Acordo de Processamento de Dados (DPA)

Última atualização: 27 de abril de 2026

Nota: esta tradução para o português é fornecida por cortesia. Em caso de divergência entre versões, prevalece a versão em espanhol deste documento.

1. Introdução

Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Serviço entre a Global Online Mapps Ltd, sociedade registrada na Inglaterra e no País de Gales com o número 9909303 e sede social em Suite 7 Midshires House, Smeaton Close, Aylesbury, England HP19 8HL, operando comercialmente como "Bravos AI" ("Operadora"), e o cliente que utiliza o Serviço ("Responsável"). Este DPA é celebrado conforme o Artigo 28 do Regulamento Geral de Proteção de Dados (RGPD) e a legislação de proteção de dados do Reino Unido (UK GDPR).

Ao utilizar o Serviço, o Responsável aceita os termos deste DPA. Se o Responsável precisar de uma versão assinada deste acordo, pode solicitá-la em [email protected].

2. Definições

  • "Responsável" (Controller): o cliente que determina os fins e os meios do tratamento de dados pessoais através do Serviço.
  • "Operadora" (Processor): Global Online Mapps Ltd (operando comercialmente como "Bravos AI"), que trata dados pessoais por conta do Responsável.
  • "Suboperador": terceiro contratado pela Operadora para realizar atividades de tratamento específicas por conta do Responsável.
  • "Dados Pessoais": qualquer informação relativa a uma pessoa física identificada ou identificável tratada no contexto do Serviço.
  • "Titular": pessoa física cujos dados pessoais são objeto de tratamento.
  • "Incidente de Segurança": violação de segurança que ocasione a destruição, a perda, a alteração acidental ou ilícita, ou a comunicação não autorizada de dados pessoais.
  • "SCCs": Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia para transferências internacionais de dados.

3. Objeto e Duração do Tratamento

A Operadora trata dados pessoais por conta do Responsável com a finalidade de fornecer o Serviço da Bravos AI, que inclui a criação, o treinamento e a implantação de chatbots com inteligência artificial.

  • Duração: este DPA permanece vigente enquanto o Responsável utilizar o Serviço, mais o período necessário para a exclusão ou devolução dos dados após o encerramento.
  • Natureza do tratamento: armazenamento, indexação, geração de embeddings vetoriais, processamento por modelos de IA para geração de respostas, e entrega de conteúdo ao Usuário Final.
  • Finalidade: fornecer o serviço de chatbot com IA contratado pelo Responsável, incluindo o processamento de consultas de Usuários Finais e a geração de respostas com base nos Dados de Treinamento.

4. Tipos de Dados Pessoais e Categorias de Titulares

4.1 Tipos de Dados Pessoais

  • • Dados de conta do Responsável (nome, e-mail, senha criptografada)
  • • Mensagens de conversa entre Usuários Finais e o chatbot
  • • Arquivos multimídia compartilhados por Usuários Finais (excluídos automaticamente após 24 horas)
  • • Identificadores anônimos de sessão (fingerprint)
  • • Dados contidos nos Dados de Treinamento fornecidos pelo Responsável (documentos, CSV, Excel, URLs)
  • • Dados de contatos captados pelo chatbot (nome, e-mail, telefone ou outros campos configurados pelo Responsável)
  • • Dados técnicos (endereço IP, user agent, dados de dispositivo)

4.2 Categorias de Titulares

  • • Usuários Finais que interagem com os chatbots do Responsável
  • • Funcionários ou representantes do Responsável com acesso ao painel de administração
  • • Pessoas cujos dados pessoais estejam contidos nos Dados de Treinamento

Nota: não são tratadas categorias especiais de dados (Art. 9 RGPD) de forma intencional. O Responsável se compromete a não enviar dados sensíveis (origem étnica, opiniões políticas, dados de saúde, orientação sexual, etc.) como Dados de Treinamento, salvo se contar com a base legal adequada.

5. Obrigações da Operadora

5.1 Instruções Documentadas

A Operadora tratará os dados pessoais unicamente seguindo as instruções documentadas do Responsável, que incluem as estabelecidas nos Termos de Serviço e neste DPA, salvo se uma obrigação legal da Operadora exigir outro tratamento. Nesse caso, a Operadora informará o Responsável antes do tratamento, salvo se a lei o proibir.

5.2 Confidencialidade

A Operadora garante que todas as pessoas autorizadas a tratar dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

5.3 Medidas de Segurança (Art. 32 RGPD)

A Operadora implementa as seguintes medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco:

  • • Criptografia de dados em trânsito (HTTPS/TLS)
  • • Criptografia de senhas (bcrypt)
  • • Acesso restrito a dados pessoais com base no princípio do menor privilégio
  • • Cópias de segurança regulares e automatizadas
  • • Monitoramento de segurança e detecção de anomalias
  • • Hospedagem em servidores da Hetzner Online GmbH (Alemanha, UE) com padrões ISO 27001
  • • Revisão periódica da eficácia das medidas de segurança

5.4 Notificação de Incidentes de Segurança

Em caso de Incidente de Segurança que afete dados pessoais do Responsável, a Operadora o notificará sem demora indevida e, em qualquer caso, em um prazo máximo de 72 horas a partir do conhecimento do incidente. A notificação incluirá a natureza do incidente, as categorias e o número aproximado de titulares afetados, as consequências prováveis e as medidas adotadas ou propostas para remediar a situação.

5.5 Assistência ao Responsável

A Operadora assistirá o Responsável, levando em conta a natureza do tratamento, em:

  • • Atender solicitações de exercício de direitos dos titulares (acesso, retificação, exclusão, portabilidade, oposição, limitação)
  • • Cumprir obrigações de segurança do tratamento (Art. 32 RGPD)
  • • Notificar incidentes de segurança à autoridade de controle (Art. 33 RGPD)
  • • Realizar avaliações de impacto relativas à proteção de dados (DPIA), quando necessário
  • • Consultas prévias à autoridade de controle (Art. 36 RGPD)

5.6 Direito de Auditoria

A Operadora colocará à disposição do Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Art. 28 RGPD. A Operadora permitirá e contribuirá para a realização de auditorias, incluindo inspeções, pelo Responsável ou por um auditor autorizado, mediante aviso prévio razoável de pelo menos 30 dias e durante o horário comercial. O Responsável arcará com os custos da auditoria.

5.7 Acesso do Pessoal da Operadora

O pessoal autorizado da Operadora poderá acessar os dados e conteúdos que o Responsável envia à plataforma (documentos, textos, planilhas, integrações e conversas dos chatbots) unicamente quando for necessário para: (i) prestar e manter o serviço; (ii) fornecer o suporte técnico solicitado pelo Responsável; (iii) garantir a segurança da plataforma e detectar ou prevenir usos indevidos, fraudulentos ou ilícitos dos chatbots; e (iv) cumprir obrigações legais aplicáveis. Esse acesso se limita ao pessoal com necessidade justificada (princípio do menor privilégio), fica sujeito às obrigações de confidencialidade da cláusula 5.2, e não é utilizado para finalidades distintas das anteriores.

6. Suboperadores

O Responsável concede à Operadora uma autorização geral para contratar suboperadores, sujeita às condições desta seção. A Operadora garante que os suboperadores estarão vinculados por obrigações de proteção de dados equivalentes às deste DPA.

6.1 Suboperadores Atuais

ProvedorServiçoDados TratadosLocalizaçãoGarantias
OpenAI, LLCProcessamento de linguagem natural e geração de respostas do chatbotMensagens de conversa, contexto da consulta, Dados de Treinamento relevantesEUA (OpenAI Ireland Ltd. para o EEE)DPA + SCCs
Hetzner Online GmbHHospedagem de servidores, banco de dados e armazenamentoTodos os dados do ServiçoAlemanha (UE)DPA
Stripe, Inc.Processamento de pagamentos e assinaturasDados de cobrança do ResponsávelEUAEU-US DPF + DPA
Resend, Inc.Envio de e-mails transacionaisEndereço de e-mail do ResponsávelEUADPA + SCCs

6.2 Notificação de Mudanças

A Operadora notificará o Responsável sobre qualquer adição ou substituição de suboperadores com pelo menos 30 dias de antecedência. O Responsável poderá se opor ao novo suboperador por motivos razoáveis relacionados à proteção de dados, dentro dos 15 dias seguintes à notificação. Se a objeção não puder ser resolvida razoavelmente, qualquer uma das partes poderá rescindir o contrato.

7. Disposições Específicas sobre Inteligência Artificial

Compromisso de não-treinamento: nem a Operadora nem seus suboperadores utilizam os dados pessoais do Responsável, as conversas de Usuários Finais ou os Dados de Treinamento para treinar, ajustar (fine-tune) ou melhorar modelos de IA de uso geral. Esta restrição sobrevive ao encerramento deste DPA.

7.1 Processamento por IA

O Serviço utiliza modelos de inteligência artificial de terceiros (atualmente OpenAI) para gerar respostas de chatbot. O fluxo de processamento é o seguinte:

  • • Os Dados de Treinamento são processados localmente para gerar embeddings vetoriais, que são armazenados no banco de dados da Operadora
  • • Quando um Usuário Final envia uma mensagem, os fragmentos relevantes dos Dados de Treinamento são recuperados e enviados à API da OpenAI junto com a mensagem do usuário para gerar uma resposta
  • • A OpenAI processa esses dados unicamente para gerar a resposta e não os retém por mais de 30 dias (para monitoramento de abuso), após o que são excluídos automaticamente
  • • A OpenAI não utiliza os dados enviados através da sua API para treinar seus modelos

7.2 Restrições Contratuais com Provedores de IA

A Operadora mantém acordos de processamento de dados (DPAs) com todos os seus provedores de IA que incluem:

  • • Proibição expressa de usar dados de clientes para treinamento de modelos
  • • Períodos de retenção definidos e exclusão automática
  • • Cláusulas Contratuais-Tipo (SCCs) para transferências internacionais
  • • Medidas técnicas e organizacionais de segurança adequadas

8. Transferências Internacionais de Dados

Quando os dados pessoais forem transferidos para fora do Espaço Econômico Europeu (EEE) ou do Reino Unido, a Operadora garante a aplicação das salvaguardas adequadas:

  • Cláusulas Contratuais-Tipo (SCCs): Módulo 2 (Responsável para Operadora) aprovadas pela Comissão Europeia, incorporadas por referência a este DPA
  • EU-US Data Privacy Framework (DPF): verificação da participação de provedores norte-americanos quando aplicável
  • UK International Data Transfer Agreement (IDTA): para transferências sujeitas ao UK GDPR
  • Avaliação de impacto de transferências (TIA): quando exigida pela legislação aplicável

9. Direitos dos Titulares

A Operadora assistirá o Responsável, por meio de medidas técnicas e organizacionais apropriadas, no atendimento das solicitações de exercício de direitos dos titulares conforme o Capítulo III do RGPD:

  • Acesso e portabilidade: o Responsável pode exportar conversas e dados pelo painel de administração
  • Exclusão: o Responsável pode excluir conversas, dados de treinamento e dados de contatos pelo painel de administração. Ao cancelar a conta, todos os dados são excluídos em um prazo de 30 dias
  • Retificação: o Responsável pode atualizar os Dados de Treinamento a qualquer momento
  • Solicitações adicionais: para solicitações que exijam assistência da Operadora, contatar [email protected]

10. Retenção e Exclusão de Dados

Ao final da prestação do Serviço, a Operadora excluirá todos os dados pessoais do Responsável nos prazos seguintes, salvo se uma obrigação legal exigir sua conservação:

  • Dados de conta: 30 dias após o cancelamento
  • Dados de Treinamento e embeddings: excluídos imediatamente ao apagar o datasource ou cancelar a conta
  • Conversas do widget: 90 dias de inatividade (exclusão automática); as associadas a uma solicitação de contato são conservadas enquanto o contato for conservado
  • Arquivos multimídia do widget: 24 horas (exclusão automática)
  • Dados de cobrança: 10 anos (obrigação legal fiscal)
  • Logs técnicos: 90 dias

O Responsável pode solicitar a devolução dos seus dados em formato estruturado antes da exclusão, contatando [email protected].

11. Responsabilidade

A responsabilidade de cada parte nos termos deste DPA está sujeita às limitações estabelecidas nos Termos de Serviço. Cada parte será responsável pelos danos causados por tratamento que infrinja o RGPD, conforme o Artigo 82 do RGPD.

12. Lei Aplicável e Jurisdição

Este DPA é regido pela legislação do Reino Unido. Qualquer disputa será resolvida perante os tribunais competentes da Inglaterra e do País de Gales, sem prejuízo do direito dos titulares de apresentar reclamações à autoridade de proteção de dados do seu país de residência.

13. Contato

Para qualquer dúvida relacionada a este DPA ou ao tratamento de dados pessoais:

  • E-mail: [email protected]
  • Sede social: Suite 7 Midshires House, Smeaton Close, Aylesbury, England HP19 8HL