Acordo de Tratamento de Dados (DPA)
Data Processing Agreement — em conformidade com o GDPR (Regulamento UE 2016/679) e a LGPD (Lei nº 13.709/2018)
Última atualização: março 2026
1. Partes
Este Acordo de Tratamento de Dados ("DPA") é celebrado entre:
- Controlador de Dados: A empresa ou pessoa física que contrata os serviços da ISO Reports Global e fornece documentos para análise ("Cliente" ou "Controlador").
- Operador de Dados: ISO Reports Global, responsável pelo processamento dos dados em nome do Controlador ("Operador").
2. Objeto e Finalidade do Tratamento
O Operador trata dados pessoais e documentos corporativos fornecidos pelo Controlador exclusivamente para:
- Gerar relatórios automatizados de conformidade ISO solicitados pelo Controlador
- Entregar o relatório por e-mail ao endereço indicado no momento da compra
- Processar o pagamento por meio de prestadores de serviço certificados (Stripe Inc.)
- Cumprir obrigações legais e regulatórias aplicáveis
O tratamento não inclui uso dos dados para fins comerciais, publicidade, treinamento de modelos de IA ou compartilhamento com terceiros não essenciais ao serviço.
3. Categorias de Dados Tratados
| Categoria | Exemplos | Base Legal |
|---|---|---|
| Dados de identificação | Nome, e-mail | Execução contratual |
| Dados de pagamento | Processados pela Stripe (não armazenamos dados de cartão) | Execução contratual |
| Documentos corporativos | PDFs de sistemas de gestão enviados para análise | Execução contratual / Legítimo interesse |
| Dados de uso | Logs de acesso, IP (anonimizados) | Legítimo interesse (segurança) |
4. Retenção e Exclusão de Dados
- Arquivos PDF enviados: Excluídos imediatamente após a geração do relatório.
- Relatórios gerados: Disponíveis para acesso por 90 dias após a conclusão. Após esse período, os dados do relatório são excluídos.
- Dados de pagamento: Gerenciados e retidos pela Stripe conforme suas políticas de conformidade PCI-DSS.
- Solicitação de exclusão antecipada: Pode ser solicitada a qualquer momento via contato@isoreportsglobal.com. Atendemos em até 72 horas.
5. Subprocessadores
O Operador utiliza os seguintes subprocessadores para prestar o serviço:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Stripe Inc. | Processamento de pagamentos | EUA / UE (SCCs) |
| Supabase / PostgreSQL | Banco de dados de jobs e relatórios | UE |
| Resend | Envio de e-mails transacionais | EUA (SCCs) |
| Google (Gemini API) | Processamento de IA para análise dos documentos | EUA / UE (SCCs) |
| Vercel | Hospedagem da aplicação | EUA / UE |
SCCs = Cláusulas Contratuais Padrão da UE para transferências internacionais de dados.
6. Medidas de Segurança
O Operador implementa as seguintes medidas técnicas e organizacionais:
- Comunicações criptografadas via TLS 1.2+ (HTTPS)
- Acesso ao banco de dados restrito por IP e autenticação
- Segredos e chaves de API armazenados em variáveis de ambiente seguras
- Logs de acesso monitorados para detecção de anomalias
- Política de mínimo privilégio para acesso a dados
7. Direitos dos Titulares de Dados
O Controlador pode exercer, em nome dos titulares de dados, os seguintes direitos:
- Acesso: Obter confirmação de quais dados são tratados
- Retificação: Corrigir dados inexatos
- Exclusão: Solicitar a remoção dos dados ("direito ao esquecimento")
- Portabilidade: Receber os dados em formato estruturado
- Oposição: Opor-se ao tratamento baseado em legítimo interesse
Solicitações devem ser enviadas para contato@isoreportsglobal.com. Prazo de resposta: 30 dias (GDPR) / 15 dias (LGPD).
8. Notificação de Violações de Dados
Em caso de violação de dados pessoais que represente risco ao Controlador ou aos titulares, o Operador notificará o Controlador no prazo máximo de 72 horas após tomar conhecimento, incluindo:
- Natureza da violação e categorias de dados afetados
- Número aproximado de registros comprometidos
- Medidas adotadas para mitigar os efeitos
9. Contato do DPO
Para questões relacionadas a este DPA ou ao tratamento de dados pessoais, entre em contato com nosso responsável pela proteção de dados:
Este DPA está sujeito a atualizações periódicas. A versão vigente estará sempre disponível em /dpa. Alterações materiais serão notificadas com antecedência de 30 dias.