Pular para o conteúdo
XPHERA
English Criar conta
Voltar para a home

Contrato de Tratamento de Dados (DPA-LGPD)

Vigente desde 2026-04-22
Versão 0.9.0

Nuvem Corporativa Ltda. — CNPJ 31.549.464/0001-85 — Rua Avencas, 20 — Coqueiral, Aracruz/ES, CEP 29199-022, Brasil

Versão 0.9.0 (pré-release) — vigência a partir da publicação no domínio xphera.io.

⚠️ Documento em pré-release. O conteúdo está em uso operacional mas ainda não passou por revisão jurídica formal. Será promovido a v1.0.0 após revisão por advogado especializado em LGPD.

1. Partes

CONTROLADOR: Cliente, pessoa jurídica ou física que utiliza a plataforma Xphera para tratar dados pessoais de terceiros (seus próprios clientes, fornecedores, colaboradores, etc.).

OPERADOR: NUVEM CORPORATIVA LTDA., CNPJ 31.549.464/0001-85, sede na Rua Avencas, nº 20, Bairro Coqueiral, Aracruz - ES, CEP 29.199-022, titular do produto Xphera.

2. Objeto

Este Contrato regula o tratamento de dados pessoais que o Controlador insere e processa por meio da plataforma Xphera, em conformidade com a Lei nº 13.709/2018 (LGPD).

Constitui parte integrante dos Termos de Uso e da Política de Privacidade. Em caso de conflito, prevalecem as disposições deste DPA quanto ao tratamento de dados de terceiros pelo Operador.

3. Natureza, escopo e finalidade do tratamento

3.1. O Operador trata dados pessoais exclusivamente para a prestação dos serviços contratados pelo Controlador, conforme descrito nos Termos de Uso.

3.2. Categorias de dados tipicamente tratadas (sem exclusividade, conforme uso da plataforma pelo Controlador):

  • Identificação (nome, CPF/CNPJ, RG, e-mail, telefone, endereço).
  • Dados profissionais (cargo, departamento, vínculo empregatício).
  • Dados de operação (chamados, contratos, ativos, ordens de serviço).
  • Documentos anexados pelo Controlador.

3.3. Categorias de titulares tipicamente afetadas:

  • Clientes finais do Controlador.
  • Fornecedores do Controlador.
  • Colaboradores do Controlador.

3.4. Finalidade: viabilizar a operação da plataforma para o Controlador, sem qualquer reuso para fins próprios do Operador.

4. Obrigações do Controlador

O Controlador obriga-se a:

4.1. Cumprir todas as obrigações de controlador previstas na LGPD, incluindo:

  • Definir bases legais válidas para cada tratamento.
  • Atender solicitações de titulares (acesso, correção, eliminação, etc.).
  • Manter registro das operações de tratamento.
  • Comunicar incidentes de segurança aos titulares e à ANPD quando cabível.

4.2. Inserir na plataforma apenas dados estritamente necessários à finalidade declarada.

4.3. Configurar adequadamente as permissões de acesso (RBAC) por seus usuários para garantir o princípio do menor privilégio.

4.4. Manter atualizadas as informações cadastrais de seus usuários.

5. Obrigações do Operador

O Operador obriga-se a:

5.1. Tratar os dados estritamente conforme as instruções do Controlador, sem desvio de finalidade.

5.2. Manter sigilo sobre os dados, vinculando seus colaboradores e subcontratados (sub-operadores) por obrigações equivalentes.

5.3. Aplicar medidas técnicas e organizacionais razoáveis para proteger os dados (item 7).

5.4. Auxiliar o Controlador no atendimento de solicitações de titulares e em obrigações regulatórias (relatório de impacto, resposta à ANPD, etc.), na extensão proporcional aos serviços contratados.

5.5. Comunicar incidentes ao Controlador no prazo máximo de 24 horas após o conhecimento, com detalhes técnicos suficientes para o Controlador cumprir suas obrigações de notificação.

5.6. Devolver ou eliminar os dados após o término do contrato, conforme solicitado pelo Controlador, ressalvadas as retenções obrigatórias por lei (logs de auditoria, notas fiscais, etc.).

6. Sub-operadores autorizados

6.1. O Controlador autoriza o uso dos sub-operadores listados em https://xphera.io/legal/sub-processadores, que incluem:

  • AWS (Amazon Web Services) — infraestrutura (Lightsail, S3, CloudFront).
  • TecnoSpeed — emissão de notas fiscais (quando módulo ativo).
  • D4Sign — assinatura eletrônica (quando módulo ativo).
  • Sicoob — processamento de pagamentos PIX.
  • WhatsApp Business (Meta Platforms Brasil) — quando módulo ativo.

6.2. Inclusão de novo sub-operador será comunicada ao Controlador com antecedência mínima de 30 dias. O Controlador pode manifestar oposição motivada; persistindo a discordância, fica facultada a rescisão do contrato sem penalidade.

6.3. O Operador responde solidariamente pelas obrigações dos sub-operadores no que tange ao tratamento dos dados do Controlador.

7. Medidas de segurança

7.1. Medidas técnicas aplicadas:

  • Criptografia em trânsito (TLS 1.2+).
  • Criptografia de segredos persistidos (AES-256-GCM com chave versionada).
  • Hash de senhas (bcrypt/argon2).
  • Tenant isolation lógico via search_path PostgreSQL e middleware de autorização.
  • Auditoria estruturada de operações sensíveis com retenção mínima de 5 anos.
  • Backups regulares com retenção de 30 dias.

7.2. Medidas organizacionais:

  • Controle de acesso dos colaboradores do Operador por princípio do menor privilégio.
  • Treinamento periódico em proteção de dados.
  • Avaliação de impacto (DPIA) para novos tratamentos relevantes.

8. Auditoria e direito de fiscalização

8.1. O Operador disponibilizará ao Controlador, mediante solicitação formal, evidências suficientes do cumprimento deste DPA, incluindo:

  • Cópia de relatórios de auditoria interna ou de terceiros (SOC 2, ISO, quando aplicável).
  • Resposta documentada a questionários de segurança razoáveis.

8.2. Auditorias presenciais por terceiros independentes podem ser solicitadas em casos de incidente material, mediante acordo prévio sobre escopo, prazos e custos.

9. Transferência internacional de dados

9.1. Os dados são armazenados em datacenters da Amazon Web Services (AWS) localizados na região us-east-1 (Norte da Virgínia, Estados Unidos).

9.2. A transferência internacional ocorre amparada pelas seguintes salvaguardas, em conformidade com o art. 33 da LGPD:

  • Cláusulas contratuais padrão entre o Operador e a AWS, conforme o AWS Data Processing Addendum (DPA), com obrigações equivalentes às previstas pela LGPD.
  • Certificações reconhecidas da AWS (ISO 27001, SOC 2 Type II, PCI-DSS, entre outras), demonstrando padrões internacionais de proteção.
  • Acesso restrito por princípio do menor privilégio, com logs auditáveis das operações realizadas.

9.3. A migração para datacenters localizados no Brasil (região sa-east-1 da AWS) está prevista no roadmap do Operador. Até a migração efetiva, mantêm-se as salvaguardas acima.

10. Vigência e rescisão

10.1. Este DPA vigora enquanto durar o contrato principal entre o Controlador e o Operador.

10.2. Após o término, o Operador devolverá ou eliminará os dados conforme item 5.6, no prazo máximo de 90 dias.

10.3. Obrigações de sigilo, segurança e responsabilidade pré-existentes sobrevivem à rescisão.

11. Limitação e responsabilidade

11.1. A responsabilidade do Operador no âmbito deste DPA segue os limites estabelecidos nos Termos de Uso, ressalvada a responsabilidade solidária prevista pela LGPD.

11.2. Em caso de violação atribuível a culpa exclusiva do Controlador (ex.: configuração inadequada de permissões), este responderá integralmente perante terceiros e regressamente ao Operador.

12. Foro

Aplica-se o foro estabelecido nos Termos de Uso (Comarca de Aracruz - Estado do Espírito Santo).

13. Comunicações

Comunicações relativas a este DPA devem ser enviadas a:

  • DPO Operador: dpo@xphera.io (Rafael Duarte Frutuoso)
  • Controlador: e-mail e dados cadastrais informados no momento do cadastro na Plataforma.