Acordo de Tratamento de Dados (DPA)

Termos aplicáveis quando o Teu Atendimento atua como operador dos dados de contatos finais do contratante.

Última atualização: 12 de abril de 2026

Versão vigente: 12 de abril de 2026.

1. Partes e papéis

Este Acordo de Tratamento de Dados ("DPA") integra os Termos de Uso e disciplina o tratamento de dados pessoais realizado pelo Teu Atendimento ("Operador") em nome do Contratante ("Controlador") quando o Contratante usa o serviço para se comunicar com seus clientes via WhatsApp. Os papéis seguem o art. 5º, VI e VII da LGPD.

2. Objeto e duração

O Operador trata dados pessoais dos contatos finais do Controlador exclusivamente para executar as instruções do Controlador através das funcionalidades do serviço (atendimento via WhatsApp, agendamento, cobrança, automações de marketing autorizadas pelo titular). O tratamento dura enquanto o contrato de assinatura estiver vigente, observada a janela de retenção pós-cancelamento descrita na cláusula 8.

3. Natureza, finalidade e base legal

Natureza: armazenamento, organização, consulta, transmissão e eliminação. Finalidade: viabilizar o atendimento, agendamento e cobrança que o Controlador presta aos seus clientes. Base legal aplicada pelo Operador: execução de contrato (art. 7º V LGPD); o Controlador é responsável por garantir base legal própria perante seus titulares (consentimento, execução de contrato com o cliente final, ou legítimo interesse, conforme o caso).

4. Categorias de dados pessoais

  • Identificação: nome, telefone (E.164), e-mail, CPF (quando preenchido para nota fiscal).
  • Comunicação: histórico de mensagens trocadas via WhatsApp, áudios e mídias enviadas.
  • Agenda: data, hora e tipo de serviço agendado.
  • Pagamentos: valor, status, método de pagamento e identificadores externos do gateway. Não armazenamos dados de cartão.
  • Tags e campos personalizados definidos pelo Controlador.

5. Categorias de titulares

Clientes finais (data subjects) cadastrados como contatos do Controlador na plataforma do Teu Atendimento.

6. Obrigações do Operador

  • Confidencialidade. Acesso aos dados restrito a colaboradores sob obrigação contratual de sigilo, com necessidade comprovada (princípio do menor privilégio).
  • Segurança técnica e organizacional. Criptografia em trânsito (TLS 1.2+), em repouso (AES-256, AWS KMS para credenciais sensíveis), autenticação forte com MFA opcional, isolamento por tenant, audit log de operações administrativas, varreduras periódicas de vulnerabilidade.
  • Suboperadores autorizados. O Controlador autoriza o uso dos seguintes suboperadores: AWS (hospedagem, armazenamento, mensageria), Meta (entrega de WhatsApp via Cloud API), Mercado Pago e Asaas (gateway de pagamento), Anthropic (processamento de mensagens pela IA). Mudanças na lista são comunicadas com pelo menos 30 dias de antecedência por e-mail aos administradores da conta. O Controlador pode objetar, caso a objeção inviabilize a operação, o contrato pode ser rescindido sem multa pelo Controlador.
  • Atendimento aos titulares. O Operador oferece ferramentas no painel administrativo para que o Controlador exporte e anonimize dados de contatos individualmente (rotas /contacts/{id}/lgpd-export e /contacts/{id}/lgpd-forget) e cumpra solicitações dos titulares dentro do prazo de 15 dias da LGPD (art. 19).
  • Notificação de incidente. Em caso de incidente de segurança envolvendo dados pessoais, o Operador notificará o Controlador em até 24 horas a partir da ciência, com as informações disponíveis no momento (escopo, dados afetados, medidas adotadas), e fornecerá atualizações conforme novas informações forem confirmadas.
  • Auditoria. Mediante solicitação razoável e com no mínimo 30 dias de antecedência, o Operador disponibiliza relatórios de conformidade (SOC 2 / ISO 27001 dos suboperadores quando aplicável), e responde questionários de segurança. Auditorias presenciais são possíveis no escritório do Operador, custeadas pelo Controlador, limitadas a uma por ano civil.

7. Obrigações do Controlador

  • Coletar base legal apropriada de cada titular cujos dados forem inseridos na plataforma (consentimento explícito, execução de contrato ou legítimo interesse), conforme exigido pelo art. 7º LGPD.
  • Garantir que toda comunicação enviada via WhatsApp respeite a opção de optInWhatsapp do contato e que pedidos de descadastramento sejam atendidos.
  • Não usar a plataforma para tratar categorias de dados sensíveis (art. 5º II LGPD, saúde, biometria, religião, etc.) sem prévio alinhamento por escrito com o Operador.
  • Manter as credenciais de acesso seguras e revogar imediatamente acessos de colaboradores desligados.

8. Eliminação ao fim do tratamento

Ao cancelamento do contrato, o Operador mantém os dados pessoais pelo prazo de 12 meses para suportar reativação da conta e atender obrigações fiscais. Após esse prazo, os dados são eliminados via cron diário (cron-tenant-purge). O Controlador pode solicitar a eliminação antecipada via tela Configurações → Conta → Excluir conta ou pelo e-mail privacidade@teuzap.com.br, neste caso a eliminação ocorre em até 30 dias após a confirmação. Logs de auditoria sobre o ato de eliminação são preservados por 5 anos para fins regulatórios.

9. Transferência internacional

Os dados são processados primariamente na região sa-east-1 (São Paulo) da AWS. Algumas funcionalidades opcionais de IA processam mensagens em data centers da Anthropic localizados nos Estados Unidos, sob cláusulas contratuais padrão e garantias adequadas conforme art. 33 da LGPD.

10. Encarregado pelo tratamento (DPO)

O encarregado de proteção de dados do Operador pode ser contatado em privacidade@teuzap.com.br. Em caso de reclamação, o titular ou o Controlador também podem se dirigir à ANPD.

11. Vigência e rescisão

Este DPA vigora enquanto durar o contrato de assinatura entre Operador e Controlador. Mudanças relevantes são notificadas com 30 dias de antecedência aos administradores da conta. O uso continuado do serviço após a vigência da nova versão constitui aceite. Em caso de discordância, o Controlador pode rescindir o contrato sem multa nos 30 dias seguintes à notificação.

← Voltar para a página inicial
© 2026 Teu Atendimento. Todos os direitos reservados.