DPA LGPD - Vimel Tech
1. Partes
Este DPA integra os Termos de Uso, pedido comercial ou contrato principal entre a Vimel Tech e o Cliente.
2. Papéis
O Cliente atua como controlador dos dados pessoais de seus contatos e clientes finais. A Vimel Tech atua, em regra, como operadora em nome do Cliente, sem prejuízo do tratamento em nome próprio para segurança, billing, prevenção à fraude e cumprimento legal.
3. Objeto
Regular o tratamento de dados pessoais realizado para prestação dos serviços contratados. A descrição do tratamento consta do Anexo I; as medidas de segurança, do Anexo II.
4. Instruções
A Vimel Tech tratará os dados conforme instruções documentadas do Cliente, contrato, configuração do produto e documentação técnica. Instruções manifestamente ilegais serão recusadas com comunicação ao Cliente.
5. Natureza e categorias
Tratamentos podem incluir coleta indireta, recepção, organização, armazenamento, consulta, integração, transcrição de áudio, geração assistida por IA, backup, suporte e eliminação, sobre as categorias descritas no Anexo I.
6. Suboperadores
O Cliente autoriza, de forma geral, a contratação dos suboperadores listados em /juridico/suboperadores, que é a lista autorizativa vigente. A Vimel Tech:
- comunicará inclusões ou substituições com antecedência mínima de 30 dias, por atualização da página e aviso aos clientes ativos;
- assegura que cada suboperador esteja vinculado a obrigações de proteção de dados não menos protetivas que as deste DPA;
- em caso de objeção fundamentada do Cliente no prazo do aviso, buscará alternativa razoável; não sendo viável, o Cliente poderá desativar o recurso afetado ou rescindir o contrato sem penalidade.
7. Segurança
Serão adotadas as medidas técnicas e administrativas descritas no Anexo II, proporcionais ao risco do tratamento.
8. Assistência
A Vimel Tech auxiliará o Cliente, em medida razoável, no atendimento de solicitações de titulares (Art. 18 da LGPD), na condução de avaliações de impacto quando exigíveis e nas demais obrigações regulatórias relacionadas ao tratamento realizado em nome do Cliente.
9. Incidentes
A Vimel Tech notificará o Cliente em até 48 horas do conhecimento de incidente de segurança que possa acarretar risco ou dano relevante, com o conteúdo mínimo disponível: natureza do incidente, dados e titulares afetados, medidas adotadas e em curso, e ponto de contato. Informações complementares serão enviadas à medida que apuradas. Esse prazo destina-se a viabilizar o cumprimento, pelo Cliente controlador, do prazo de comunicação de 3 dias úteis previsto na Resolução CD/ANPD nº 15/2024. A Vimel Tech mantém registro interno de incidentes por, no mínimo, 5 anos.
10. Transferência internacional
O armazenamento primário dos dados ocorre em infraestrutura no Brasil. Para os suboperadores estabelecidos no exterior (lista em /juridico/suboperadores), as transferências observam a Resolução CD/ANPD nº 19/2024, mediante cláusulas-padrão contratuais da ANPD, aqui incorporadas por referência, e/ou salvaguardas contratuais equivalentes oferecidas pelo fornecedor, conforme indicado na coluna "Salvaguarda" da lista.
11. Eliminação
Ao término do contrato, a Vimel Tech disponibilizará mecanismo razoável de exportação por até 30 dias e, em seguida, eliminará os dados pessoais tratados em nome do Cliente em até 60 dias, ressalvados: (a) retenções legais; (b) cópias em suboperadores, que expiram pelos ciclos próprios de cada fornecedor (Meta Cloud API ≤ 30 dias; OpenAI ≤ 30 dias); e (c) backups, eliminados no ciclo de rotação.
12. Auditoria
Mediante solicitação razoável e no máximo uma vez por ano, a Vimel Tech fornecerá informações e relatórios que demonstrem o cumprimento deste DPA. Auditorias adicionais exigidas por autoridade competente serão atendidas na medida da exigência.
Anexo I — Descrição do tratamento
- Titulares: usuários do Cliente na plataforma; contatos e clientes finais do Cliente (interlocutores de WhatsApp/Instagram); participantes de eventos de agenda.
- Categorias de dados: dados cadastrais e de conta; conteúdo de mensagens (WhatsApp/Instagram) e mídia; áudio de notas de voz e suas transcrições; documentos enviados e texto extraído; dados de agenda (eventos, e-mails de participantes); dados de billing (sem dados de cartão); conteúdo de notificações push; logs técnicos.
- Natureza e finalidade: operação do CRM de atendimento (recepção, organização, armazenamento e resposta de conversas), recursos de IA solicitados pelo Cliente, integrações opt-in, cobrança e suporte.
- Duração: pelo prazo do contrato, com eliminação conforme a seção 11.
Anexo II — Medidas de segurança
- Criptografia em trânsito (TLS) em todos os serviços expostos.
- Controle de acesso por organização e papel (RBAC), com segregação por cliente.
- Armazenamento primário em Postgres, Redis e MinIO auto-hospedados em datacenter no Brasil, gerido pela Vimel Tech.
- Credenciais de integrações armazenadas com criptografia; gestão de segredos fora do código.
- Logs técnicos e monitoramento de eventos de segurança.
- Backups com ciclo de rotação e testes periódicos.
- Procedimento interno de resposta a incidentes (seção 9) e registro de incidentes por 5 anos.
- Acesso administrativo restrito e rastreável.
Lista completa de suboperadores disponível em /juridico/suboperadores.
