Acordo de Tratamento de Dados (DPA)

1. Partes e objeto

Este Acordo é firmado entre o Cliente (Controlador) e a Beauty System (Operador), regendo o tratamento de dados pessoais realizado pelo Operador em nome do Controlador para a prestação dos Serviços.

2. Bases legais

O Operador trata dados pessoais com base em: (i) execução de contrato; (ii) cumprimento de obrigação legal; (iii) legítimo interesse para segurança e prevenção a fraudes; e (iv) consentimento, quando aplicável.

3. Categorias de dados e titulares

• Dados cadastrais de usuários do Cliente (nome, e-mail, telefone)
• Dados dos clientes finais cadastrados pelo Cliente (CRM)
• Conteúdo de mensagens trocadas via canais conectados (WhatsApp, etc.)
• Logs de acesso, IP, user-agent e dados de uso da plataforma

4. Sub-operadores

O Operador utiliza os seguintes sub-operadores essenciais:

• Supabase / AWS — infraestrutura de banco de dados e armazenamento (região configurável)
• Cloudflare — CDN, edge runtime e proteção DDoS
• Stripe — processamento de pagamentos
• Inngest — orquestração de filas e jobs assíncronos
• Provedores de IA (Google, OpenAI) — inferência sob acordos de não-treinamento

Alterações materiais na lista de sub-operadores serão comunicadas ao Cliente com antecedência mínima de 30 dias.

5. Medidas técnicas e organizacionais

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
• Controle de acesso baseado em papéis (RBAC) e Row-Level Security
• Autenticação multifator (2FA TOTP) disponível
• Logs de auditoria de acesso e alterações sensíveis
• Backups diários com retenção mínima de 7 dias
• Política de senhas fortes e proteção contra credenciais vazadas

6. Transferências internacionais

Quando aplicável, transferências internacionais são realizadas para países com nível adequado de proteção ou mediante cláusulas contratuais padrão equivalentes às SCCs.

7. Direitos dos titulares

O Operador auxiliará o Controlador no atendimento de requisições de titulares (acesso, correção, portabilidade, exclusão e oposição) em prazo razoável e mediante solicitação formal pelo painel ou pelo e-mail abaixo.

8. Notificação de incidentes

Em caso de incidente de segurança envolvendo dados pessoais, o Operador notificará o Controlador em até 72 horas a partir do conhecimento, com as informações necessárias para a comunicação à ANPD e aos titulares.

9. Retenção e devolução

Encerrada a relação contratual, os dados são devolvidos ou excluídos em até 90 dias, exceto quando houver obrigação legal de retenção. Backups expiram conforme política de rotação.

10. Auditoria

Mediante aviso prévio razoável e sob acordo de confidencialidade, o Controlador poderá solicitar evidências de conformidade ou relatórios de auditoria de terceiros (quando disponíveis).

11. Encarregado (DPO)

Encarregado pela proteção de dados: dpo@beautysystem.app.

12. Vigência

Este DPA vigora enquanto durar a relação contratual entre as partes e prevalece sobre acordos anteriores relativos ao tratamento de dados.