Mapeamento de Sub-operadores — Cataloga-ai
Anexo I ao Contrato de Operador (Doc. 5)
Última atualização: [DATA]
1. Introdução
Este documento identifica e mapeia todos os sub-operadores contratados pela [NOME DA EMPRESA] (Cataloga-ai) para auxiliar no tratamento de dados pessoais realizado em nome dos lojistas (controladores), conforme art. 39 da LGPD e Cláusula 6 do Contrato de Operador (Doc. 5).
Definição de Sub-operador
Sub-operador é qualquer terceiro contratado pela Cataloga-ai (operador) para realizar atividades de tratamento de dados pessoais em nome do lojista (controlador), nos termos do § 1º do art. 42 da LGPD.
2. Lista de Sub-operadores Autorizados
A Cataloga-ai utiliza os seguintes sub-operadores no contexto da plataforma SaaS:
| # | Sub-operador | Finalidade | País/Região | DPA disponível? |
|---|---|---|---|---|
| 1 | Supabase | Hospedagem de banco de dados (PostgreSQL) | Brasil (self-hosted) | ✅ Sim |
| 2 | Vercel Inc. | Hospedagem da aplicação web (frontend) | EUA (California) | ✅ Sim |
| 3 | Asaas Gestão Financeira LTDA | Processamento de pagamentos via PIX | Brasil (São Paulo) | ✅ Sim |
| 4 | GPTMaker | Automação de mensageria (chatbots WhatsApp) | Brasil | ⚠️ Consultar |
| 5 | Meta Platforms Inc. (WhatsApp Cloud API) | Envio de mensagens WhatsApp | EUA/Global | ✅ Sim |
3. Detalhamento de Sub-operadores
3.1. Supabase (self-hosted)
Razão Social: [Nome da entidade de hospedagem, se aplicável; ou "infraestrutura própria"]
Tipo: Banco de dados PostgreSQL (open-source)
País/Localização: Brasil (servidor self-hosted em datacenter brasileiro)
Finalidade:
- Armazenamento de dados cadastrais de lojistas
- Armazenamento de dados de consumidores finais (pedidos, endereços, histórico)
- Armazenamento de configurações de catálogos
Dados pessoais processados:
- Nome, CPF, telefone, e-mail, endereço
- Histórico de pedidos
- Dados de autenticação (senhas criptografadas)
Medidas de segurança:
- Criptografia em repouso (AES-256)
- Criptografia em trânsito (TLS 1.3)
- Controle de acesso baseado em roles (Row Level Security - RLS)
- Backup diário automatizado
- Firewall e isolamento de rede
Transferência internacional: ❌ Não aplicável (dados permanecem no Brasil)
DPA/Contrato:
- Como a instância é self-hosted, não há DPA com terceiro. A Cataloga-ai mantém controle total sobre a infraestrutura e dados.
- Caso utilize provedor de infraestrutura (ex.: AWS Brasil, DigitalOcean São Paulo), deve-se adicionar DPA específico aqui.
Link de referência: https://supabase.com/docs/guides/platform/security
Política de Privacidade: [link se aplicável]
3.2. Vercel Inc.
Razão Social: Vercel Inc.
Tipo: Plataforma de hospedagem de aplicação web (PaaS)
País/Localização: EUA (California) — servidores distribuídos globalmente (edge network)
Finalidade:
- Hospedagem do frontend da plataforma Cataloga-ai
- Distribuição de conteúdo (CDN)
- Logs de acesso e performance
Dados pessoais processados:
- Endereços IP de usuários (lojistas e consumidores finais)
- User-agent (navegador, dispositivo)
- Dados de sessão (cookies técnicos)
- Logs de acesso (data/hora, páginas visitadas)
Medidas de segurança:
- Criptografia TLS 1.3 em trânsito
- Certificados SSL automáticos
- DDoS protection
- Conformidade com SOC 2 Type II
Transferência internacional: ✅ Sim (EUA)
Salvaguardas adotadas (art. 33, LGPD):
- Cláusulas contratuais padrão de proteção de dados (Standard Contractual Clauses — SCC)
- Certificação SOC 2 Type II
- Compromisso contratual de conformidade com GDPR/LGPD
DPA/Contrato:
✅ Vercel Data Processing Addendum (DPA)
Link: https://vercel.com/legal/dpa
Política de Privacidade: https://vercel.com/legal/privacy-policy
Segurança: https://vercel.com/security
3.3. Asaas Gestão Financeira LTDA
Razão Social: ASAAS GESTÃO FINANCEIRA LTDA
CNPJ: [CNPJ do Asaas]
Tipo: Facilitador de pagamentos (PIX, boleto, cartão)
País/Localização: Brasil (São Paulo, SP)
Finalidade:
- Processamento de pagamentos via PIX
- Geração de cobranças
- Conciliação financeira
- Notificação de status de pagamento
Dados pessoais processados:
- CPF do pagador (consumidor final)
- Nome completo
- Valor da transação
- Chave PIX
- Comprovante de pagamento
- Dados bancários (quando aplicável)
Medidas de segurança:
- Certificação PCI-DSS (Payment Card Industry Data Security Standard)
- Tokenização de dados sensíveis
- Criptografia end-to-end
- Monitoramento de fraudes
Transferência internacional: ❌ Não (dados processados exclusivamente no Brasil)
DPA/Contrato:
✅ Asaas — Termos de Uso e Política de Privacidade incluem cláusulas de operador de dados
Link: https://www.asaas.com/termos-de-uso
DPA específico: [solicitar ao Asaas se disponível]
Política de Privacidade: https://www.asaas.com/politica-de-privacidade
Segurança: https://www.asaas.com/seguranca
Observação: O Asaas é regulado pelo Banco Central do Brasil como Instituição de Pagamento (IP), estando sujeito a requisitos adicionais de segurança e conformidade.
3.4. GPTMaker
Razão Social: [Razão social do GPTMaker — PREENCHER]
Tipo: Plataforma de automação de mensageria (chatbot WhatsApp)
País/Localização: Brasil
Finalidade:
- Envio automatizado de mensagens via WhatsApp (notificações de pedido, confirmações)
- Integração com WhatsApp Business API
- Gestão de templates de mensagem
Dados pessoais processados:
- Número de telefone (consumidor final)
- Nome do consumidor
- Conteúdo de mensagens (notificações de pedido, status de entrega)
Medidas de segurança:
- Criptografia em trânsito (TLS)
- Acesso restrito via API key
- [PREENCHER com medidas específicas informadas pelo GPTMaker]
Transferência internacional: ❌ Não (processamento local no Brasil)
DPA/Contrato:
⚠️ AÇÃO NECESSÁRIA: Solicitar DPA formal ao GPTMaker.
Caso não disponibilizem DPA, incluir cláusula de proteção de dados no contrato de prestação de serviço.
Política de Privacidade: [PREENCHER — link para política do GPTMaker]
Documentação de Segurança: [PREENCHER]
Observação: Como sub-operador de dados pessoais de consumidores finais, é essencial que o GPTMaker forneça garantias contratuais de conformidade com a LGPD. Caso não forneçam, avaliar substituição ou formalização de termos customizados.
3.5. Meta Platforms Inc. (WhatsApp Cloud API)
Razão Social: Meta Platforms, Inc. (anteriormente Facebook, Inc.)
Tipo: Plataforma de mensageria (WhatsApp Business Cloud API)
País/Localização: EUA (California) — servidores globais
Finalidade:
- Envio de mensagens WhatsApp para consumidores finais
- Notificações de pedido, confirmações de pagamento, atualizações de entrega
- Atendimento ao cliente via WhatsApp
Dados pessoais processados:
- Número de telefone (consumidor final)
- Nome do consumidor
- Conteúdo de mensagens (notificações, conversas)
- Metadados de mensagem (data/hora, status de entrega)
Medidas de segurança:
- Criptografia end-to-end para mensagens (protocolo Signal)
- Conformidade com GDPR (General Data Protection Regulation — EU)
- Certificações: ISO 27001, SOC 2, SOC 3
Transferência internacional: ✅ Sim (EUA e outros países onde Meta opera servidores)
Salvaguardas adotadas (art. 33, LGPD):
- Standard Contractual Clauses (SCCs) aprovadas pela Comissão Europeia
- Meta comprometida com conformidade LGPD para clientes brasileiros
- Possibilidade de armazenamento preferencial de dados em região específica (verificar disponibilidade)
DPA/Contrato:
✅ WhatsApp Business Terms of Service + Data Processing Addendum
Link: https://www.whatsapp.com/legal/business-terms
DPA (GDPR-compliant): https://www.whatsapp.com/legal/business-data-processing-terms
Política de Privacidade: https://www.whatsapp.com/legal/privacy-policy-eea
Segurança: https://www.whatsapp.com/security
Observação: A Meta oferece WhatsApp Business Cloud API e On-Premises API. Verificar qual está sendo utilizada:
- Cloud API: hospedada pela Meta (transferência internacional)
- On-Premises API: hospedada pelo cliente (sem transferência se servidor no Brasil)
4. Fluxo de Dados: Mapeamento por Tipo de Dado
Esta tabela mapeia quais dados pessoais são compartilhados com quais sub-operadores:
| Categoria de Dado | Supabase | Vercel | Asaas | GPTMaker | WhatsApp (Meta) |
|---|---|---|---|---|---|
| Nome completo | ✅ | ❌ | ✅ | ✅ | ✅ |
| CPF | ✅ | ❌ | ✅ | ❌ | ❌ |
| Telefone | ✅ | ❌ | ❌ | ✅ | ✅ |
| ✅ | ❌ | ⚠️ (opcional) | ❌ | ❌ | |
| Endereço de entrega | ✅ | ❌ | ❌ | ❌ | ⚠️ (se enviado em mensagem) |
| Dados de pagamento (PIX) | ❌ | ❌ | ✅ | ❌ | ❌ |
| Histórico de pedidos | ✅ | ❌ | ⚠️ (transações) | ❌ | ❌ |
| Conteúdo de mensagens | ✅ (log) | ❌ | ❌ | ✅ | ✅ |
| Logs de acesso (IP, user-agent) | ⚠️ (se coletado) | ✅ | ❌ | ❌ | ❌ |
| Dados de sessão (cookies) | ❌ | ✅ | ❌ | ❌ | ❌ |
Legenda:
- ✅ = Dado compartilhado com este sub-operador
- ❌ = Dado não compartilhado
- ⚠️ = Compartilhamento condicional ou opcional
5. Modelo de Cláusula de Sub-operação
Para novos sub-operadores, a Cataloga-ai incluirá cláusula contratual no seguinte formato mínimo:
Cláusula de Proteção de Dados (Sub-operador)
O SUB-OPERADOR reconhece e concorda que:
(i) Atuará como operador de dados pessoais em nome da Cataloga-ai, que atua como operador em nome dos lojistas (controladores finais);
(ii) Tratará dados pessoais exclusivamente conforme instruções documentadas da Cataloga-ai, não os utilizando para finalidades próprias;
(iii) Implementará medidas técnicas e administrativas apropriadas para proteger dados pessoais contra acesso não autorizado, perda, destruição ou alteração (art. 46, LGPD);
(iv) Garantirá confidencialidade de todos os colaboradores autorizados a tratar dados pessoais;
(v) Auxiliará a Cataloga-ai no atendimento a direitos de titulares (arts. 17-22, LGPD) e na resposta a incidentes de segurança (art. 48, LGPD);
(vi) Notificará a Cataloga-ai em até 48 horas sobre qualquer incidente de segurança que afete dados pessoais;
(vii) Não contratará sub-sub-operadores sem autorização prévia e por escrito da Cataloga-ai;
(viii) Ao término do contrato, eliminará ou devolverá todos os dados pessoais, salvo quando a retenção for exigida por lei;
(ix) Disponibilizará informações necessárias para auditorias de conformidade com a LGPD, mediante solicitação razoável e com aviso prévio.
Responsabilidade: O Sub-operador será responsável por danos causados a titulares de dados em decorrência de violação das obrigações acima, nos termos do art. 42, § 1º, da LGPD.
Lei aplicável: Lei nº 13.709/2018 (LGPD) e legislação brasileira de proteção de dados.
6. Processo de Aprovação de Novos Sub-operadores
Conforme Cláusula 6 do Contrato de Operador (Doc. 5), a Cataloga-ai seguirá o seguinte procedimento ao contratar, substituir ou remover sub-operadores:
Passo 1 — Due Diligence
Avaliação interna do sub-operador candidato:
- Medidas de segurança implementadas
- Conformidade com LGPD/GDPR
- Localização de processamento (Brasil ou transferência internacional)
- Disponibilidade de DPA/SCC
- Certificações (ISO 27001, SOC 2, PCI-DSS, etc.)
Passo 2 — Notificação aos Lojistas
A Cataloga-ai notificará os lojistas (controladores) com antecedência mínima de 30 dias, informando:
- Nome e finalidade do sub-operador
- País/localização de processamento
- Categorias de dados que serão compartilhados
- Link para DPA e Política de Privacidade do sub-operador
Passo 3 — Período de Objeção
Os lojistas terão 15 dias para objetar, fundamentando a objeção em motivos razoáveis relacionados à proteção de dados.
Passo 4 — Resolução
- Se não houver objeções, o sub-operador é aprovado.
- Se houver objeção fundamentada, a Cataloga-ai buscará alternativa ou permitirá rescisão do contrato sem penalidades (prazo de 30 dias).
Passo 5 — Atualização deste Documento
Após aprovação, este Mapeamento de Sub-operadores é atualizado e a nova versão é disponibilizada aos lojistas.
7. Atualização e Transparência
7.1. Este documento é atualizado sempre que houver:
- Inclusão de novo sub-operador
- Substituição ou remoção de sub-operador existente
- Alteração nas finalidades de tratamento ou dados compartilhados
- Mudança de localização de processamento (ex.: migração de servidor)
7.2. A versão atualizada é disponibilizada:
- No painel do lojista na plataforma Cataloga-ai
- Por e-mail (para alterações substanciais)
- Em [LINK PÚBLICO] (opcional)
7.3. Lojistas podem solicitar informações adicionais sobre sub-operadores específicos mediante contato com o DPO: [EMAIL DPO].
8. Referências e Links Úteis
- LGPD (Lei nº 13.709/2018): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Guia ANPD — Agentes de Tratamento: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guias
- Standard Contractual Clauses (SCC) — Comissão Europeia: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
Controle de Versões
| Versão | Data | Alterações |
|---|---|---|
| 1.0 | [DATA] | Versão inicial — lista completa de sub-operadores da plataforma Cataloga-ai |
Nota de Revisão Jurídica
IMPORTANTE: Este mapeamento foi elaborado como modelo base e deve ser obrigatoriamente revisado por advogado especializado em proteção de dados antes de sua utilização. A revisão jurídica é essencial para:
- Validação dos DPAs de sub-operadores e adequação às exigências da LGPD
- Avaliação de riscos específicos de transferência internacional de dados
- Verificação de conformidade dos sub-operadores com os requisitos do art. 46 da LGPD
- Compatibilização com o Contrato de Operador (Doc. 5) e Política de Privacidade (Doc. 2)
A utilização deste documento sem revisão jurídica adequada é de responsabilidade exclusiva do usuário.
Próximos passos recomendados:
- Solicitar DPAs formais de todos os sub-operadores (especialmente GPTMaker)
- Validar cláusulas de transferência internacional com Vercel e Meta/WhatsApp
- Atualizar links de políticas de privacidade e documentação de segurança
- Preencher informações faltantes (CNPJs, razões sociais, contatos)
- Estabelecer processo de revisão anual deste mapeamento