Contrato de Operador de Dados Pessoais (LGPD art. 39)
ANEXO aos Termos de Uso da Plataforma Cataloga-ai
Partes
CONTROLADOR (Lojista):
Nome/Razão Social: [NOME DO LOJISTA]
CPF/CNPJ: [CPF/CNPJ DO LOJISTA]
Endereço: [ENDEREÇO DO LOJISTA]
E-mail: [EMAIL DO LOJISTA]
(doravante denominado "Controlador" ou "Lojista")
OPERADOR (Cataloga-ai):
Razão Social: [NOME DA EMPRESA]
CNPJ: [CNPJ]
Endereço: [ENDEREÇO]
E-mail: [EMAIL DPO]
(doravante denominado "Operador" ou "Cataloga-ai")
Preâmbulo
CONSIDERANDO QUE:
(i) O Controlador contratou a plataforma SaaS da Cataloga-ai para criação de catálogo digital, processamento de pedidos, gestão de pagamentos e comunicação com consumidores finais;
(ii) A prestação desse serviço implica o tratamento de dados pessoais de consumidores finais (clientes do Lojista);
(iii) Nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD"), o Lojista é o Controlador desses dados pessoais, competindo-lhe as decisões referentes ao tratamento (art. 5º, VI);
(iv) A Cataloga-ai atua como Operador, realizando o tratamento de dados pessoais em nome do Controlador, conforme suas instruções (art. 5º, VII);
(v) O art. 39 da LGPD exige que o Operador realize o tratamento segundo as instruções fornecidas pelo Controlador, mediante contrato ou instrumento jurídico que defina obrigações e responsabilidades das partes;
AS PARTES CELEBRAM o presente Contrato de Operador de Dados Pessoais (também denominado "Data Processing Agreement - DPA"), que se rege pelas seguintes cláusulas e condições:
Cláusula 1 — Objeto e Escopo
1.1. Este Contrato regula o tratamento de dados pessoais realizado pela Cataloga-ai, na qualidade de Operador, em nome e sob instruções do Lojista, na qualidade de Controlador, no contexto da prestação de serviços da plataforma SaaS Cataloga-ai.
1.2. O tratamento de dados abrange as seguintes operações (art. 5º, X, LGPD):
- Coleta
- Armazenamento
- Classificação
- Processamento
- Transmissão
- Modificação
- Comunicação (via WhatsApp, GPTMaker, etc.)
- Eliminação
1.3. Os dados pessoais objeto deste Contrato referem-se exclusivamente aos consumidores finais (clientes do Lojista) que interagem com o catálogo digital criado pelo Lojista na plataforma Cataloga-ai.
1.4. Os dados pessoais do próprio Lojista (enquanto assinante da plataforma) não estão abrangidos por este Contrato, sendo tratados diretamente pela Cataloga-ai na qualidade de Controladora, conforme Política de Privacidade e Termos de Uso da plataforma.
Cláusula 2 — Categorias de Dados Pessoais e Titulares
2.1. As categorias de dados pessoais tratados pela Cataloga-ai, em nome do Lojista, incluem:
Dados de identificação:
- Nome completo
- CPF (quando necessário para emissão de nota fiscal ou pagamento PIX)
- Telefone (para comunicação via WhatsApp)
- E-mail (quando fornecido)
Dados de pedido:
- Produtos selecionados
- Endereço de entrega
- Instruções de entrega
- Histórico de pedidos
Dados de pagamento:
- Informações de transação PIX (processadas pelo sub-operador Asaas)
- Comprovantes de pagamento
Dados de comunicação:
- Mensagens trocadas via WhatsApp (processadas por GPTMaker ou Meta WhatsApp Cloud API)
- Preferências de contato
2.2. Os titulares desses dados são consumidores finais (pessoas naturais) que realizam pedidos no catálogo digital do Lojista.
2.3. O Operador não trata dados pessoais sensíveis (art. 5º, II, LGPD) ou dados de crianças e adolescentes, salvo expressa autorização prévia e por escrito do Controlador.
Cláusula 3 — Finalidades do Tratamento
3.1. A Cataloga-ai tratará os dados pessoais exclusivamente para as seguintes finalidades autorizadas pelo Controlador:
(i) Hospedagem e exibição do catálogo digital do Lojista;
(ii) Processamento de pedidos realizados pelos consumidores finais;
(iii) Facilitação de pagamentos via PIX (integração com Asaas);
(iv) Comunicação com consumidores finais sobre status de pedidos (via WhatsApp);
(v) Armazenamento de histórico de pedidos para consulta do Lojista;
(vi) Suporte técnico ao Lojista relacionado ao tratamento de dados.
3.2. A Cataloga-ai não poderá utilizar os dados pessoais dos consumidores finais para finalidades próprias, incluindo, mas não se limitando a:
- Marketing próprio da Cataloga-ai
- Análise de comportamento agregado sem prévia anonimização
- Compartilhamento com terceiros não autorizados pelo Controlador
3.3. Qualquer nova finalidade de tratamento deverá ser previamente autorizada por escrito pelo Controlador.
Cláusula 4 — Instruções do Controlador
4.1. A Cataloga-ai realizará o tratamento de dados pessoais exclusivamente conforme instruções documentadas do Controlador, transmitidas mediante:
(i) Este Contrato e seus anexos;
(ii) Configurações e parametrizações realizadas pelo Lojista na plataforma Cataloga-ai;
(iii) Solicitações específicas enviadas pelo Lojista ao suporte técnico da Cataloga-ai, por escrito (e-mail ou ticket).
4.2. Caso a Cataloga-ai entenda que uma instrução do Controlador viola a LGPD ou outras leis aplicáveis, deverá informar imediatamente o Controlador, por escrito, solicitando revisão ou confirmação da instrução.
4.3. Se, após a notificação, o Controlador mantiver a instrução, a Cataloga-ai poderá:
(i) Recusar-se a executá-la, sem que isso constitua descumprimento contratual; ou
(ii) Executá-la mediante registro documentado da discordância, ficando o Controlador exclusivamente responsável por eventuais consequências legais.
Cláusula 5 — Obrigações do Operador (Cataloga-ai)
A Cataloga-ai obriga-se a:
5.1. Conformidade com a LGPD
Tratar os dados pessoais em conformidade com a LGPD, especialmente os arts. 6º (princípios), 39 (contrato de operador), 46 (segurança) e 48 (comunicação de incidentes).
5.2. Confidencialidade
Garantir que todas as pessoas autorizadas a tratar dados pessoais (funcionários, prestadores de serviço) estejam sujeitas a obrigações de confidencialidade, por contrato ou dever legal.
5.3. Medidas de Segurança (art. 46, LGPD)
Implementar medidas técnicas e administrativas apropriadas para proteger os dados pessoais contra:
- Acesso não autorizado
- Destruição, perda, alteração acidental ou ilícita
- Comunicação ou difusão não autorizada
As medidas de segurança incluem, no mínimo:
- Criptografia: dados em trânsito (TLS/SSL) e em repouso (AES-256)
- Controle de acesso: autenticação multifator para acessos administrativos, RBAC (Role-Based Access Control)
- Logs de auditoria: registros de acesso e operações realizadas sobre dados pessoais
- Backup e recuperação: backups regulares e plano de disaster recovery
- Segurança de infraestrutura: hospedagem em ambiente seguro (Supabase self-hosted Brasil + Vercel)
- Testes de segurança: avaliação periódica de vulnerabilidades
5.4. Assistência ao Controlador
Auxiliar o Controlador, na medida do possível, no cumprimento de obrigações relativas a:
(i) Atendimento a direitos dos titulares (arts. 17-22 da LGPD): confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, revogação de consentimento.
A Cataloga-ai fornecerá ferramentas na plataforma e/ou assistência técnica para que o Controlador possa atender solicitações de titulares em até 15 dias (prazo legal — art. 19 da LGPD).
(ii) Elaboração de relatório de impacto à proteção de dados pessoais (art. 38 da LGPD), quando aplicável;
(iii) Comunicação de incidentes de segurança à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados (art. 48 da LGPD).
5.5. Limitação de Acesso
Garantir que apenas pessoas autorizadas e com necessidade legítima (princípio "need-to-know") tenham acesso aos dados pessoais.
5.6. Notificação de Incidentes (art. 48, LGPD)
Comunicar ao Controlador, no prazo máximo de 72 (setenta e duas) horas após tomar ciência, qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares, incluindo:
- Descrição da natureza do incidente
- Categorias e quantidade aproximada de titulares afetados
- Categorias e quantidade aproximada de registros de dados afetados
- Possíveis consequências do incidente
- Medidas adotadas ou propostas para mitigar os efeitos do incidente
- Ponto de contato para mais informações
O Controlador será responsável por comunicar o incidente à ANPD e aos titulares, conforme exigido pela LGPD.
5.7. Auditoria
Disponibilizar ao Controlador, mediante solicitação razoável e com antecedência mínima de 30 (trinta) dias, informações e documentações necessárias para demonstrar conformidade com as obrigações previstas neste Contrato e na LGPD, incluindo:
- Relatórios de medidas de segurança implementadas
- Logs de acesso e tratamento de dados (quando tecnicamente viável e sem comprometer a segurança)
- Certificações de segurança (ex.: ISO 27001, SOC 2, quando aplicável)
O Controlador poderá, mediante aviso prévio e em horário comercial, realizar auditoria nas dependências da Cataloga-ai ou contratar auditor independente para esse fim, desde que:
(i) A auditoria não interfira nas operações normais da Cataloga-ai;
(ii) O auditor independente seja previamente aprovado pela Cataloga-ai e esteja vinculado a obrigações de confidencialidade;
(iii) Os custos da auditoria sejam arcados pelo Controlador.
5.8. Transferência Internacional de Dados
Caso seja necessário transferir dados pessoais para fora do Brasil (ex.: servidores Vercel nos EUA, WhatsApp Cloud API hospedada globalmente), a Cataloga-ai garantirá que:
(i) A transferência ocorra em conformidade com o Capítulo V da LGPD (arts. 33 a 36);
(ii) Sejam adotadas salvaguardas adequadas, incluindo cláusulas contratuais padrão e/ou certificações de proteção de dados;
(iii) O Controlador seja informado previamente sobre a localização dos dados.
Cláusula 6 — Sub-operadores
6.1. A Cataloga-ai está autorizada pelo Controlador a contratar sub-operadores para auxiliar no tratamento de dados pessoais, desde que:
(i) Os sub-operadores estejam sujeitos a obrigações de proteção de dados equivalentes às previstas neste Contrato;
(ii) A Cataloga-ai permaneça integralmente responsável perante o Controlador pelo cumprimento das obrigações pelos sub-operadores.
6.2. A Cataloga-ai manterá uma lista atualizada de sub-operadores autorizados, disponível para consulta pelo Controlador. A lista atual de sub-operadores é:
| Sub-operador | Finalidade | País de hospedagem | Link DPA |
|---|---|---|---|
| Supabase | Hospedagem de banco de dados | Brasil (self-hosted) | [link] |
| Vercel | Hospedagem da aplicação web | EUA | [link] |
| Asaas | Processamento de pagamentos PIX | Brasil | [link] |
| GPTMaker | Automação de mensageria | Brasil | [link] |
| Meta (WhatsApp Cloud API) | Envio de mensagens WhatsApp | EUA/Global | [link] |
Para detalhes completos, consulte o Mapeamento de Sub-operadores (Doc. 6).
6.3. Caso a Cataloga-ai pretenda contratar, substituir ou remover um sub-operador, notificará o Controlador com antecedência mínima de 30 (trinta) dias.
6.4. O Controlador poderá objetar à contratação ou substituição de sub-operador, por escrito, no prazo de 15 (quinze) dias após a notificação, fundamentando a objeção em motivos razoáveis relacionados à proteção de dados.
6.5. Caso a objeção seja acolhida ou a Cataloga-ai não possa oferecer alternativa viável, o Controlador poderá rescindir o contrato sem penalidades, no prazo de 30 (trinta) dias.
Cláusula 7 — Obrigações do Controlador (Lojista)
O Lojista obriga-se a:
7.1. Legalidade do Tratamento
Garantir que o tratamento de dados pessoais dos consumidores finais tenha base legal válida (art. 7º da LGPD), especialmente:
- Consentimento (quando aplicável);
- Execução de contrato ou diligências pré-contratuais (art. 7º, V);
- Legítimo interesse (art. 7º, IX), quando cabível.
7.2. Transparência com Titulares
Informar os consumidores finais, de forma clara e acessível, sobre:
(i) A coleta e tratamento de dados pessoais;
(ii) As finalidades do tratamento;
(iii) A atuação da Cataloga-ai como Operador;
(iv) Os direitos dos titulares (arts. 17-22 da LGPD);
(v) Como exercer esses direitos.
Essa informação deve constar na Política de Privacidade do Lojista (veja template no Doc. 3).
7.3. Instruções Adequadas
Fornecer instruções claras, documentadas e em conformidade com a LGPD à Cataloga-ai.
7.4. Atendimento a Solicitações de Titulares
Responder a solicitações de titulares (confirmação, acesso, correção, eliminação, portabilidade, etc.) no prazo legal de 15 dias (art. 19 da LGPD), com apoio técnico da Cataloga-ai.
7.5. Responsabilidade Exclusiva
Assumir integral responsabilidade pelas decisões relacionadas ao tratamento de dados dos consumidores finais, incluindo definição de finalidades, bases legais, prazos de retenção e compartilhamento.
Cláusula 8 — Responsabilidade e Indenização
8.1. A Cataloga-ai é responsável pelos danos causados a titulares de dados pessoais em decorrência de violação direta das obrigações previstas neste Contrato ou na LGPD, nos termos do art. 42 da LGPD.
8.2. O Controlador é responsável pelos danos causados a titulares em decorrência de:
(i) Instruções inadequadas, ilegais ou em desconformidade com a LGPD;
(ii) Ausência de base legal válida para o tratamento;
(iii) Falha em informar os titulares sobre o tratamento de dados;
(iv) Decisões próprias do Controlador que resultem em tratamento inadequado.
8.3. As Partes concordam que:
(i) A Cataloga-ai não será responsabilizada por danos decorrentes de instruções do Controlador que violem a LGPD, especialmente se tiver notificado o Controlador conforme Cláusula 4.2;
(ii) O Controlador indenizará e isentará a Cataloga-ai de quaisquer perdas, danos, custos (incluindo honorários advocatícios) decorrentes de reclamações de titulares ou sanções de autoridades relacionadas a instruções inadequadas do Controlador.
Cláusula 9 — Retenção e Eliminação de Dados
9.1. A Cataloga-ai armazenará os dados pessoais dos consumidores finais pelo prazo determinado pelo Controlador, respeitando as obrigações legais mínimas (ex.: prazos fiscais, prazos de reclamação do CDC).
9.2. Ao término do contrato entre as Partes ou mediante solicitação do Controlador, a Cataloga-ai deverá, no prazo de 30 (trinta) dias:
(i) Eliminar todos os dados pessoais dos consumidores finais sob sua custódia; ou
(ii) Devolvê-los ao Controlador, em formato estruturado e interoperável (ex.: CSV, JSON), conforme escolha do Controlador.
9.3. Exceções à eliminação:
A Cataloga-ai poderá manter cópias de dados pessoais após o término do contrato exclusivamente quando:
(i) Exigido por obrigação legal (ex.: dados fiscais por 5 anos);
(ii) Para defesa em processo judicial, administrativo ou arbitral, até o trânsito em julgado;
(iii) Anonimizados de forma irreversível (deixando de ser dados pessoais — art. 12 da LGPD).
9.4. A eliminação de dados será realizada de forma segura e irreversível, impedindo recuperação posterior.
Cláusula 10 — Vigência e Rescisão
10.1. Este Contrato entra em vigor na data de aceite dos Termos de Uso da plataforma Cataloga-ai pelo Lojista e permanece vigente enquanto durar o contrato de prestação de serviços SaaS.
10.2. A rescisão do contrato SaaS implicará automaticamente a rescisão deste Contrato de Operador.
10.3. As Cláusulas 5.6 (notificação de incidentes), 8 (responsabilidade), 9 (retenção e eliminação) e 13 (confidencialidade) sobreviverão à rescisão deste Contrato.
Cláusula 11 — Alterações
11.1. A Cataloga-ai poderá alterar este Contrato para refletir mudanças na legislação, orientações da ANPD ou melhorias nas práticas de proteção de dados.
11.2. Alterações substanciais serão comunicadas ao Controlador com antecedência mínima de 30 (trinta) dias.
11.3. Caso o Controlador não concorde com as alterações, poderá rescindir o contrato sem penalidades, no prazo de 15 (quinze) dias após a notificação.
11.4. O uso continuado da plataforma após a entrada em vigor das alterações constitui aceitação das novas condições.
Cláusula 12 — Comunicações
12.1. Todas as notificações exigidas por este Contrato deverão ser enviadas por escrito (e-mail ou carta registrada) para os endereços indicados no preâmbulo.
12.2. As comunicações serão consideradas recebidas:
(i) Se por e-mail: no dia do envio, salvo se enviadas após as 18h (horário de Brasília), caso em que serão consideradas recebidas no dia útil seguinte;
(ii) Se por carta registrada: na data de confirmação de recebimento pelos Correios.
Cláusula 13 — Confidencialidade
13.1. As Partes reconhecem que, no contexto deste Contrato, terão acesso a informações confidenciais da outra Parte, incluindo dados pessoais, segredos comerciais, estratégias de negócio e informações técnicas.
13.2. As Partes obrigam-se a:
(i) Manter sigilo absoluto sobre informações confidenciais;
(ii) Utilizá-las exclusivamente para cumprimento deste Contrato;
(iii) Não divulgá-las a terceiros sem autorização prévia e por escrito da outra Parte, exceto quando exigido por lei ou ordem judicial.
13.3. Esta obrigação de confidencialidade permanece vigente por 5 (cinco) anos após a rescisão deste Contrato.
Cláusula 14 — Lei Aplicável e Foro
14.1. Este Contrato é regido pelas leis da República Federativa do Brasil, especialmente pela Lei nº 13.709/2018 (LGPD).
14.2. Fica eleito o foro da comarca de [CIDADE/ESTADO] para dirimir quaisquer controvérsias decorrentes deste Contrato, com renúncia a qualquer outro, por mais privilegiado que seja.
Data de vigência: [DATA]
CONTROLADOR (Lojista)
Nome: ___________________________________
CPF/CNPJ: ___________________________________
Data: ___________________________________
Assinatura: ___________________________________
OPERADOR (Cataloga-ai)
[NOME DA EMPRESA]
CNPJ: [CNPJ]
Representante legal: ___________________________________
Data: ___________________________________
Assinatura: ___________________________________
Anexos
Anexo I — Mapeamento de Sub-operadores (veja Doc. 6)
Anexo II — Medidas de Segurança Técnicas e Administrativas (detalhamento das medidas previstas na Cláusula 5.3)
Nota de Revisão Jurídica
IMPORTANTE: Este contrato foi elaborado como modelo base e deve ser obrigatoriamente revisado por advogado especializado em proteção de dados antes de sua implementação. A revisão jurídica é essencial para:
- Adequação ao contexto específico das partes e suas operações
- Validação das responsabilidades e limitações de responsabilidade
- Conformidade com orientações da ANPD e jurisprudência atualizada
- Compatibilização com o contrato principal de prestação de serviços SaaS
- Avaliação de riscos e cláusulas de indemnização
A utilização deste documento sem revisão jurídica adequada é de responsabilidade exclusiva das partes.
Elaborado em conformidade com:
- Lei nº 13.709/2018 (LGPD), especialmente arts. 5º (VI, VII, X), 6º, 39, 42, 46 e 48
- Orientações da Autoridade Nacional de Proteção de Dados (ANPD)
- Boas práticas de Data Processing Agreements (DPA) internacionais