Acordo de Tratamento de Dados (DPA)
Versão 1.0 — vigente desde 18 de abril de 2026
Este Acordo de Tratamento de Dados (doravante "DPA") é parte integrante dos Termos de Uso e rege a relação de Operador (Cumply) e Controlador (Contratante) nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD").
1. Partes
- Controlador: a pessoa jurídica Contratante, identificada pelo CNPJ informado no cadastro e aceite deste DPA no momento da contratação.
- Operador: Origo Tecnologia LTDA (operadora da plataforma Cumply), inscrita no CNPJ [em processo de registro], com sede em Belo Horizonte/MG.
2. Objeto
O Operador tratará dados pessoais por conta do Controlador, no escopo e apenas para as finalidades estritamente necessárias à prestação do serviço Cumply contratado.
3. Dados tratados e finalidade
| Categoria | Titular | Finalidade |
|---|---|---|
| Cadastro: nome, email, cargo, departamento | Colaborador | Envio de convite, autenticação no questionário |
| Respostas COPSOQ-BR (agregadas) | Colaborador | Geração de score, relatórios e PGR |
| Comentários livres (anonimizados) | Colaborador | Identificação de temas qualitativos |
| Cadastro de usuários administradores | Funcionário do Controlador | Acesso ao painel |
O Operador não realiza: (i) profiling individual de colaborador; (ii) uso de dados para treinamento de modelos de IA; (iii) enriquecimento externo dos dados do Controlador; (iv) venda ou cessão de dados a terceiros para fins de marketing próprio.
Em diagnósticos marcados como anônimos pelo administrador, NÃO coletamos IP nem informações do navegador. Utilizamos apenas um identificador técnico de 24h que impede respostas duplicadas, mas não permite identificação da pessoa.
4. Obrigações do Operador
- Tratar dados apenas conforme instruções documentadas do Controlador (estas instruções são os Termos de Uso + este DPA + configurações do painel).
- Garantir confidencialidade dos empregados e subcontratados que tenham acesso aos dados.
- Implementar medidas técnicas e organizacionais de segurança compatíveis com o risco (descritas na Política de Privacidade, seção 9).
- Apoiar o Controlador, na medida do possível, a atender requisições de titulares (art. 18 da LGPD).
- Notificar o Controlador em até 48h após conhecimento de incidente de segurança que envolva dados do Controlador, com informações mínimas previstas no art. 48, §1º da LGPD.
- Excluir ou devolver os dados do Controlador após o término do contrato, conforme escolha do Controlador, respeitado o prazo de retenção legal.
- Disponibilizar relatórios razoáveis para demonstrar conformidade (logs de acesso, certificações, auditorias internas).
5. Obrigações do Controlador
- Ter base legal válida para o tratamento e demonstrar o consentimento dos colaboradores quando exigido (modelo disponível em "Ajuda > Comunicação interna").
- Fornecer dados corretos, atualizados e necessários.
- Responder diretamente a titulares que exerçam direitos, podendo solicitar apoio do Operador.
- Configurar adequadamente usuários, papéis e permissões dentro do painel (RBAC).
- Cumprir a legislação aplicável ao seu setor (CLT, NRs, normas setoriais).
6. Subprocessadores
O Controlador autoriza o Operador a utilizar subprocessadores essenciais à entrega do serviço. Lista completa mantida em Política de Privacidade, seção 5. Mudanças materiais na lista serão comunicadas por email com 15 dias de antecedência; o Controlador poderá objetar por escrito e, em caso de objeção fundada, terá direito a rescindir o contrato sem penalidade.
7. Transferência internacional
Há transferência internacional apenas para subprocessadores localizados nos EUA (Anthropic, Cloudflare) e UE (Hostinger). Todas ocorrem sob cláusulas contratuais padrão compatíveis com o art. 33 da LGPD.
8. Auditoria
O Controlador pode solicitar, com 30 dias de antecedência e no máximo 1x por ano, evidências documentais de conformidade (política de segurança, resultados de teste de restore de backup, relatório de incidentes). Auditoria presencial somente por justa causa e mediante assinatura de NDA. O Controlador arca com os custos da auditoria, salvo se for identificada não conformidade grave.
9. Retenção e devolução
- Durante a vigência: os dados permanecem disponíveis para consulta, edição e exportação pelo Controlador.
- Após término: 30 dias para o Controlador exportar tudo (via botão do painel ou solicitação ao DPO). Após esse prazo, exclusão em até 60 dias, salvo obrigação legal de retenção (dados fiscais: 5 anos).
- Backups: expurgados no ciclo natural (30 dias).
10. Responsabilidade
Cada parte responde por suas próprias obrigações legais. A responsabilidade total do Operador por danos relacionados a este DPA segue o limite definido na cláusula 8 dos Termos de Uso.
11. Vigência e término
Este DPA vigora enquanto houver relação contratual entre as partes e sobrevive pelo período necessário ao cumprimento das obrigações de retenção e exclusão.
12. Contato
Operador (pessoa jurídica): Origo Tecnologia LTDA
DPO: dpo@cumply.com.br
Contato comercial: contato@cumply.com.br