Acordo de Tratamento de Dados (DPA)
Data Processing Agreement — em conformidade com o GDPR (Regulamento UE 2016/679) e a LGPD (Lei nº 13.709/2018)
Última atualização: 1 de março de 2026
1. Partes
Este Acordo de Tratamento de Dados ("DPA") é celebrado entre:
- Controlador de Dados: A empresa ou pessoa física que contrata os serviços da ISO Reports Global e fornece documentos para análise ("Cliente" ou "Controlador").
- Operador de Dados: ISO Reports Global, responsável pelo processamento dos dados em nome do Controlador ("Operador").
2. Objeto e Finalidade do Tratamento
O Operador trata dados pessoais e documentos corporativos fornecidos pelo Controlador exclusivamente para:
- Gerar relatórios automatizados de conformidade ISO solicitados pelo Controlador
- Entregar o relatório por e-mail ao endereço indicado no momento da compra
- Processar o pagamento por meio de prestadores de serviço certificados (Stripe Inc.)
- Cumprir obrigações legais e regulatórias aplicáveis
O tratamento não inclui uso dos dados para publicidade, treinamento de modelos de IA ou compartilhamento com terceiros não essenciais ao serviço. Exceção: dados de contato de leads (email, empresa, país) podem ser compartilhados com Parceiros ativos por região, para fins de acompanhamento comercial, nos termos descritos na Política de Privacidade.
3. Categorias de Dados Tratados
| Categoria | Exemplos | Base Legal |
|---|---|---|
| Dados de identificação | Nome, e-mail | Execução contratual |
| Dados de pagamento | Processados pela Stripe (não armazenamos dados de cartão) | Execução contratual |
| Documentos corporativos | PDFs de sistemas de gestão enviados para análise | Execução contratual / Legítimo interesse |
| Dados de autenticação | Código OTP (uso único, Consultores e Parceiros) | Execução contratual |
| Dados de Parceiros | Nome, empresa, país, WhatsApp, cookie ref_code | Execução contratual |
| Dados de uso | Logs de acesso, IP (anonimizados) | Legítimo interesse (segurança) |
4. Retenção e Exclusão de Dados
- Arquivos PDF enviados: Excluídos imediatamente após a geração do relatório.
- Relatórios gerados: Disponíveis para acesso por 90 dias após a conclusão. Após esse período, os dados do relatório são excluídos.
- Dados de pagamento: Gerenciados e retidos pela Stripe conforme suas políticas de conformidade PCI-DSS.
- Solicitação de exclusão antecipada: Pode ser solicitada a qualquer momento via contato@isoreportsglobal.com. Atendemos em até 72 horas.
5. Subprocessadores
O Operador utiliza os seguintes subprocessadores para prestar o serviço:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Stripe Inc. | Processamento de pagamentos | EUA / UE (SCCs) |
| Supabase / PostgreSQL | Banco de dados de jobs e relatórios | UE |
| Resend | Envio de e-mails transacionais | EUA (SCCs) |
| Google (Gemini API) | Processamento de IA para análise dos documentos | EUA / UE (SCCs) |
| QStash / Upstash | Filas de processamento assíncrono (análise por chunks) | EUA (SCCs) |
| Vercel | Hospedagem da aplicação | EUA / UE |
SCCs = Cláusulas Contratuais Padrão da UE para transferências internacionais de dados.
6. Medidas de Segurança
O Operador implementa as seguintes medidas técnicas e organizacionais:
- Comunicações criptografadas via TLS 1.2+ (HTTPS)
- Acesso ao banco de dados restrito por IP e autenticação
- Segredos e chaves de API armazenados em variáveis de ambiente seguras
- Logs de acesso monitorados para detecção de anomalias
- Política de mínimo privilégio para acesso a dados
7. Direitos dos Titulares de Dados
O Controlador pode exercer, em nome dos titulares de dados, os seguintes direitos:
- Acesso: Obter confirmação de quais dados são tratados
- Retificação: Corrigir dados inexatos
- Exclusão: Solicitar a remoção dos dados ("direito ao esquecimento")
- Portabilidade: Receber os dados em formato estruturado
- Oposição: Opor-se ao tratamento baseado em legítimo interesse
Solicitações devem ser enviadas para contato@isoreportsglobal.com. Prazo de resposta: 30 dias (GDPR) / 15 dias (LGPD).
8. Notificação de Violações de Dados
Em caso de violação de dados pessoais que represente risco ao Controlador ou aos titulares, o Operador notificará o Controlador no prazo máximo de 72 horas após tomar conhecimento, incluindo:
- Natureza da violação e categorias de dados afetados
- Número aproximado de registros comprometidos
- Medidas adotadas para mitigar os efeitos
9. Contato do Encarregado de Proteção de Dados (DPO)
Para questões relacionadas a este DPA ou ao tratamento de dados pessoais, entre em contato com nosso responsável pela proteção de dados:
Este DPA está sujeito a atualizações periódicas. A versão vigente estará sempre disponível em /dpa. Alterações materiais serão notificadas com antecedência de 30 dias.