Acordo de Processamento de Dados

• "Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável, conforme definido pelo GDPR Artigo 4(1) e LGPD Artigo 5(I).
• "Tratamento" significa qualquer operação realizada sobre Dados Pessoais, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, alinhamento, restrição, eliminação ou destruição.
• "Controlador" significa a entidade que determina as finalidades e os meios de Tratamento de Dados Pessoais (a organização contratante).
• "Operador" significa a Play2sell Tecnologia LTDA, que trata Dados Pessoais em nome do Controlador.
• "Sub-operador" significa qualquer terceiro contratado pelo Operador para tratar Dados Pessoais em nome do Controlador.
• "Titular dos Dados" significa a pessoa natural identificada ou identificável a quem os Dados Pessoais se referem.

O Operador tratará Dados Pessoais apenas na medida necessária para fornecer os serviços da plataforma SalesOS, incluindo:

• Gerenciamento de contas de usuários e autenticação
• Execução e automação de workflows de vendas
• Cálculo de pontuação de gamificação, missões e rankings
• Cálculo de recompensas financeiras e rastreamento de desembolsos
• Gerenciamento de dados de CRM (leads, contatos, oportunidades)
• Analytics e relatórios
• Entrega de comunicações (notificações, alertas)

As categorias de Titulares dos Dados incluem: representantes de vendas, gerentes de equipe, administradores, leads e contatos gerenciados dentro da Plataforma.

Tipos de Dados Pessoais tratados: nome, endereço de email, número de telefone, afiliação empresarial, cargo, dados de localização, métricas de desempenho e dados de engajamento.

O Operador deverá:

• Tratar Dados Pessoais apenas mediante instruções documentadas do Controlador, salvo quando exigido pela legislação aplicável
• Garantir que as pessoas autorizadas a tratar Dados Pessoais tenham se comprometido com a confidencialidade
• Implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco
• Auxiliar o Controlador no atendimento a solicitações de Titulares dos Dados
• Auxiliar o Controlador na garantia de conformidade com obrigações relativas a segurança, notificação de violações e avaliações de impacto à proteção de dados
• A critério do Controlador, excluir ou devolver todos os Dados Pessoais após o término dos serviços
• Disponibilizar todas as informações necessárias para demonstrar conformidade e permitir auditorias

O Operador implementa e mantém as seguintes medidas técnicas e organizacionais de segurança:

4.1 Medidas Técnicas

• Criptografia em repouso (AES-256) e em trânsito (TLS 1.2+)
• Segurança em nível de linha (RLS) para isolamento de dados multi-tenant
• Controle de acesso baseado em funções (RBAC) com permissões em nível de capacidade
• Autenticação multifator para acesso administrativo e privilegiado
• Varredura automatizada de vulnerabilidades e testes de penetração
• Backups de banco de dados criptografados com capacidade de recuperação point-in-time
• Segmentação de rede e proteções por firewall
• Sistemas de detecção e prevenção de intrusões

4.2 Medidas Organizacionais

• Políticas e procedimentos de segurança da informação
• Treinamento de conscientização em segurança para funcionários
• Plano de resposta a incidentes com procedimentos de escalação definidos
• Revisões regulares de acesso e aplicação do princípio do menor privilégio
• Avaliações de segurança de fornecedores e sub-operadores

O Operador auxiliará o Controlador no cumprimento de suas obrigações de responder a solicitações de Titulares dos Dados exercendo seus direitos sob o GDPR e a LGPD, incluindo:

• Acesso a Dados Pessoais
• Retificação de dados imprecisos
• Eliminação de Dados Pessoais ("direito ao esquecimento")
• Restrição do tratamento
• Portabilidade de dados
• Oposição ao tratamento

O Operador notificará o Controlador sem demora indevida ao receber uma solicitação de um Titular dos Dados. O Operador não responderá diretamente a tais solicitações, salvo quando autorizado pelo Controlador.

Em caso de violação de Dados Pessoais, o Operador notificará o Controlador sem demora indevida, e no máximo em 48 horas após tomar conhecimento da violação.

O Controlador fornece autorização geral para que o Operador contrate Sub-operadores. O Operador deverá:

• Manter uma lista atualizada de Sub-operadores e disponibilizá-la ao Controlador mediante solicitação
• Notificar o Controlador sobre quaisquer alterações pretendidas nos Sub-operadores com pelo menos 30 dias de antecedência
• Garantir que os Sub-operadores estejam vinculados a obrigações de proteção de dados não menos protetivas do que as deste DPA
• Permanecer integralmente responsável pelos atos e omissões de seus Sub-operadores

Sub-operadores atuais:

• Supabase (AWS) -- Hospedagem de banco de dados, autenticação e funções serverless (EUA/UE)
• Vercel -- Hospedagem de aplicação e CDN (Global)
• Auth0 (Okta) -- Serviços de identidade e autenticação (EUA/UE)
• Temporal.io -- Orquestração de workflows (EUA)

Dados Pessoais podem ser transferidos para e processados em países fora da jurisdição do Controlador. O Operador garante que todas as transferências internacionais estejam em conformidade com as leis de proteção de dados aplicáveis, utilizando:

• Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia (transferências sob GDPR)
• Decisões de adequação, quando aplicável
• Regras Corporativas Vinculantes, quando aplicável
• Conformidade com o Capítulo V da LGPD para transferências internacionais de dados

O Operador implementará medidas suplementares quando necessário para garantir que o nível de proteção conferido aos Dados Pessoais não seja comprometido pela transferência.

Este DPA permanecerá em vigor durante a prestação dos Serviços pelo Operador ao Controlador. Após a rescisão:

• O Operador, a critério do Controlador, excluirá ou devolverá todos os Dados Pessoais em até 90 dias
• O Operador fornecerá certificado de exclusão mediante solicitação
• As obrigações relativas à confidencialidade e segurança sobreviverão à rescisão

Para dúvidas ou para executar este DPA, entre em contato:

Play2sell Tecnologia LTDA
Encarregado de Proteção de Dados
Email: dpo@play2sell.com
Website: https://play2sell.com