Acordo de Processamento de Dados
Data Processing Agreement (DPA) — LGPD Art. 39
Última atualização: 15 de março de 2026
Este Acordo de Processamento de Dados (“DPA” ou “Acordo”) é celebrado entre a Estúdio Pixel Soluções Digitais (operadora) e o Contratante (controlador) e é incorporado aos Termos de Uso da Grazia. Em caso de conflito entre este DPA e os Termos de Uso, prevalece este DPA no que se refere ao tratamento de dados pessoais.
1. Definições
Para os fins deste Acordo, aplicam-se as definições da Lei n.º 13.709/2018 (LGPD):
- Dados Pessoais — qualquer informação relacionada a pessoa natural identificada ou identificável
- Controlador — o Contratante, que determina as finalidades e os meios do tratamento dos dados de seus usuários finais
- Operadora — a Estúdio Pixel/Grazia, que realiza o tratamento em nome do Controlador
- Suboperador — terceiro contratado pela Operadora para auxiliar no tratamento (ex.: Anthropic, Stripe)
- Titular — o usuário final cujos dados são tratados
- Incidente de Segurança — acesso não autorizado, vazamento, destruição, perda ou alteração não intencional de dados
2. Funções das partes
O Contratante atua como Controlador dos dados pessoais de seus usuários finais (contatos do WhatsApp). Ele determina por que e como esses dados são coletados e processados.
A Grazia/Estúdio Pixel atua como Operadora, processando esses dados exclusivamente conforme as instruções documentadas do Controlador e para as finalidades descritas neste DPA e nos Termos de Uso.
Para os dados dos próprios Contratantes (dados de conta, faturamento), a Grazia atua como Controladora independente, conforme descrito na Política de Privacidade.
3. Objeto e finalidades do tratamento
A Operadora tratará os seguintes dados em nome do Controlador:
| Categoria de dados | Finalidade |
|---|---|
| Número de telefone do WhatsApp | Identificação e roteamento de mensagens |
| Nome do contato | Personalização das respostas do agente de IA |
| Conteúdo das mensagens | Processamento pelo agente de IA para geração de respostas; armazenamento no histórico de conversas |
| Metadados de mensagem (horário, status) | Gestão do fluxo de atendimento e relatórios |
O tratamento é realizado exclusivamente para prestar o serviço contratado. A Operadora não utilizará os dados dos usuários finais do Controlador para finalidades próprias, incluindo treinamento de modelos de IA ou análise de mercado.
4. Instruções de tratamento
A Operadora somente tratará dados pessoais conforme instrução documentada do Controlador, expressa por meio de:
- Configurações realizadas pelo Controlador na plataforma
- Este DPA e os Termos de Uso
- Solicitações formais enviadas para privacidade@estudiopixel.com.br
Se a Operadora entender que uma instrução viola a LGPD ou outra legislação aplicável, informará o Controlador imediatamente, podendo suspender o cumprimento até regularização.
5. Suboperadores
O Controlador autoriza o uso dos seguintes suboperadores. A Operadora manterá com cada um contratos com garantias equivalentes às deste DPA:
| Suboperador | Serviço | Localização | Política de privacidade |
|---|---|---|---|
| Anthropic PBC | Processamento de linguagem natural (Claude API) | EUA | anthropic.com/privacy |
| Stripe Inc. | Processamento de pagamentos | EUA | stripe.com/privacy |
| Meta Platforms (WhatsApp) | Transmissão de mensagens via Business API | EUA | whatsapp.com/legal |
| Provedor de infraestrutura | Hospedagem, banco de dados e filas | Brasil / EUA | Disponível mediante solicitação |
A Operadora notificará o Controlador com antecedência mínima de 15 dias antes de adicionar ou substituir um suboperador, dando ao Controlador a oportunidade de se opor.
6. Medidas de segurança
A Operadora implementa e mantém as seguintes medidas técnicas e organizacionais:
6.1 Medidas técnicas
- Criptografia TLS 1.2+ em todas as comunicações em trânsito
- Criptografia em repouso para dados sensíveis no banco de dados
- Isolamento multi-tenant — dados de cada Controlador são segregados por
tenantId - Autenticação por JWT com expiração curta e renovação controlada
- Controle de acesso baseado em papéis (RBAC)
- Backups automáticos diários com retenção mínima de 30 dias
- Monitoramento de anomalias e alertas de segurança em tempo real
6.2 Medidas organizacionais
- Acesso interno aos dados de produção restrito a funcionários autorizados e com necessidade comprovada (princípio do mínimo privilégio)
- Acordo de confidencialidade exigido de todos os colaboradores
- Revisões periódicas de segurança e análise de vulnerabilidades
- Plano de resposta a incidentes documentado
7. Notificação de incidentes de segurança
Em caso de incidente de segurança que envolva dados tratados em nome do Controlador, a Operadora:
- Notificará o Controlador em até 72 horas após tomar conhecimento do incidente, por e-mail para o endereço cadastrado na conta
- Fornecerá, no prazo acima ou assim que disponível: descrição da natureza do incidente, categorias e volume estimado de dados afetados, possíveis consequências e medidas tomadas ou propostas
- Cooperará com o Controlador na notificação à ANPD e aos titulares afetados, quando exigido pela LGPD
8. Direitos dos titulares
O Controlador é responsável primário por responder às solicitações de titulares (usuários finais). A Operadora apoiará o Controlador, fornecendo as informações e funcionalidades técnicas necessárias para:
- Acesso, correção e portabilidade dos dados
- Eliminação de dados de um titular específico
- Bloqueio ou anonimização de dados
Solicitações de titulares recebidas diretamente pela Operadora serão repassadas ao Controlador em até 3 dias úteis.
9. Exclusão e devolução de dados
Após o encerramento do contrato, a Operadora:
- Manterá os dados disponíveis para exportação pelo Controlador por 30 dias
- Excluirá permanentemente todos os dados ao final desse prazo, salvo obrigação legal de retenção
- Emitirá, mediante solicitação, declaração de exclusão dos dados
10. Transferências internacionais de dados
Transferências para suboperadores localizados fora do Brasil são realizadas com base nos mecanismos previstos no Art. 33 da LGPD, incluindo cláusulas contratuais padrão e garantias contratuais equivalentes.
O Controlador reconhece e consente com as transferências internacionais listadas na Seção 5, como condição para a utilização do serviço.
11. Auditoria e conformidade
O Controlador tem o direito de, mediante aviso prévio de 30 dias e no máximo uma vez por ano:
- Solicitar relatórios de conformidade e certificações de segurança
- Fazer perguntas por escrito sobre as práticas de tratamento de dados da Operadora
Auditorias in loco ficam sujeitas à concordância prévia da Operadora e à assinatura de acordo de confidencialidade.
12. Responsabilidades
Cada parte é responsável pelo cumprimento de suas próprias obrigações sob a LGPD. O Controlador responde pelo uso que faz da plataforma e pela legalidade das instruções dadas à Operadora. A Operadora responde pelo descumprimento específico de suas obrigações como operadora.
13. Vigência
Este DPA tem a mesma vigência do contrato de serviço entre as partes, encerrando-se automaticamente com o término do contrato, sem prejuízo das obrigações de confidencialidade e exclusão de dados que sobrevivem ao encerramento.
14. Contato do DPO
Para questões relacionadas a este DPA: privacidade@estudiopixel.com.br