Acordo de Tratamento de Dados (DPA)

Versão 2.0 · Vigente a partir de 28/05/2026

⚠️ Documento em fase de revisão jurídica. Antes de celebração com Clientes pagantes, este texto deve ser validado por advogado(a) especialista em LGPD, com atenção às cláusulas relativas a suboperadores, transferência internacional e atendimento a direitos do titular.

Preâmbulo

Este Acordo de Tratamento de Dados Pessoais (“DPA”) é celebrado entre o Cliente, na qualidade de Controlador dos dados pessoais processados por meio da Plataforma Salus, e a Salus Tecnologia Ltda. (“Salus”), na qualidade de Operador. Tem por objeto estabelecer as condições do tratamento de dados pessoais realizado pelo Operador em nome do Controlador, em conformidade com a Lei 13.709/2018 (LGPD).

Este DPA integra os Termos de Uso e a Política de Privacidade do Salus como anexo inseparável. Em caso de conflito entre estes documentos, prevalece o que for mais protetivo aos titulares.

1. Definições

Os termos abaixo, quando iniciados em maiúscula, têm o significado atribuído pela LGPD, salvo definição específica neste DPA:

• Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável (Art. 5, I).
• Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico, entre outros (Art. 5, II).
• Titular: pessoa natural a quem se referem os dados pessoais (Art. 5, V).
• Tratamento: toda operação realizada com dados pessoais (Art. 5, X).
• Controlador: a quem competem decisões sobre o tratamento (Art. 5, VI). Neste DPA, é o Cliente.
• Operador: quem realiza o tratamento em nome do Controlador (Art. 5, VII). Neste DPA, é a Salus.
• Suboperador: terceiro contratado pelo Operador para realizar parte do tratamento, com anuência do Controlador.
• Incidente de Segurança: evento adverso confirmado que possa acarretar risco ou dano relevante aos Titulares (Art. 48).
• ANPD: Autoridade Nacional de Proteção de Dados.

2. Objeto e escopo

O Operador tratará dados pessoais exclusivamente para fornecer ao Controlador a Plataforma Salus e os serviços conexos contratados. Características específicas do tratamento estão detalhadas no Anexo I deste DPA.

3. Papéis e responsabilidades

3.1. Cabe ao Controlador: (i) definir finalidades e meios essenciais do tratamento; (ii) verificar a existência de base legal adequada (Art. 7 e Art. 11); (iii) obter consentimentos quando necessários, observada a forma exigida pela LGPD para dados sensíveis; (iv) responder a requisições dos Titulares; (v) garantir qualidade, relevância e atualidade dos dados inseridos; (vi) cumprir as demais obrigações de Controlador previstas na LGPD.

3.2. Cabe ao Operador: (i) tratar dados pessoais conforme as instruções documentadas do Controlador (este DPA, os Termos e a configuração da conta); (ii) adotar as medidas técnicas e administrativas de segurança previstas no Art. 46 da LGPD; (iii) assistir o Controlador no atendimento a Titulares e na resposta a Incidentes; (iv) cumprir as demais obrigações de Operador previstas na LGPD.

3.3. Responsabilidade do Operador. Conforme Art. 42 da LGPD, o Operador equipara-se ao Controlador caso descumpra as instruções lícitas do Controlador ou atue em desconformidade com a Lei.

4. Instruções documentadas

As instruções do Controlador ao Operador consolidam-se neste DPA, nos Termos de Uso, na Política de Privacidade e nas configurações realizadas pelo Controlador no painel da Plataforma. Instruções adicionais podem ser formalizadas por escrito, sujeitas a avaliação técnica de viabilidade pelo Operador e a eventual ajuste de preço quando demandarem trabalho fora do escopo padrão.

O Operador informará prontamente o Controlador caso entenda que uma instrução viola a LGPD ou outra norma aplicável.

5. Confidencialidade

O Operador garante que toda pessoa autorizada a tratar dados pessoais sob sua responsabilidade (empregados, prestadores, suboperadores) está vinculada por dever de confidencialidade contratual ou estatutário, com vigência mantida após o término do vínculo.

6. Medidas técnicas e administrativas de segurança (Art. 46)

O Operador implementa, considerando o estado da técnica e os custos envolvidos, as seguintes medidas:

6.1. Medidas técnicas

• Criptografia em trânsito (TLS 1.2 ou superior) em todas as comunicações;
• Criptografia em repouso (AES-256-GCM) para credenciais de integrações externas;
• Senhas armazenadas com função de derivação Argon2id;
• Isolamento lógico de dados entre Clientes via Row-Level Security do PostgreSQL;
• Controle de acesso baseado em papéis (RBAC) com escopo configurável pelo Controlador;
• Autenticação multifator (MFA TOTP) disponível a todos os Usuários;
• Trilha de auditoria append-only de operações sensíveis;
• Rate limiting e proteção contra força-bruta em autenticação;
• Backup automático periódico com testes de restauração;
• Monitoramento contínuo de vulnerabilidades em dependências.

6.2. Medidas administrativas

• Política interna de classificação e tratamento de dados;
• Princípio do mínimo privilégio para acessos administrativos da equipe Salus;
• Acessos administrativos a dados de Cliente exigem justificativa documentada e geram registro de auditoria;
• Treinamento periódico da equipe em proteção de dados;
• Plano de resposta a incidentes documentado e revisado;
• Avaliação de fornecedores antes da contratação de novos suboperadores.

As medidas acima evoluem ao longo do tempo. A versão vigente está sempre refletida na Política de Privacidade e na documentação técnica.

7. Suboperadores

7.1. O Controlador autoriza, de forma geral, a contratação dos suboperadores listados na seção 8 da Política de Privacidade.

7.2. O Operador celebra com cada suboperador instrumento contratual que imponha obrigações de proteção de dados equivalentes às assumidas neste DPA, no que for aplicável.

7.3. Antes de incluir novo suboperador ou substituir um existente, o Operador notificará os Controladores com antecedência mínima de 30 (trinta) dias, por e-mail ou aviso na Plataforma. O Controlador poderá opor-se justificadamente; nesse caso, as partes buscarão alternativa viável de boa-fé. Persistindo o impasse, o Controlador poderá rescindir o contrato sem ônus.

7.4. O Operador responde pelos atos de seus suboperadores no mesmo grau em que responderia por atos próprios, nos limites da LGPD.

8. Atendimento aos direitos do Titular (Art. 18)

O Operador disponibiliza ao Controlador, no painel da Plataforma, recursos para atendimento dos direitos previstos no Art. 18 da LGPD, incluindo: exportação completa de dados em /settings/data-export, anonimização individualizada de Titulares, retificação de informações e consulta a histórico de operações via /settings/audit-log.

Caso a Salus receba diretamente solicitação de Titular Final (paciente/lead de uma clínica), encaminhará a demanda ao Controlador competente em até 5 (cinco) dias úteis, sem prejuízo de medidas preventivas urgentes.

Solicitações oriundas de autoridade competente (ANPD, Poder Judiciário, Ministério Público) serão atendidas pelo Operador nos termos da lei, com comunicação ao Controlador sempre que permitida.

9. Comunicação de Incidente de Segurança (Art. 48)

Em caso de Incidente de Segurança, o Operador comunicará o Controlador em prazo razoável a partir da confirmação do evento, contendo as informações disponíveis no momento, em especial:

• Descrição da natureza do incidente;
• Categorias e quantidade aproximada de Titulares e registros afetados;
• Tipos de dados pessoais envolvidos;
• Risco potencial aos Titulares;
• Medidas de contenção e mitigação adotadas ou planejadas;
• Ponto de contato para informações adicionais.

Cabe ao Controlador avaliar a necessidade de comunicação à ANPD e aos Titulares Finais (Art. 48, § 1º), com apoio do Operador. Quando a Salus atuar diretamente como Controladora (ex.: dados de cadastro do Usuário do Salus), a comunicação à ANPD será efetuada pela própria Salus.

10. Cooperação com a ANPD e demonstração de conformidade

O Operador colabora com a ANPD e disponibiliza ao Controlador, sob solicitação, informações razoavelmente necessárias para demonstrar o cumprimento das obrigações deste DPA e da LGPD, incluindo documentação técnica, certificações eventualmente obtidas e relatórios de avaliação de fornecedores.

11. Auditoria

11.1. O Controlador pode, uma vez por ano, solicitar auditoria a respeito do cumprimento deste DPA, com antecedência mínima de 30 dias, em horário comercial, observada a continuidade operacional do Operador e a confidencialidade de dados de outros Clientes.

11.2. A auditoria poderá ser realizada (i) mediante questionário escrito; (ii) por revisão de relatórios de auditoria independente eventualmente disponibilizados pelo Operador (SOC 2, ISO 27001 ou equivalentes); ou (iii) excepcionalmente, mediante visita técnica presencial, custeada pelo Controlador — salvo quando motivada por Incidente confirmado com culpa do Operador.

11.3. Autoridades reguladoras competentes (ANPD, Poder Judiciário) poderão exigir auditoria sem observância dos prazos acima.

12. Transferência internacional (Art. 33)

Quando suboperadores realizarem tratamento fora do território nacional, o Operador adotará as garantias necessárias previstas no Art. 33 da LGPD (cláusulas contratuais específicas, normas corporativas globais, selos e certificados quando aplicáveis) e informará a localização nas listas públicas de suboperadores.

13. Devolução e eliminação de dados ao término

Encerrado o contrato por qualquer motivo, o Operador concederá ao Controlador prazo de 30 (trinta) dias para extração integral dos dados pessoais sob seu controle, em formato estruturado e interoperável. Decorrido o prazo, o Operador procederá com a eliminação ou anonimização irreversível dos dados, ressalvada a retenção mínima exigida por lei (incluindo, sem limitação, logs de conexão por 6 meses nos termos do Marco Civil da Internet e registros fiscais).

14. Vigência

Este DPA vigora durante toda a relação contratual estabelecida pelos Termos de Uso. Obrigações de confidencialidade, comunicação de Incidente, cooperação com autoridade e retenção mínima sobrevivem ao término por prazo razoável necessário ao cumprimento da LGPD e demais normas aplicáveis.

15. Disposições gerais

• Hierarquia. Em conflito com os Termos de Uso, este DPA prevalece nas questões relativas a tratamento de dados pessoais.
• Alterações. Alterações materiais serão comunicadas com 30 dias de antecedência aos Controladores, por e-mail e por aviso na Plataforma.
• Lei aplicável. Lei brasileira, em especial a Lei 13.709/2018 (LGPD).
• Foro. Comarca de Salvador/BA, salvo prerrogativa consumerista do Cliente.

Anexo I — Detalhes do tratamento

A. Natureza e finalidade do tratamento

Operação da Plataforma SaaS Salus, abrangendo armazenamento, organização, recuperação, transmissão, consulta e exclusão de dados de pacientes, leads e contatos, conforme funcionalidades disponíveis ao Cliente: gestão de funil comercial, atendimento por WhatsApp, tarefas, etiquetas, notas, anexos, métricas e exportação.

B. Categorias de Titulares

• Pacientes ativos e potenciais (leads) do Controlador;
• Indicadores e familiares eventualmente registrados;
• Usuários da Plataforma autorizados pelo Controlador.

C. Categorias de dados pessoais

• Identificação e contato. Nome, telefone, e-mail, documento (quando inserido), endereço (quando inserido).
• Comportamentais. Histórico de mensagens, etiquetas, origem do lead, status no funil, anotações livres, tarefas vinculadas.
• Sensíveis (Art. 11). Eventualmente, dados de saúde quando inseridos voluntariamente pelo Titular em mensagens (ex.: descrição de sintomas, condição clínica). O Controlador declara possuir base legal específica para tratá-los.
• Técnicos. IP, dispositivo, timestamps, identificadores de mensagem.

D. Duração do tratamento

Durante toda a vigência da relação contratual entre as partes, observados os prazos de retenção previstos na seção 13 deste DPA e na Política de Privacidade.

E. Suboperadores autorizados

Conforme lista mantida e atualizada na seção 8 da Política de Privacidade. A versão consolidada na presente data integra este Anexo para todos os fins.