Acordo de Processamento de Dados
Data Processing Agreement (DPA)
Vigência: 1 de janeiro de 2026 · Bitzen Software
1. Partes e Papéis
Operador: Bitzen Software, que processa Dados Pessoais em nome do Cliente conforme as instruções deste DPA.
Controlador: O Cliente, que determina as finalidades e os meios do tratamento dos Dados Ingeridos.
2. Natureza do Tratamento
| Finalidade | Validação de conformidade LGPD dos registos submetidos pelo Controlador |
| Tipos de dados | Nome, CPF, e-mail, e outros campos submetidos via API ou CSV |
| Titulares | Terceiros cujos dados foram coletados pelo Controlador |
| Duração | Enquanto o contrato estiver vigente; expurgo em 30 dias após rescisão |
3. Obrigações do Operador (Bitzen)
- Tratar os Dados Pessoais exclusivamente conforme as instruções documentadas do Controlador.
- Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a obrigações de confidencialidade.
- Implementar e manter medidas técnicas e organizacionais adequadas (Art. 46 LGPD).
- Assistir o Controlador no cumprimento de obrigações relativas a direitos dos titulares.
- Notificar o Controlador de qualquer violação de dados em até 24 horas após ciência.
- Eliminar ou devolver todos os Dados Pessoais ao término do serviço, conforme instrução do Controlador.
- Disponibilizar todas as informações necessárias para demonstrar conformidade e cooperar em auditorias.
4. Obrigações do Controlador (Cliente)
- Garantir que possui base legal válida (LGPD) para submeter os dados dos titulares à Plataforma.
- Fornecer instruções claras e documentadas sobre o tratamento pretendido.
- Notificar a Bitzen sobre quaisquer exercícios de direitos de titulares que exijam ação do Operador.
- Assegurar a exatidão e relevância dos dados submetidos.
5. Suboperadores
O Controlador autoriza o uso dos seguintes suboperadores. A Bitzen permanece responsável pelos atos dos suboperadores como se fossem seus:
| Suboperador | Finalidade | Localização |
|---|---|---|
| Supabase Inc. | Armazenamento de banco de dados (PostgreSQL) | EUA / UE |
| Anthropic PBC | Inferência de IA (dados parcialmente mascarados) | EUA |
| Render Inc. | Hospedagem da API backend | EUA |
| Vercel Inc. | Hospedagem do frontend web | EUA |
A Bitzen notificará o Controlador de qualquer alteração nos suboperadores com 15 dias de antecedência, concedendo direito de objeção.
6. Transferências Internacionais
Os dados podem ser processados nos EUA pelos suboperadores listados. A Bitzen garante que tais transferências são realizadas com base em cláusulas contratuais padrão (SCCs) ou equivalentes, conforme exigido pela LGPD e regulamentações da ANPD.
7. Medidas de Segurança
- Autenticação JWT com isolamento multi-tenant por Row-Level Security.
- Dados brutos mascarados na borda; modelos de IA recebem apenas hints parciais.
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 via Supabase).
- Logs de auditoria imutáveis para todas as operações de acesso e expurgo.
- Testes de penetração periódicos e revisão de código focada em segurança.
8. Direitos dos Titulares
Quando o Controlador receber solicitação de titular (acesso, retificação, exclusão, portabilidade), a Bitzen assistirá mediante solicitação via dpo@bitzen.app, no prazo de 5 dias úteis.
9. Vigência e Rescisão
Este DPA entra em vigor na data de aceitação dos Termos de Serviço e permanece vigente enquanto a Bitzen processar Dados Pessoais em nome do Controlador. Após rescisão, aplica-se o Art. 16 da LGPD para eliminação ou anonimização.
10. Contato DPO
Encarregado de Dados: dpo@bitzen.app
Para versão personalizada (Enterprise): vendas@bitzen.app