Este Adendo de Tratamento de Dados (“DPA”) integra osTermos de Serviço firmados entre o Invisiboll (“Operador”) e o Cliente (“Controlador”) sempre que o Cliente, ao utilizar a Plataforma, atue como controlador de dados pessoais sob a LGPD ou GDPR.
1. Partes
Operador:Invisiboll Tecnologia Ltda., inscrita no CNPJ sob o nº00.000.000/0001-00, com sede em Rua [Endereço], [Número], [Sala/Andar], [Bairro], Santa Rita do Sapucaí/MG, [CEP], Brasil.
Controlador: o Cliente identificado no momento da contratação dos serviços, atuando em nome próprio ou em representação de pessoa jurídica.
Para clientes Enterprise, um DPA assinado fisicamente ou via DocuSign, com cláusulas customizadas, pode ser solicitado em[email protected].
2. Definições
- Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I, da LGPD e art. 4º, 1, do GDPR.
- Tratamento: qualquer operação realizada com Dados Pessoais (coleta, armazenamento, transmissão, modificação, eliminação etc.).
- Incidente de Segurança: qualquer acesso não autorizado, destruição, perda, alteração, comunicação ou difusão indevida de Dados Pessoais.
3. Objeto
O Operador processa Dados Pessoais exclusivamente em nome e por instrução do Controlador, com a finalidade de prestar os serviços contratados de filtragem e roteamento de tráfego, conforme as configurações definidas pelo Controlador no painel.
A natureza, finalidade, duração, categorias de titulares e categorias de Dados Pessoais tratados são as descritas na Política de Privacidade, podendo ser detalhadas em anexo específico para Clientes Enterprise.
4. Instruções do controlador
O Controlador instrui o Operador a tratar os Dados Pessoais conforme necessário para a prestação dos serviços e em conformidade com a legislação aplicável. Instruções específicas adicionais devem ser encaminhadas por escrito ao Encarregado do Operador em [email protected].
O Operador notificará o Controlador caso entenda, no exercício regular de sua diligência, que uma instrução violar a LGPD, o GDPR ou outra legislação aplicável.
5. Medidas de segurança
O Operador implementa medidas técnicas e organizacionais apropriadas para proteger Dados Pessoais — criptografia em trânsito e em repouso, controle de acesso baseado em função (RBAC), MFA obrigatório para acesso administrativo, registro de auditoria centralizado, gestão de vulnerabilidades, backups regulares testados e segregação lógica entre tenants. Detalhes em Segurança.
6. Incidentes
Em caso de Incidente de Segurança envolvendo Dados Pessoais sob controle do Controlador, o Operador notificará o Controlador em até 72 (setenta e duas) horas a contar da ciência do fato. A notificação incluirá, na medida do razoavelmente disponível, natureza, escopo, riscos potenciais, medidas adotadas e medidas recomendadas ao Controlador.
O Operador prestará cooperação razoável ao Controlador no cumprimento de seus deveres de notificação à ANPD e aos titulares afetados, conforme art. 48 da LGPD e art. 33 do GDPR.
7. Transferência internacional
Quando aplicável, transferências internacionais de Dados Pessoais são realizadas com base em cláusulas contratuais padrão (SCCs) e medidas suplementares apropriadas, para garantir nível adequado de proteção, em conformidade com art. 33 da LGPD e art. 46 do GDPR.
8. Auditoria
O Operador disponibilizará ao Controlador, mediante solicitação razoável, evidências documentais do cumprimento deste DPA, incluindo relatórios resumidos de auditorias internas e certificações de segurança que possua. Auditorias presenciais podem ser acordadas para clientes Enterprise, mediante prazo razoável de agendamento e cobrança de custos quando demandadas com frequência superior a uma vez por ano.
9. Vigência e término
Este DPA permanece em vigor enquanto o Operador tratar Dados Pessoais em nome do Controlador. Encerrado o contrato principal, os Dados Pessoais serão devolvidos ou eliminados em até 90 (noventa) dias, salvo retenção legalmente exigida — caso em que o Operador continuará a aplicar as medidas de segurança previstas até o efetivo descarte.