Data Processing Agreement (DPA)

Versão 1.0 — janeiro 2026 • Para clientes Enterprise

1. Preâmbulo

Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Uso da UtilizAí e aplica-se a qualquer tratamento de dados pessoais realizado pela UtilizAí em nome do Cliente no contexto dos serviços contratados.

Cliente (Controlador): a pessoa jurídica contratante.
UtilizAí (Operador): o fornecedor da plataforma.

2. Papéis e responsabilidades

Nos termos do Art. 5º, VI e VII da LGPD, o Cliente atua como Controladordos dados que inserir na plataforma em nome de seus próprios usuários finais, e a UtilizAí atua como Operador, processando os dados exclusivamente conforme as instruções documentadas do Cliente.

3. Objeto e duração

A UtilizAí processa dados pessoais para prestar os serviços contratados durante toda a vigência do contrato comercial. Ao término, os dados são retornados ou apagados conforme cláusula 9.

4. Tipos de dados e titulares

  • Categorias: identificadores, dados de contato, dados de uso, quaisquer dados inseridos pelo Cliente via API.
  • Titulares: colaboradores do Cliente, clientes finais do Cliente, público-alvo do produto do Cliente.
  • Dados sensíveis: se o Cliente optar por processar categorias especiais (Art. 11 LGPD), deverá notificar previamente e providenciar base legal específica.

5. Obrigações da UtilizAí (Operador)

  1. Processar dados exclusivamente conforme instruções documentadas do Cliente.
  2. Garantir que pessoas autorizadas a processar dados estejam sob obrigação de confidencialidade.
  3. Adotar medidas técnicas e organizacionais razoáveis (seção 7).
  4. Auxiliar o Cliente no atendimento a requisições de titulares e no cumprimento de obrigações da LGPD Art. 46-50.
  5. Informar incidentes de segurança em até 48 horas após identificação.
  6. Permitir e contribuir com auditorias documentais do Cliente uma vez por ano, mediante aviso prévio de 30 dias.

6. Suboperadores

A UtilizAí utiliza suboperadores para prestação dos serviços. A lista atualizada está disponível em /lgpd/ripd. Alterações serão notificadas com 30 dias de antecedência; o Cliente poderá objetar em até 15 dias.

7. Medidas técnicas e organizacionais

  • TLS 1.2+ em todas as comunicações.
  • Criptografia em repouso nos bancos de dados (Supabase Postgres).
  • Isolamento multi-tenant via Row-Level Security.
  • Controle de acesso baseado em função (RBAC) internamente.
  • Logs imutáveis de operações sensíveis por 90 dias.
  • Backups criptografados com retenção de 7 dias.
  • Testes de segurança periódicos.

8. Transferência internacional

A UtilizAí utiliza provedores com infraestrutura nos EUA e UE. Todas as transferências seguem Cláusulas Contratuais Padrão (SCC da Comissão Europeia) e, quando aplicável, regras da ANPD para transferência internacional (Art. 33 LGPD).

9. Retenção e devolução/exclusão

Ao término do contrato, o Cliente pode solicitar exportação completa dos dados em formato JSON/CSV por até 30 dias. Após esse prazo, todos os dados são apagados (incluindo backups ativos) em até 60 dias, salvo obrigação legal de retenção.

10. Direitos do titular

Quando a UtilizAí receber solicitação direta de titular, encaminhará ao Cliente em até 5 dias. Cliente é responsável por responder ao titular. UtilizAí auxilia na execução técnica quando solicitada.

11. Resposta a incidentes

Em caso de incidente de segurança que envolva dados pessoais, UtilizAí notificará o Cliente em até 48 horas com: natureza do incidente, dados afetados, medidas tomadas e contato do DPO. O Cliente é responsável por notificar a ANPD e os titulares, conforme LGPD Art. 48.

12. Contato

Para formalizar este DPA em contrato Enterprise, escreva para juridico@utilizai.com.