTRATANTE:

  • garantir a licitude da coleta dos dados pessoais;
  • possuir base legal adequada para tratamento;
  • atender solicitações dos titulares;
  • informar adequadamente os titulares sobre o tratamento;
  • manter registros internos quando exigidos pela legislação;
  • utilizar os serviços em conformidade com a LGPD;
  • não utilizar os serviços para tratamento ilícito de dados;
  • proteger credenciais de acesso;
  • configurar corretamente seus usuários e permissões.
7.2 —

A CONTRATANTE reconhece que atua como única responsável pelo conteúdo das comunicações realizadas através da plataforma.

8. OBRIGAÇÕES DA CONTRATADA

8.1 —

A CONTRATADA compromete-se a:

  • tratar dados pessoais apenas conforme necessário à execução dos serviços;
  • adotar medidas técnicas e administrativas razoáveis de segurança;
  • restringir acesso aos dados mediante critérios de necessidade;
  • manter controles de autenticação e rastreabilidade;
  • comunicar incidentes de segurança relevantes;
  • empregar esforços razoáveis para proteção da infraestrutura;
  • manter confidencialidade sobre os dados tratados.
8.2 —

A CONTRATADA não comercializa dados pessoais da CONTRATANTE ou de seus usuários.

8.3 —

A CONTRATADA não acessará intencionalmente o conteúdo das comunicações da CONTRATANTE, exceto quando necessário para:

  • suporte técnico;
  • cumprimento legal;
  • ordem judicial;
  • investigação de fraude;
  • proteção da infraestrutura.

9. SEGURANÇA DA INFORMAÇÃO

9.1 —

A CONTRATADA adota medidas técnicas e organizacionais compatíveis com a natureza dos serviços prestados.

9.2 —

As medidas poderão incluir:

  • criptografia de tráfego quando aplicável;
  • controle de acesso lógico;
  • autenticação;
  • firewall;
  • segregação de ambientes;
  • monitoramento de eventos;
  • logs de auditoria;
  • políticas internas de segurança.
9.3 —

Nenhum ambiente tecnológico é integralmente imune a riscos cibernéticos, razão pela qual a CONTRATADA não garante segurança absoluta.

9.4 —

A CONTRATANTE reconhece que também possui responsabilidades próprias de segurança sobre:

  • redes locais;
  • internet;
  • dispositivos utilizados;
  • credenciais;
  • ramais;
  • senhas;
  • APIs;
  • equipamentos conectados.

10. SUBOPERADORES E TERCEIROS

10.1 —

A CONTRATADA poderá utilizar terceiros, parceiros tecnológicos, data centers, operadoras, carriers, provedores cloud e suboperadores para execução dos serviços.

10.2 —

Os suboperadores poderão realizar tratamento de dados pessoais estritamente necessário à prestação dos serviços.

10.3 —

Sempre que aplicável, a CONTRATADA adotará medidas contratuais razoáveis para exigir conformidade dos suboperadores com obrigações de segurança e proteção de dados.

11. TRANSFERÊNCIA INTERNACIONAL DE DADOS

11.1 —

A CONTRATADA poderá utilizar infraestrutura tecnológica localizada no Brasil ou no exterior.

11.2 —

Eventuais transferências internacionais de dados ocorrerão observando-se os requisitos previstos na LGPD.

11.3 —

A CONTRATANTE declara ciência de que determinados fornecedores globais de infraestrutura, telecomunicações, armazenamento ou segurança poderão realizar processamento internacional de dados.

12. RETENÇÃO E ELIMINAÇÃO DE DADOS

12.1 —

Os dados pessoais serão armazenados pelo prazo necessário para:

  • execução contratual;
  • cumprimento de obrigações legais;
  • exercício regular de direitos;
  • prevenção à fraude;
  • auditoria;
  • segurança da informação.
12.2 —

As gravações de chamadas possuirão retenção padrão de até 90 (noventa) dias corridos, mediante sistema de reciclagem automática.

12.3 —

Os registros técnicos, logs, CDRs e eventos operacionais poderão ser armazenados conforme política interna de retenção da CONTRATADA.

12.4 —

Após o encerramento contratual, os dados tratados em nome da CONTRATANTE poderão ser eliminados em até 30 (trinta) dias, ressalvadas hipóteses legais de retenção obrigatória.

12.5 —

A CONTRATADA não atua como serviço de backup permanente, sendo responsabilidade da CONTRATANTE exportar informações que deseje preservar.

13. DIREITOS DOS TITULARES

13.1 —

A CONTRATANTE será responsável pelo atendimento inicial aos titulares dos dados pessoais relacionados às suas operações.

13.2 —

Quando necessário e tecnicamente viável, a CONTRATADA cooperará razoavelmente com solicitações relacionadas a:

  • confirmação de tratamento;
  • acesso;
  • correção;
  • anonimização;
  • bloqueio;
  • eliminação;
  • portabilidade;
  • informação sobre compartilhamento.
13.3 —

A cooperação da CONTRATADA poderá estar sujeita a limitações técnicas, legais, regulatórias ou operacionais.

14. INCIDENTES DE SEGURANÇA

14.1 —

A CONTRATADA comunicará a CONTRATANTE, em prazo razoável e preferencialmente em até 48 (quarenta e oito) horas após confirmação razoável, sobre incidentes de segurança relevantes envolvendo dados pessoais tratados no contexto dos serviços.

14.2 —

A comunicação poderá conter:

  • descrição do incidente;
  • categorias de dados afetados;
  • riscos identificados;
  • medidas mitigatórias adotadas;
  • recomendações técnicas.
14.3 —

A CONTRATADA não será responsável por incidentes decorrentes:

  • de falhas na infraestrutura da CONTRATANTE;
  • comprometimento de credenciais;
  • invasões em equipamentos da CONTRATANTE;
  • uso inadequado dos serviços;
  • ações de terceiros fora de seu controle razoável.

15. AUDITORIA E CONFORMIDADE

15.1 —

Mediante solicitação razoável e justificativa fundamentada, a CONTRATANTE poderá solicitar informações gerais sobre práticas de segurança adotadas pela CONTRATADA.

15.2 —

Não haverá obrigação de disponibilização de:

  • código-fonte;
  • arquitetura interna sensível;
  • informações sigilosas de terceiros;
  • segredos comerciais;
  • credenciais;
  • vulnerabilidades internas.
15.3 —

Auditorias presenciais dependerão de prévio acordo entre as partes e poderão estar sujeitas a custos operacionais.

16. RESPONSABILIDADE

16.1 —

Cada parte responderá pelos danos comprovadamente decorrentes de descumprimento da LGPD ou deste DPA na medida de sua responsabilidade.

16.2 —

A CONTRATADA não será responsável por:

  • decisões tomadas pela CONTRATANTE sobre tratamento de dados;
  • bases legais utilizadas pela CONTRATANTE;
  • conteúdo das comunicações realizadas;
  • dados inseridos pela CONTRATANTE na plataforma;
  • compartilhamentos realizados pela CONTRATANTE;
  • utilização ilícita dos serviços.
16.3 —

A responsabilidade da CONTRATADA observará os limites previstos no contrato principal.

17. CONFIDENCIALIDADE

17.1 —

As partes comprometem-se a manter sigilo sobre todas as informações confidenciais obtidas em razão da relação contratual.

17.2 —

O dever de confidencialidade permanecerá vigente por 2 (dois) anos após o encerramento do contrato.

17.3 —

Não serão consideradas confidenciais informações:

  • públicas;
  • legitimamente obtidas de terceiros;
  • desenvolvidas independentemente;
  • exigidas por lei ou ordem judicial.

18. VIGÊNCIA

18.1 —

Este DPA permanecerá vigente enquanto durar o contrato principal ou enquanto houver tratamento de dados pessoais relacionado aos serviços.

18.2 —

O encerramento do contrato principal implicará encerramento automático deste DPA, ressalvadas obrigações legais ou cláusulas que, por sua natureza, devam sobreviver.

19. DISPOSIÇÕES GERAIS

19.1 —

Este DPA integra o contrato principal para todos os fins de direito.

19.2 —

Em caso de conflito entre este DPA e o contrato principal, prevalecerão as disposições específicas sobre proteção de dados.

19.3 —

Eventual nulidade de qualquer disposição não afetará as demais cláusulas.

19.4 —

A tolerância de qualquer das partes não constitui renúncia de direitos.

19.5 —

As partes reconhecem a validade jurídica de assinaturas eletrônicas, aceite digital e registros eletrônicos.

20. FORO

20.1 —

Fica eleito o Foro da Comarca de Belo Horizonte/MG para dirimir quaisquer controvérsias relacionadas a este DPA, com exclusão de qualquer outro, por mais privilegiado que seja.

21. ATUALIZAÇÃO DO DPA

21.1 —

As partes comprometem-se a revisar e atualizar periodicamente este DPA para garantir sua conformidade com a legislação aplicável, especialmente em caso de:

  • alterações na Lei Geral de Proteção de Dados (LGPD) ou em outras normas aplicáveis;
  • modificações nas práticas de tratamento de dados adotadas;
  • atualizações nos serviços prestados pela CONTRATADA;
  • novas diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
21.2 —

A CONTRATADA comunicará à CONTRATANTE qualquer alteração legislativa que possa impactar este DPA, com antecedência mínima de 30 (trinta) dias, para que as partes possam negociar as adequações necessárias.

21.3 —

As versões atualizadas do DPA deverão ser formalmente aceitas por ambas as partes por meio de documento escrito ou assinatura eletrônica.

22. GLOSSÁRIO TÉCNICO

22.1 —

Para fins de clareza técnica, os seguintes termos específicos do setor de telecomunicações são definidos:

  • PABX Virtual: Central telefônica privada virtualizada, gerenciada remotamente pela CONTRATADA;
  • VoIP: Voz sobre Protocolo de Internet, tecnologia para transmissão de voz via internet;
  • DID: Direct Inward Dialing, numeração telefônica direta para ramais específicos;
  • CDR: Call Detail Record, registro detalhado de cada chamada realizada;
  • SIP: Session Initiation Protocol, protocolo para sinalização de sessões multimídia;
  • Carrier: Operadora de telecomunicações que fornece infraestrutura de transmissão;
  • SLA: Service Level Agreement, acordo de nível de serviço;
  • Uptime: Tempo de disponibilidade do serviço, geralmente medido em percentual.

23. ANEXOS TÉCNICOS

23.1 —

Como parte integrante deste DPA, poderão ser incluídos anexos técnicos detalhando as medidas de segurança específicas aplicadas aos serviços, incluindo:

  • Descrição da arquitetura de segurança da informação;
  • Especificações técnicas de criptografia utilizadas;
  • Políticas de controle de acesso e autenticação;
  • Procedimentos de monitoramento e detecção de intrusão;
  • Planos de resposta a incidentes;
  • Relatórios de avaliação de vulnerabilidades periódicas.
23.2 —

Os anexos técnicos serão disponibilizados pela CONTRATANTE mediante solicitação formal e poderão conter informações sigilosas, devendo ser tratados com confidencialidade.

Nilara Tecnologia Ltda

CNPJ: 42.793.818/0001-59

CONTRATANTE

conforme qualificação constante do contrato principal.