Acordo de Tratamento de Dados (DPA)
Versão 1.0 — vigente desde 18 de abril de 2026
Este Acordo de Tratamento de Dados (doravante "DPA") é parte integrante dos Termos de Uso e rege a relação de Operador (Cumply) e Controlador (Contratante) nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD").
1. Partes
- Controlador: a pessoa jurídica Contratante, identificada pelo CNPJ informado no cadastro e aceite deste DPA no momento da contratação.
- Operador: Origo Tecnologia LTDA (operadora da plataforma Cumply), inscrita no CNPJ [em processo de registro], com sede em Belo Horizonte/MG.
2. Objeto
O Operador tratará dados pessoais por conta do Controlador, no escopo e apenas para as finalidades estritamente necessárias à prestação do serviço Cumply contratado.
3. Dados tratados e finalidade
| Categoria | Titular | Finalidade |
|---|---|---|
| Cadastro: nome, email, cargo, departamento | Colaborador | Envio de convite, autenticação no questionário |
| Respostas COPSOQ-BR (agregadas) | Colaborador | Geração de score, relatórios e PGR |
| Comentários livres (anonimizados) | Colaborador | Identificação de temas qualitativos |
| Cadastro de usuários administradores | Funcionário do Controlador | Acesso ao painel |
O Operador não realiza: (i) profiling individual de colaborador; (ii) uso de dados para treinamento de modelos de IA; (iii) enriquecimento externo dos dados do Controlador; (iv) venda ou cessão de dados a terceiros para fins de marketing próprio.
4. Obrigações do Operador
- Tratar dados apenas conforme instruções documentadas do Controlador (estas instruções são os Termos de Uso + este DPA + configurações do painel).
- Garantir confidencialidade dos empregados e subcontratados que tenham acesso aos dados.
- Implementar medidas técnicas e organizacionais de segurança compatíveis com o risco (descritas na Política de Privacidade, seção 9).
- Apoiar o Controlador, na medida do possível, a atender requisições de titulares (art. 18 da LGPD).
- Notificar o Controlador em até 48h após conhecimento de incidente de segurança que envolva dados do Controlador, com informações mínimas previstas no art. 48, §1º da LGPD.
- Excluir ou devolver os dados do Controlador após o término do contrato, conforme escolha do Controlador, respeitado o prazo de retenção legal.
- Disponibilizar relatórios razoáveis para demonstrar conformidade (logs de acesso, certificações, auditorias internas).
5. Obrigações do Controlador
- Ter base legal válida para o tratamento e demonstrar o consentimento dos colaboradores quando exigido (modelo disponível em "Ajuda > Comunicação interna").
- Fornecer dados corretos, atualizados e necessários.
- Responder diretamente a titulares que exerçam direitos, podendo solicitar apoio do Operador.
- Configurar adequadamente usuários, papéis e permissões dentro do painel (RBAC).
- Cumprir a legislação aplicável ao seu setor (CLT, NRs, normas setoriais).
6. Subprocessadores
O Controlador autoriza o Operador a utilizar subprocessadores essenciais à entrega do serviço. Lista completa mantida em Política de Privacidade, seção 5. Mudanças materiais na lista serão comunicadas por email com 15 dias de antecedência; o Controlador poderá objetar por escrito e, em caso de objeção fundada, terá direito a rescindir o contrato sem penalidade.
7. Transferência internacional
Há transferência internacional apenas para subprocessadores localizados nos EUA (Anthropic, Cloudflare) e UE (Hostinger). Todas ocorrem sob cláusulas contratuais padrão compatíveis com o art. 33 da LGPD.
8. Auditoria
O Controlador pode solicitar, com 30 dias de antecedência e no máximo 1x por ano, evidências documentais de conformidade (política de segurança, resultados de teste de restore de backup, relatório de incidentes). Auditoria presencial somente por justa causa e mediante assinatura de NDA. O Controlador arca com os custos da auditoria, salvo se for identificada não conformidade grave.
9. Retenção e devolução
- Durante a vigência: os dados permanecem disponíveis para consulta, edição e exportação pelo Controlador.
- Após término: 30 dias para o Controlador exportar tudo (via botão do painel ou solicitação ao DPO). Após esse prazo, exclusão em até 60 dias, salvo obrigação legal de retenção (dados fiscais: 5 anos).
- Backups: expurgados no ciclo natural (30 dias).
10. Responsabilidade
Cada parte responde por suas próprias obrigações legais. A responsabilidade total do Operador por danos relacionados a este DPA segue o limite definido na cláusula 8 dos Termos de Uso.
11. Vigência e término
Este DPA vigora enquanto houver relação contratual entre as partes e sobrevive pelo período necessário ao cumprimento das obrigações de retenção e exclusão.
12. Contato
Operador (pessoa jurídica): Origo Tecnologia LTDA
DPO: dpo@cumply.com.br
Contato comercial: contato@cumply.com.br