Acordo de Processamento de Dados (DPA)
Última atualização: 27 de abril de 2026
Nota: esta tradução para o português é fornecida por cortesia. Em caso de divergência entre versões, prevalece a versão em espanhol deste documento.
1. Introdução
Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Serviço entre a Global Online Mapps Ltd, sociedade registrada na Inglaterra e no País de Gales com o número 9909303 e sede social em Suite 7 Midshires House, Smeaton Close, Aylesbury, England HP19 8HL, operando comercialmente como "Bravos AI" ("Operadora"), e o cliente que utiliza o Serviço ("Responsável"). Este DPA é celebrado conforme o Artigo 28 do Regulamento Geral de Proteção de Dados (RGPD) e a legislação de proteção de dados do Reino Unido (UK GDPR).
Ao utilizar o Serviço, o Responsável aceita os termos deste DPA. Se o Responsável precisar de uma versão assinada deste acordo, pode solicitá-la em [email protected].
2. Definições
- "Responsável" (Controller): o cliente que determina os fins e os meios do tratamento de dados pessoais através do Serviço.
- "Operadora" (Processor): Global Online Mapps Ltd (operando comercialmente como "Bravos AI"), que trata dados pessoais por conta do Responsável.
- "Suboperador": terceiro contratado pela Operadora para realizar atividades de tratamento específicas por conta do Responsável.
- "Dados Pessoais": qualquer informação relativa a uma pessoa física identificada ou identificável tratada no contexto do Serviço.
- "Titular": pessoa física cujos dados pessoais são objeto de tratamento.
- "Incidente de Segurança": violação de segurança que ocasione a destruição, a perda, a alteração acidental ou ilícita, ou a comunicação não autorizada de dados pessoais.
- "SCCs": Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia para transferências internacionais de dados.
3. Objeto e Duração do Tratamento
A Operadora trata dados pessoais por conta do Responsável com a finalidade de fornecer o Serviço da Bravos AI, que inclui a criação, o treinamento e a implantação de chatbots com inteligência artificial.
- • Duração: este DPA permanece vigente enquanto o Responsável utilizar o Serviço, mais o período necessário para a exclusão ou devolução dos dados após o encerramento.
- • Natureza do tratamento: armazenamento, indexação, geração de embeddings vetoriais, processamento por modelos de IA para geração de respostas, e entrega de conteúdo ao Usuário Final.
- • Finalidade: fornecer o serviço de chatbot com IA contratado pelo Responsável, incluindo o processamento de consultas de Usuários Finais e a geração de respostas com base nos Dados de Treinamento.
4. Tipos de Dados Pessoais e Categorias de Titulares
4.1 Tipos de Dados Pessoais
- • Dados de conta do Responsável (nome, e-mail, senha criptografada)
- • Mensagens de conversa entre Usuários Finais e o chatbot
- • Arquivos multimídia compartilhados por Usuários Finais (excluídos automaticamente após 24 horas)
- • Identificadores anônimos de sessão (fingerprint)
- • Dados contidos nos Dados de Treinamento fornecidos pelo Responsável (documentos, CSV, Excel, URLs)
- • Dados de contatos captados pelo chatbot (nome, e-mail, telefone ou outros campos configurados pelo Responsável)
- • Dados técnicos (endereço IP, user agent, dados de dispositivo)
4.2 Categorias de Titulares
- • Usuários Finais que interagem com os chatbots do Responsável
- • Funcionários ou representantes do Responsável com acesso ao painel de administração
- • Pessoas cujos dados pessoais estejam contidos nos Dados de Treinamento
Nota: não são tratadas categorias especiais de dados (Art. 9 RGPD) de forma intencional. O Responsável se compromete a não enviar dados sensíveis (origem étnica, opiniões políticas, dados de saúde, orientação sexual, etc.) como Dados de Treinamento, salvo se contar com a base legal adequada.
5. Obrigações da Operadora
5.1 Instruções Documentadas
A Operadora tratará os dados pessoais unicamente seguindo as instruções documentadas do Responsável, que incluem as estabelecidas nos Termos de Serviço e neste DPA, salvo se uma obrigação legal da Operadora exigir outro tratamento. Nesse caso, a Operadora informará o Responsável antes do tratamento, salvo se a lei o proibir.
5.2 Confidencialidade
A Operadora garante que todas as pessoas autorizadas a tratar dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
5.3 Medidas de Segurança (Art. 32 RGPD)
A Operadora implementa as seguintes medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco:
- • Criptografia de dados em trânsito (HTTPS/TLS)
- • Criptografia de senhas (bcrypt)
- • Acesso restrito a dados pessoais com base no princípio do menor privilégio
- • Cópias de segurança regulares e automatizadas
- • Monitoramento de segurança e detecção de anomalias
- • Hospedagem em servidores da Hetzner Online GmbH (Alemanha, UE) com padrões ISO 27001
- • Revisão periódica da eficácia das medidas de segurança
5.4 Notificação de Incidentes de Segurança
Em caso de Incidente de Segurança que afete dados pessoais do Responsável, a Operadora o notificará sem demora indevida e, em qualquer caso, em um prazo máximo de 72 horas a partir do conhecimento do incidente. A notificação incluirá a natureza do incidente, as categorias e o número aproximado de titulares afetados, as consequências prováveis e as medidas adotadas ou propostas para remediar a situação.
5.5 Assistência ao Responsável
A Operadora assistirá o Responsável, levando em conta a natureza do tratamento, em:
- • Atender solicitações de exercício de direitos dos titulares (acesso, retificação, exclusão, portabilidade, oposição, limitação)
- • Cumprir obrigações de segurança do tratamento (Art. 32 RGPD)
- • Notificar incidentes de segurança à autoridade de controle (Art. 33 RGPD)
- • Realizar avaliações de impacto relativas à proteção de dados (DPIA), quando necessário
- • Consultas prévias à autoridade de controle (Art. 36 RGPD)
5.6 Direito de Auditoria
A Operadora colocará à disposição do Responsável todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Art. 28 RGPD. A Operadora permitirá e contribuirá para a realização de auditorias, incluindo inspeções, pelo Responsável ou por um auditor autorizado, mediante aviso prévio razoável de pelo menos 30 dias e durante o horário comercial. O Responsável arcará com os custos da auditoria.
5.7 Acesso do Pessoal da Operadora
O pessoal autorizado da Operadora poderá acessar os dados e conteúdos que o Responsável envia à plataforma (documentos, textos, planilhas, integrações e conversas dos chatbots) unicamente quando for necessário para: (i) prestar e manter o serviço; (ii) fornecer o suporte técnico solicitado pelo Responsável; (iii) garantir a segurança da plataforma e detectar ou prevenir usos indevidos, fraudulentos ou ilícitos dos chatbots; e (iv) cumprir obrigações legais aplicáveis. Esse acesso se limita ao pessoal com necessidade justificada (princípio do menor privilégio), fica sujeito às obrigações de confidencialidade da cláusula 5.2, e não é utilizado para finalidades distintas das anteriores.
6. Suboperadores
O Responsável concede à Operadora uma autorização geral para contratar suboperadores, sujeita às condições desta seção. A Operadora garante que os suboperadores estarão vinculados por obrigações de proteção de dados equivalentes às deste DPA.
6.1 Suboperadores Atuais
| Provedor | Serviço | Dados Tratados | Localização | Garantias |
|---|---|---|---|---|
| OpenAI, LLC | Processamento de linguagem natural e geração de respostas do chatbot | Mensagens de conversa, contexto da consulta, Dados de Treinamento relevantes | EUA (OpenAI Ireland Ltd. para o EEE) | DPA + SCCs |
| Hetzner Online GmbH | Hospedagem de servidores, banco de dados e armazenamento | Todos os dados do Serviço | Alemanha (UE) | DPA |
| Stripe, Inc. | Processamento de pagamentos e assinaturas | Dados de cobrança do Responsável | EUA | EU-US DPF + DPA |
| Resend, Inc. | Envio de e-mails transacionais | Endereço de e-mail do Responsável | EUA | DPA + SCCs |
6.2 Notificação de Mudanças
A Operadora notificará o Responsável sobre qualquer adição ou substituição de suboperadores com pelo menos 30 dias de antecedência. O Responsável poderá se opor ao novo suboperador por motivos razoáveis relacionados à proteção de dados, dentro dos 15 dias seguintes à notificação. Se a objeção não puder ser resolvida razoavelmente, qualquer uma das partes poderá rescindir o contrato.
7. Disposições Específicas sobre Inteligência Artificial
Compromisso de não-treinamento: nem a Operadora nem seus suboperadores utilizam os dados pessoais do Responsável, as conversas de Usuários Finais ou os Dados de Treinamento para treinar, ajustar (fine-tune) ou melhorar modelos de IA de uso geral. Esta restrição sobrevive ao encerramento deste DPA.
7.1 Processamento por IA
O Serviço utiliza modelos de inteligência artificial de terceiros (atualmente OpenAI) para gerar respostas de chatbot. O fluxo de processamento é o seguinte:
- • Os Dados de Treinamento são processados localmente para gerar embeddings vetoriais, que são armazenados no banco de dados da Operadora
- • Quando um Usuário Final envia uma mensagem, os fragmentos relevantes dos Dados de Treinamento são recuperados e enviados à API da OpenAI junto com a mensagem do usuário para gerar uma resposta
- • A OpenAI processa esses dados unicamente para gerar a resposta e não os retém por mais de 30 dias (para monitoramento de abuso), após o que são excluídos automaticamente
- • A OpenAI não utiliza os dados enviados através da sua API para treinar seus modelos
7.2 Restrições Contratuais com Provedores de IA
A Operadora mantém acordos de processamento de dados (DPAs) com todos os seus provedores de IA que incluem:
- • Proibição expressa de usar dados de clientes para treinamento de modelos
- • Períodos de retenção definidos e exclusão automática
- • Cláusulas Contratuais-Tipo (SCCs) para transferências internacionais
- • Medidas técnicas e organizacionais de segurança adequadas
8. Transferências Internacionais de Dados
Quando os dados pessoais forem transferidos para fora do Espaço Econômico Europeu (EEE) ou do Reino Unido, a Operadora garante a aplicação das salvaguardas adequadas:
- • Cláusulas Contratuais-Tipo (SCCs): Módulo 2 (Responsável para Operadora) aprovadas pela Comissão Europeia, incorporadas por referência a este DPA
- • EU-US Data Privacy Framework (DPF): verificação da participação de provedores norte-americanos quando aplicável
- • UK International Data Transfer Agreement (IDTA): para transferências sujeitas ao UK GDPR
- • Avaliação de impacto de transferências (TIA): quando exigida pela legislação aplicável
9. Direitos dos Titulares
A Operadora assistirá o Responsável, por meio de medidas técnicas e organizacionais apropriadas, no atendimento das solicitações de exercício de direitos dos titulares conforme o Capítulo III do RGPD:
- • Acesso e portabilidade: o Responsável pode exportar conversas e dados pelo painel de administração
- • Exclusão: o Responsável pode excluir conversas, dados de treinamento e dados de contatos pelo painel de administração. Ao cancelar a conta, todos os dados são excluídos em um prazo de 30 dias
- • Retificação: o Responsável pode atualizar os Dados de Treinamento a qualquer momento
- • Solicitações adicionais: para solicitações que exijam assistência da Operadora, contatar [email protected]
10. Retenção e Exclusão de Dados
Ao final da prestação do Serviço, a Operadora excluirá todos os dados pessoais do Responsável nos prazos seguintes, salvo se uma obrigação legal exigir sua conservação:
- • Dados de conta: 30 dias após o cancelamento
- • Dados de Treinamento e embeddings: excluídos imediatamente ao apagar o datasource ou cancelar a conta
- • Conversas do widget: 90 dias de inatividade (exclusão automática); as associadas a uma solicitação de contato são conservadas enquanto o contato for conservado
- • Arquivos multimídia do widget: 24 horas (exclusão automática)
- • Dados de cobrança: 10 anos (obrigação legal fiscal)
- • Logs técnicos: 90 dias
O Responsável pode solicitar a devolução dos seus dados em formato estruturado antes da exclusão, contatando [email protected].
11. Responsabilidade
A responsabilidade de cada parte nos termos deste DPA está sujeita às limitações estabelecidas nos Termos de Serviço. Cada parte será responsável pelos danos causados por tratamento que infrinja o RGPD, conforme o Artigo 82 do RGPD.
12. Lei Aplicável e Jurisdição
Este DPA é regido pela legislação do Reino Unido. Qualquer disputa será resolvida perante os tribunais competentes da Inglaterra e do País de Gales, sem prejuízo do direito dos titulares de apresentar reclamações à autoridade de proteção de dados do seu país de residência.
13. Contato
Para qualquer dúvida relacionada a este DPA ou ao tratamento de dados pessoais:
- E-mail: [email protected]
- Sede social: Suite 7 Midshires House, Smeaton Close, Aylesbury, England HP19 8HL