Acordo de Processamento de Dados (DPA) — MVD Gestão

Este Acordo de Processamento de Dados ("DPA") regula o tratamento de dados pessoais realizado pela MVD Consul Mais LTDA (CNPJ 58.481.319/0001-66), na qualidade de Operadora, em nome da Empresa Cliente ("Controladora"), no âmbito exclusivo do aplicativo MVD Gestão (app.mvdgestao.com.br). Este DPA é parte integrante dos Termos de Serviço Pago e do Contrato de Prestação de Serviço SaaS (quando aplicável), observando integralmente a Lei 13.709/2018 (LGPD).

1. Definições

1.1. Os termos abaixo seguem as definições da LGPD, em especial os arts. 5º e 6º:

Controlador(ou "Controladora"): a Empresa Cliente, a quem competem as decisões referentes ao tratamento dos dados pessoais de seus titulares (empregados, colaboradores, clientes, fornecedores).
Operador(ou "Operadora"): a MVD, que realiza o tratamento dos dados pessoais em nome e seguindo instruções do Controlador.
Titular: pessoa natural a quem se referem os dados pessoais.
Sub-operador: terceiro contratado pela MVD para executar partes do tratamento (ex: provedor de IA, hospedagem, transcrição, pagamento).
Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, processamento, transmissão, eliminação etc.).
Incidente de Segurança: qualquer evento confirmado que afete confidencialidade, integridade ou disponibilidade de dados pessoais.

2. Objeto e Natureza do Tratamento

2.1. A MVD tratará dados pessoais dos Titulares escolhidos pela Controladora exclusivamente para finalidades de prestação dos serviços SaaS contratados, incluindo:

Armazenamento e processamento dos dados inseridos na Plataforma;
Disponibilização de funcionalidades como colaboração, relatórios, dashboards, agentes de IA;
Transmissão para sub-operadores necessários à operação (IA, hospedagem, email, etc.);
Geração de backups, logs de auditoria e trilhas de segurança;
Atendimento a solicitações da Controladora ou de titulares.

2.2. A MVD não utilizará os dados pessoais da Controladora para finalidades próprias de marketing, venda a terceiros ou treinamento de modelos públicos de IA.

2.3. A MVD poderá utilizar dados agregados e anonimizados (que não permitam reidentificação de titulares) para aprimoramento da Plataforma, estatísticas de uso internas e benchmarks.

3. Categorias de Titulares e Dados

3.1. Os Titulares potencialmente incluem:

Empregados e colaboradores da Controladora;
Clientes (pessoa física ou representantes pessoa jurídica) cadastrados na Plataforma;
Fornecedores (pessoa física ou representantes pessoa jurídica);
Leads/contatos comerciais;
Visitantes convidados para assinatura de documentos (signatários externos).

3.2. Os Dados Pessoais tipicamente tratados incluem:

Dados de identificação: nome, CPF/CNPJ, RG, foto (selfie de enrolment biométrico);
Dados de contato: email, telefone, endereço;
Dados profissionais: cargo, área, função, célula;
Dados financeiros: extratos bancários, transações, contas, fornecedores, clientes, faturas;
Dados de uso: logs de acesso, IP, user-agent, histórico de operações;
Dados biométricos (em módulo de Assinaturas Eletrônicas): assinatura-matriz, hash de selfie.

3.3. A MVD não solicitadados pessoais sensíveis (art. 5º, II LGPD — origem racial, convicção religiosa, opinião política, saúde, orientação sexual etc.). Caso a Controladora insira tais dados na Plataforma por conta própria (ex: no campo "observações" de um membro), é responsabilidade exclusiva da Controladora garantir a base legal do art. 11 LGPD.

4. Responsabilidades da Controladora

4.1. É responsabilidade exclusiva da Controladora:

Coletar de cada Titular o consentimento ou garantir outra base legal (art. 7º LGPD) para o tratamento;
Manter política de privacidade própria dos dados que insere na Plataforma;
Designar e informar Encarregado de Dados (DPO) próprio quando legalmente exigido;
Atender solicitações dos Titulares quanto aos direitos do art. 18 LGPD (acesso, correção, exclusão etc.), com apoio da MVD limitado ao repasse técnico;
Gerir permissões internas (quem vê o quê dentro da Plataforma);
Garantir a legitimidade e veracidade dos dados inseridos;
Notificar os Titulares em caso de incidente de segurança dos dados sob sua responsabilidade (inclusive quando originado em sub-operador), comunicando também a MVD e a ANPD quando cabível;
Cumprir obrigações legais, fiscais, trabalhistas e comerciais aplicáveis aos dados que trata.

4.2. A Controladora declara que goza de base legal válida para inserir cada dado pessoal na Plataforma, isentando a MVD de qualquer responsabilidade decorrente da ausência dessa base.

5. Responsabilidades da MVD (Operadora)

5.1. A MVD obriga-se a:

Tratar os dados pessoais estritamente conforme instruções documentadas da Controladora, observados os fins contratuais;
Manter medidas técnicas e administrativas de segurança proporcionais à natureza dos dados (ver cláusula 6);
Assegurar que seus empregados, prestadores e sub-operadores respeitem a confidencialidadedos dados;
Auxiliar a Controladora, no limite técnico razoável, a responder a solicitações de Titulares (ex: exportação, exclusão);
Notificar a Controladora em até 72 horas da confirmação de Incidente de Segurança que envolva seus dados, com descrição do ocorrido, impacto estimado e medidas tomadas;
Cooperar com auditorias razoáveis da Controladora, mediante agendamento prévio, assinatura de NDA e sem prejuízo à operação;
Ao término da contratação, devolver ou excluir os dados conforme Política de Cancelamento (item 5), respeitadas as obrigações legais de retenção.

6. Medidas Técnicas e Administrativas de Segurança

6.1. A MVD implementa, entre outras:

Criptografia em trânsito (TLS 1.2+) em todas as comunicações;
Criptografia em repouso (AES-256) para dados sensíveis — incluindo biometria no módulo de Assinaturas;
Controle de acesso baseado em papéis (RBAC) com permissões granulares;
Autenticação forte via provedor Supabase Auth (OAuth 2.0 + JWT);
Isolamento multi-tenant: cada Empresa Cliente acessa exclusivamente seus próprios dados, com filtros obrigatórios por companyId em todas as consultas ao banco;
Rate limiting e detecção de anomalias em endpoints críticos;
Logs de auditoria (activity log) com IP, user-agent, timestamp e operação;
Backups automatizados — ver Política de Backup e Continuidade;
Revisões periódicas de segurança, testes de penetração (anuais ou após mudanças estruturais);
Política de senhas e rotação de segredos;
Revisão de dependências e patches de segurança.

7. Sub-operadores Autorizados

7.1. A Controladora autoriza expressamente a MVD a contratar os sub-operadores abaixo, reconhecendo que cada um possui suas próprias políticas de privacidade e de processamento de dados:

Sub-operador	Finalidade	País
Supabase	Banco de dados PostgreSQL + Auth + Storage	EUA (região: São Paulo/Brasil)
Vercel	Hospedagem da aplicação + CDN	EUA (região: São Paulo/Brasil)
Anthropic	Modelos Claude para recursos de IA	EUA
Deepgram	Transcrição de áudio (reuniões)	EUA
Groq	Transcrição de áudio (fallback)	EUA
Replicate	Geração de imagens (IA)	EUA
Resend	Envio de emails transacionais	EUA
Stripe	Processamento de pagamentos	EUA / Brasil
Upstash	Cache Redis (rate limiting, sessões)	EUA
Cloudflare	DNS + CDN + mitigação de DDoS	EUA / global

7.2. Cada sub-operador acima possui seu próprio DPA ou Data Processing Addendum público, assinado digitalmente pela MVD, disponível sob solicitação ao DPO.

7.3. A MVD poderá adicionar ou substituir sub-operadores mediante aviso prévio de 30 dias por email. Caso a Controladora se oponha justificadamente em até 15 dias, as partes negociarão alternativa; não havendo consenso em até 30 dias, a Controladora poderá rescindir sem multa.

8. Transferência Internacional de Dados

8.1. Parte dos sub-operadores está localizada fora do Brasil (EUA principalmente). A transferência observa o art. 33 da LGPD, combinada com cláusulas contratuais padrão ou equivalente jurídico aplicável.

8.2. A MVD usa, sempre que disponível, regiões de data center no Brasil (São Paulo/sa-east-1) para Supabase e Vercel, minimizando transferência internacional dos dados em repouso.

8.3. Em hipóteses de sub-operadores necessariamente estrangeiros (Anthropic, Deepgram, Stripe), a transferência é feita com criptografia em trânsito, retenção mínima e cláusulas contratuais de proteção equivalente à LGPD (Standard Contractual Clauses).

9. Incidentes de Segurança

9.1. A MVD notificará a Controladora em até 72 horas da confirmação do Incidente, contendo:

Natureza do incidente;
Categorias e volume aproximado de Titulares e dados afetados;
Medidas tomadas/em curso;
Ponto de contato na MVD para informações adicionais.

9.2. A comunicação inicial é feita por email ao contato administrativo cadastrado e, em incidentes de alto risco, também por telefone.

9.3. A MVD apoiará a Controladora na comunicação à ANPD (quando cabível — art. 48 LGPD) e aos Titulares, fornecendo informações técnicas razoáveis. A comunicação final à ANPD e aos Titulares é de responsabilidade da Controladora, por ser ela o agente de tratamento perante esses atores.

9.4. Detalhamento completo da tratativa de incidentes está na Política de Tratativa de Incidentes.

10. Direitos dos Titulares

10.1. Quando um Titular acionar diretamente a MVD com pedido do art. 18 LGPD (acesso, correção, portabilidade, eliminação etc.), a MVD:

Comunicará o titular que o Controlador é a Empresa Cliente e direcionará a solicitação;
Notificará a Controladora em até 5 dias úteis;
Apoiará tecnicamente a resposta no prazo razoável.

11. Auditoria

11.1. A Controladora poderá realizar auditoria para verificar o cumprimento deste DPA, até 1 (uma) vez por ano, com agendamento prévio mínimo de 30 dias e mediante NDA.

11.2. A auditoria observará horário comercial, limites razoáveis de tempo e não poderá comprometer a segurança ou operação da Plataforma. Custos da auditoria são do Controlador.

11.3. A MVD poderá, alternativamente, fornecer relatórios SOC 2 / ISO 27001 de seus sub-operadores(Supabase, Vercel, Stripe etc.) em substituição à auditoria presencial nesses itens.

12. Retenção e Eliminação de Dados

12.1. Os dados tratados pela MVD são retidos durante a vigência do contrato + prazos legais aplicáveis, conforme Política de Cancelamento e Política de Backup.

12.2. Ao término do contrato, a MVD, por opção da Controladora indicada no cancelamento, devolverá os dados em formato CSV/Excel (30 dias) ou procederá à eliminação nos termos cronológicos descritos na Política de Cancelamento.

13. Responsabilidade e Indenização

13.1. Cada parte responde por danos que causar por tratamento indevido, nos termos dos arts. 42 a 45 LGPD.

13.2. A responsabilidade da MVD por danos decorrentes de incidentes fica limitada ao valor previsto nos Termos de Uso (cláusula 9.1) — até o valor pago nos 3 meses anteriores ou R$ 500,00, o que for menor — salvo hipóteses de dolo comprovado.

13.3. A Controladora indenizará a MVD integralmente por:

Violações da Controladora quanto a base legal de tratamento;
Dados inseridos irregularmente na Plataforma;
Descumprimento de suas obrigações sob este DPA ou a LGPD;
Multas ANPD aplicadas em decorrência de ato exclusivo da Controladora.

14. Vigência

14.1. Este DPA vigora enquanto houver contrato ativo entre as partes + prazos de retenção legal dos dados.

15. Alterações

15.1. Alterações neste DPA serão comunicadas com antecedência mínima de 30 dias corridos. Se alteração afetar materialmente os direitos da Controladora, ela poderá rescindir sem multa em até 30 dias da vigência.

16. Legislação e Foro

16.1. Aplicam-se a LGPD, o Código Civil e, subsidiariamente, o CDC. Foro eleito: Comarca de Teresina/PI.

[REQUER VALIDAÇÃO JURÍDICA] Cláusulas 5.1 (notificação 72h), 7 (lista de sub-operadores — manter atualizada), 9 (incidentes), 11 (auditoria) e 13 (responsabilidade) devem ser revisadas por advogado especialista em LGPD, conforme o porte da base de Clientes. Para contratos com clientes de grande porte ou setores regulados (saúde, financeiro), pode-se exigir DPA customizado substituindo esta versão padrão.