Pular para o conteúdo

Adendo de Tratamento de Dados

Versão: 1.1 Última revisão: 2026-06-10 Vigente desde: 2026-06-10

A versão em inglês é a versão legalmente vinculante e de caráter autêntico do presente documento. Qualquer tradução é fornecida exclusivamente a título informativo. Em caso de conflito, discrepância ou inconsistência, prevalecerá estritamente esta versão em inglês em todos os casos.

Adendo de Tratamento de Dados

O presente Adendo de Tratamento de Dados ("DPA") integra e é incorporado por referência aos Termos de Serviço da CeroVueltas (o "Contrato"), celebrado entre SUITE IMPERIAL LLC, uma sociedade de responsabilidade limitada do estado do Novo México, EUA, que opera sob o nome comercial CeroVueltas ("CeroVueltas"), e a entidade que aceita o Contrato ("Cliente"). O presente DPA aplica-se na medida em que a CeroVueltas trata Dados Pessoais em nome do Cliente no âmbito dos Serviços. Ao aceitar o Contrato ou utilizar os Serviços, o Cliente aceita o presente DPA.

  • "Leis de Proteção de Dados Aplicáveis" significa todas as leis de privacidade e proteção de dados aplicáveis aos Dados Pessoais tratados no âmbito do presente DPA, incluindo, conforme aplicável: a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela CPRA ("CCPA"); outras leis estaduais abrangentes de privacidade dos EUA (incluindo as do Colorado, Connecticut, Texas, Utah e Virgínia) ("Leis Estaduais de Privacidade dos EUA"); e, somente quando aplicável ao uso do Cliente, o Regulamento Geral de Proteção de Dados da UE 2016/679 ("GDPR"), o UK GDPR, a Lei Federal Suíça de Proteção de Dados (FADP), a LGPD do Brasil, a Ley 25.326 da Argentina e a LFPDPPP do México.
  • "Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável contida nos Dados do Cliente que a CeroVueltas trata em nome do Cliente. Os termos "Controlador," "Operador," "Empresa," "Prestador de Serviços," "Titular dos Dados," "Consumidor," "Vender," "Compartilhar" e "Tratamento" têm os significados atribuídos pelas Leis de Proteção de Dados Aplicáveis.
  • "Incidente de Segurança" significa uma violação de segurança confirmada que resulte na destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais tratados pela CeroVueltas.
  • "Suboperador" significa um terceiro contratado pela CeroVueltas para tratar Dados Pessoais em nome do Cliente, incluindo provedores de hospedagem e provedores terceiros de APIs de Inteligência Artificial.
  • "SCCs" significa as Cláusulas Contratuais Padrão aprovadas pela Decisão da Comissão Europeia (UE) 2021/914.

Os termos em maiúscula não definidos aqui têm os significados atribuídos no Contrato.

2.1 Funções. O Cliente é o Controlador (ou Empresa) dos Dados Pessoais, ou atua como Operador em nome de um Controlador terceiro. A CeroVueltas é um Operador (ou Prestador de Serviços) que age com base nas instruções documentadas do Cliente.

2.2 Instruções do Cliente. A CeroVueltas tratará os Dados Pessoais exclusivamente: (a) para fornecer, proteger, manter e solucionar problemas dos Serviços conforme descrito no Contrato; (b) conforme documentado no presente DPA e no Anexo I; e (c) de acordo com outras instruções documentadas e lícitas do Cliente. O Contrato, a configuração dos Serviços pelo Cliente (incluindo a Base de Conhecimento e as regras de roteamento) e o uso do painel de controle constituem as instruções do Cliente. A CeroVueltas informará o Cliente caso, em sua opinião, uma instrução viole as Leis de Proteção de Dados Aplicáveis.

2.3 Responsabilidades do Cliente. O Cliente é o único responsável por: (a) a exatidão, qualidade e licitude dos Dados Pessoais e dos meios pelos quais foram obtidos; (b) fornecer todos os avisos legalmente exigidos e obter todos os consentimentos legalmente exigidos dos Usuários Finais (inclusive para widgets de sites, captura de sessão e comunicações automatizadas/baseadas em IA); e (c) garantir que suas instruções estejam em conformidade com as Leis de Proteção de Dados Aplicáveis.

Na medida em que a CeroVueltas trata Dados Pessoais sujeitos à CCPA ou às Leis Estaduais de Privacidade dos EUA, a CeroVueltas:

(a) atua como Prestador de Serviços / Operador e tratará os Dados Pessoais exclusivamente para as finalidades comerciais descritas no Contrato e no Anexo I;

(b) não Venderá nem Compartilhará Dados Pessoais;

(c) não reterá, utilizará nem divulgará Dados Pessoais fora da relação comercial direta com o Cliente ou para qualquer finalidade que não seja as finalidades comerciais especificadas, exceto conforme permitido pelas Leis de Proteção de Dados Aplicáveis;

(d) não combinará Dados Pessoais com informações pessoais recebidas de outras fontes, exceto conforme permitido pelas Leis de Proteção de Dados Aplicáveis (por exemplo, para fins de segurança e prevenção de fraudes);

(e) certifica que compreende e cumprirá as restrições previstas nesta Cláusula 3;

(f) notificará o Cliente caso determine que não pode mais cumprir suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis, hipótese em que o Cliente poderá tomar medidas razoáveis e adequadas para interromper e remediar o tratamento não autorizado; e

(g) concede ao Cliente o direito de tomar medidas razoáveis para garantir que a CeroVueltas utilize os Dados Pessoais de forma consistente com as obrigações do Cliente, por meio do mecanismo de auditoria previsto na Cláusula 9.

A CeroVueltas garantirá que o pessoal autorizado a tratar Dados Pessoais esteja vinculado por obrigações de confidencialidade por escrito ou por um dever legal de confidencialidade adequado, e que acesse os Dados Pessoais exclusivamente com base na necessidade de conhecimento.

5.1 Autorização Geral. O Cliente concede autorização geral por escrito para que a CeroVueltas contrate Suboperadores, incluindo provedores de infraestrutura de hospedagem e provedores terceiros de APIs de Inteligência Artificial utilizados para roteamento dinâmico. A lista atualizada de Suboperadores relevantes é mantida em nossa Lista de Suboperadores.

5.2 Atualizações e Objeção. A CeroVueltas atualizará a Lista de Suboperadores antes de adicionar ou substituir um Suboperador relevante e disponibiliza um mecanismo para subscrição de notificações de atualização. O Cliente poderá apresentar objeção com base em fundamentos documentados e razoáveis de proteção de dados no prazo de dez (10) dias a contar de uma atualização, mediante notificação por escrito enviada a privacidad@cerovueltas.com. Caso as partes não consigam resolver a objeção de boa-fé no prazo de trinta (30) dias, o único e exclusivo recurso do Cliente será a rescisão dos Serviços afetados. O Cliente não terá direito a qualquer reembolso, crédito ou ressarcimento pela capacidade já consumida, pelas cotas de uso utilizadas ou pelos saldos de serviço expirados em caso de rescisão nos termos desta Cláusula.

5.3 Repasse de Obrigações. A CeroVueltas imporá aos Suboperadores obrigações de proteção de dados que sejam materialmente não menos protetoras do que as previstas neste DPA, e permanecerá responsável pelo desempenho de seus Suboperadores na mesma medida em que seria responsável se prestasse os serviços diretamente, sujeito às limitações previstas no Contrato.

5.4 Vedação ao Treinamento de IA. Em consonância com a Cláusula 10.2 do Contrato, a CeroVueltas não utiliza Dados Pessoais, Dados do Cliente, conteúdo da Base de Conhecimento ou mensagens de Usuários Finais para treinar modelos de IA ou de aprendizado de máquina, e seleciona Suboperadores terceiros de IA cujas políticas publicadas proíbem o uso de dados de API para treinar seus modelos de fundação de uso geral. O Cliente reconhece que esses Suboperadores podem reter temporariamente registros de API estritamente para fins de segurança, monitoramento de abusos e confiança e segurança, em conformidade com suas respectivas políticas.

6.1 Medidas. A CeroVueltas implementará e manterá medidas técnicas e organizacionais comercialmente razoáveis destinadas a proteger os Dados Pessoais contra Incidentes de Segurança, conforme descrito no Anexo II. A CeroVueltas poderá atualizar essas medidas, desde que as atualizações não reduzam materialmente o nível geral de proteção.

6.2 Notificação de Incidente de Segurança. A CeroVueltas notificará o Cliente sem demora injustificada, e em qualquer caso no prazo de setenta e duas (72) horas, após confirmar um Incidente de Segurança que afete os Dados Pessoais do Cliente. A notificação incluirá, na medida do que for conhecido: a natureza do incidente, as categorias e o volume aproximado de dados afetados, as prováveis consequências e as medidas tomadas ou propostas. A notificação da CeroVueltas não constitui reconhecimento de culpa ou responsabilidade. O Cliente é o único responsável por quaisquer notificações legalmente exigidas a autoridades reguladoras, Titulares dos Dados ou Consumidores.

Levando em consideração a natureza do tratamento, a CeroVueltas prestará assistência razoável ao Cliente em: (a) responder a solicitações de Titulares dos Dados / Consumidores (acesso, exclusão, correção, portabilidade, opt-out) — quando tais solicitações forem recebidas diretamente pela CeroVueltas, esta redirecionará o solicitante ao Cliente; (b) avaliações de impacto à proteção de dados e consultas prévias com autoridades supervisoras, quando exigido pelo GDPR; e (c) o cumprimento pelo Cliente de suas obrigações de segurança e notificação de violações.

Honorários Administrativos: Qualquer assistência administrativa manual, técnica ou personalizada prestada pela CeroVueltas no âmbito desta Cláusula que exceda uma função automatizada simples da plataforma ou um redirecionamento básico (incluindo, sem limitação, a extração manual de históricos de conversas ou a compilação de documentação técnica) estará estritamente sujeita a um honorário de serviço administrativo de USD 150,00 por hora, cobrado em incrementos mínimos de uma (1) hora, o qual deverá ser pago integralmente pelo Cliente com antecedência, antes da execução de tal assistência.

Após a rescisão ou expiração do Contrato, a CeroVueltas, no prazo de trinta (30) dias, excluirá ou anonimizará todos os Dados Pessoais dos sistemas de produção ativos, exceto quando a retenção for exigida por lei aplicável ou para fins de auditoria fiscal/financeira (não excedendo sete (7) anos para tais registros). Os Dados Pessoais em backups automatizados serão excluídos ou sobrescritos no prazo de noventa (90) dias. Durante a vigência do Contrato, o Cliente poderá exportar os Dados do Cliente por meio do painel de controle ou das APIs disponíveis.

9.1 Relatórios de Auditoria. Mediante solicitação por escrito, não mais de uma vez a cada doze (12) meses, a CeroVueltas, no prazo de quarenta e cinco (45) dias a contar do recebimento de tal solicitação, disponibilizará a documentação razoavelmente necessária para demonstrar a conformidade com o presente DPA. Tal documentação estará estritamente limitada a resumos de segurança padrão, perguntas frequentes ou visões gerais de políticas gerais que a CeroVueltas disponibilize habitualmente a seus clientes naquele momento.

9.2 Auditorias Regulatórias e Obrigatórias. Quando as Leis de Proteção de Dados Aplicáveis concederem ao Cliente um direito legal obrigatório e irrenunciável de realizar uma auditoria que não possa ser razoavelmente satisfeito pela documentação fornecida nos termos da Cláusula 9.1, o Cliente poderá iniciar tal auditoria estritamente sujeito às seguintes condições cumulativas:

(a) O Cliente deverá fornecer à CeroVueltas uma notificação por escrito com antecedência mínima de sessenta (60) dias corridos, acompanhada de um plano de auditoria detalhado;

(b) A auditoria deverá ser conduzida exclusivamente por um auditor terceiro independente e certificado (estritamente restrito a uma firma de auditoria e contabilidade reconhecida como integrante do "Big Four") aprovado por escrito pela CeroVueltas e vinculado por um rigoroso acordo de não divulgação; funcionários internos, pessoal ou concorrentes diretos/indiretos do Cliente são absolutamente proibidos de atuar como auditores;

(c) O escopo da auditoria estará estritamente limitado a uma revisão remota de área de trabalho de evidências de conformidade personalizadas, registros de sistema anonimizados e apresentações de arquitetura de segurança fornecidas por meio de compartilhamento remoto de tela pelo pessoal da CeroVueltas;

(d) PROIBIÇÃO EXPRESSA DE ACESSO: Em nenhuma circunstância o auditor ou o Cliente terá acesso físico ou lógico a quaisquer sistemas, infraestrutura, redes, softwares, bancos de dados, ambientes, pessoal ou quaisquer outros ativos físicos ou digitais, recursos ou informações proprietárias de qualquer natureza, sejam de propriedade ou utilizados pela CeroVueltas. A auditoria está estritamente limitada à revisão visual remota das evidências explicitamente fornecidas ou exibidas pela CeroVueltas;

(e) O Cliente arcará com cem por cento (100%) de todos os custos, honorários e despesas incorridos pelo auditor externo; e

(f) O Cliente pagará à CeroVueltas um honorário administrativo e de interrupção operacional obrigatório de USD 1.500,00 por dia (ou fração dele) durante o qual a revisão de auditoria for executada, o qual deverá ser pago integralmente com antecedência. A CeroVueltas reserva-se o direito de suspender ou encerrar imediatamente a auditoria caso a revisão cause instabilidade nos sistemas, represente risco de exposição de propriedade intelectual ou viole os limites de segurança operacional.

10.1 Local de Tratamento. Os Serviços são hospedados e operados nos Estados Unidos. O Cliente reconhece e instrui que os Dados Pessoais serão tratados nos Estados Unidos e nas jurisdições dos Suboperadores listados em nossa Lista de Suboperadores.

10.2 Transferências EEE/Reino Unido/Suíça. Exclusivamente na medida em que o Cliente transfira Dados Pessoais sujeitos ao GDPR, ao UK GDPR ou à FADP Suíça para a CeroVueltas, as SCCs são incorporadas por referência da seguinte forma:

Item Aplicação
Módulo Módulo Dois (Controlador → Operador); Módulo Três (Operador → Operador) quando o Cliente for um Operador
Cláusula 7 (Adesão) Não aplicável
Cláusula 9 (Suboperadores) Opção 2 (autorização geral), prazo de notificação conforme a Cláusula 5.2
Cláusula 11 (Reparação) Linguagem opcional não aplicável
Cláusula 17 (Lei Aplicável) Leis da Irlanda
Cláusula 18 (Foro) Tribunais da Irlanda
Anexos I–II Preenchidos pelos Anexos I–II do presente DPA
Transferências para o Reino Unido Aplica-se o Adendo de Transferência Internacional de Dados do Reino Unido (IDTA Addendum), com as tabelas preenchidas pelo presente DPA
Transferências para a Suíça SCCs adaptadas conforme exigido pelo PFPDT suíço (as referências ao GDPR devem ser lidas como FADP; a autoridade supervisora é o PFPDT)

10.3 Responsabilidade do Cliente. O Cliente, na qualidade de Controlador, permanece responsável por determinar a licitude das transferências internacionais para seu caso de uso específico e seus Titulares dos Dados. A CeroVueltas não declara que qualquer jurisdição de Suboperador seja considerada "adequada."

11.1 A responsabilidade de cada parte decorrente ou relacionada ao presente DPA (incluindo as SCCs) está estritamente sujeita às exclusões e limitações gerais de responsabilidade estabelecidas no Contrato (Termos de Serviço), incluindo os tetos de responsabilidade, os procedimentos de indenização, as renúncias a ações coletivas e as disposições de arbitragem nele contidas. O presente DPA não modifica, substitui, amplia nem reduz qualquer limitação de responsabilidade ou disposição de resolução de disputas do Contrato.

11.2 Em caso de conflito: (a) as SCCs prevalecem sobre o presente DPA exclusivamente no que diz respeito às transferências que regulam; (b) o presente DPA prevalece sobre o Contrato exclusivamente no que diz respeito à mecânica técnica do tratamento de Dados Pessoais; e (c) o Contrato (Termos de Serviço) prevalece estritamente em todos os demais aspectos, incluindo, sem limitação, todas as questões de responsabilidade, danos, resolução de disputas e lei aplicável.

O presente DPA está em vigor enquanto a CeroVueltas tratar Dados Pessoais em nome do Cliente. A CeroVueltas poderá atualizar o presente DPA na medida razoavelmente necessária para refletir alterações nas Leis de Proteção de Dados Aplicáveis ou nos Serviços, nos termos da Cláusula 21.6 do Contrato. Salvo quando as SCCs exigirem o contrário, o presente DPA é regido pelas leis especificadas na Cláusula 19 do Contrato.

Item Descrição
Exportador de dados Cliente (Controlador ou Operador)
Importador de dados SUITE IMPERIAL LLC d/b/a CeroVueltas (Operador), Novo México, EUA
Categorias de Titulares dos Dados Usuários Finais que se comunicam com o Cliente via WhatsApp ou widgets de sites; pessoal autorizado do Cliente e usuários de conta
Categorias de Dados Pessoais Nomes, números de telefone, nomes de perfil e IDs do WhatsApp, conteúdo de mensagens, metadados de conversas, dados de contato, credenciais de conta, dados de contato de faturamento e quaisquer Dados Pessoais que o Cliente inclua na Base de Conhecimento ou nos Dados do Cliente
Dados Sensíveis Nenhum previsto. O Cliente não deverá submeter dados sensíveis/de categoria especial, salvo se legalmente permitido e contratualmente acordado por escrito
Natureza e Finalidade Hospedagem, roteamento de mensagens recebidas, codificação vetorial (RAG), geração de respostas por IA via APIs de terceiros, análises do painel de controle, suporte, segurança e solução de problemas
Duração Vigência do Contrato acrescida dos períodos de exclusão previstos na Cláusula 8
Frequência Contínua
Autoridade Supervisora Competente (SCCs) Determinada nos termos da Cláusula 13 das SCCs com base no estabelecimento do exportador de dados
  • Criptografia e Pseudonimização: TLS 1.2+ em trânsito; AES-256-GCM em repouso para bancos de dados e comunicações críticas. Pseudonimização criptográfica utilizada para identificadores de PII em consultas de banco de dados.
  • Controle de Acesso: Integração SSO via Provedores de Identidade (por exemplo, Google/Facebook/Email) com suporte a MFA no nível do provedor; acesso baseado em funções; separação lógica de inquilinos (escopo estrito no nível do banco de dados por ID do Cliente).
  • Segurança de Sessão: Gerenciamento de sessão de Confiança Zero utilizando cookies seguros com prefixo, políticas Strict SameSite, tokenização CSRF e tempos limite estritos de sessão ociosa.
  • Prevenção de DDoS e Abuso: Limitação de taxa automatizada com rastreamento atômico e restrições estritas de tamanho de payload para mitigar abusos e esgotamento de recursos.
  • Segurança de IA: Mecanismos automatizados de detecção de injeção de prompt e protocolos de sanitização dinâmica para mitigar entradas adversariais e Envenenamento de RAG.
  • Redação Automatizada de PII: Mascaramento automático de Informações de Identificação Pessoal (e-mails, números de telefone, senhas) em registros de auditoria do sistema antes da ingestão no banco de dados.
  • Infraestrutura e Gestão de Segredos: Hospedagem em provedores de nuvem de reputação reconhecida que mantêm certificações reconhecidas (por exemplo, SOC 2, ISO 27001). Gestão centralizada de segredos com suporte em nuvem para prevenir exposição de credenciais. Aplicação estrita de Política de Segurança de Conteúdo (CSP).
  • Gestão de Vulnerabilidades: Aplicação periódica de patches, revisão de dependências e fluxos de trabalho de implantação com linha de base segura (pipelines de Zero Downtime).
  • Continuidade de Negócios: Backups automatizados; procedimentos documentados de resposta a incidentes e roteamento de contingência para APIs dinâmicas.
  • Ciclo de Vida dos Dados: Protocolos automatizados de exclusão conforme GDPR/SOC2 (por exemplo, janela de purga de 72 horas úteis) e processos de sobrescrita de backup conforme a Cláusula 8.

A lista atualizada de Suboperadores relevantes (provedores de hospedagem e de IA) é mantida em nossa Lista de Suboperadores, a qual é incorporada por referência.

Contato: privacidad@cerovueltas.com | legal@cerovueltas.com

SUITE IMPERIAL LLC, Novo México, EUA