sextafeira
    Data Processing AgreementDPA
    LGPD Art. 37-40 · GDPR Art. 28 · Operador de Dados

    Acordo de Processamento
    de Dados Pessoais.

    Este documento formaliza as obrigações da sextafeira como operadora de dados pessoais tratados em nome dos seus clientes, conforme exigido pelo Art. 37 da LGPD e pelo Art. 28 do GDPR. Deve ser firmado por clientes cujas operações na plataforma envolvam tratamento de dados pessoais de terceiros.

    LGPD Art. 37 compliantGDPR Art. 28 compliantAssinatura digital disponívelAditivo Enterprise negociável

    Este DPA é parte integrante dos Termos de Uso quando o cliente atua como controlador de dados de terceiros na plataforma.

    — Quando usar —

    Você precisa deste DPA?

    Assine o DPA se você usa a plataforma para:

    Processar dados de clientes da sua empresa — como análise de contratos, emails ou registros que contenham informações de pessoas identificáveis.
    Processar dados de funcionários — como análise de documentos de RH, avaliações de desempenho ou comunicações internas com dados pessoais.
    Desenvolver ou testar sistemas que manipulem dados pessoais reais — mesmo que anonimizados de forma incompleta.
    Gerar relatórios ou análises baseados em bases de dados com dados pessoais identificáveis.
    Usar a plataforma como parte de produto ou serviço que você oferece a terceiros cujos dados serão processados.
    Qualquer operação que envolva dados de saúde, financeiros, biométricos ou outros dados sensíveis conforme Art. 11 da LGPD.

    O DPA não é necessário se você usa apenas para:

    Desenvolvimento com dados fictícios ou sintéticos sem nenhum dado pessoal real.
    Perguntas gerais, pesquisa e uso puramente informacional sem nenhum dado de pessoas identificáveis.
    Geração de código sem qualquer relação com dados pessoais.
    Uso interno de documentação técnica e especificações que não contenham dados pessoais.
    — Assinar —

    Três formas de formalizar.

    Mais rápido

    Assinar digitalmente agora.

    Clientes com conta ativa podem assinar o DPA padrão digitalmente via assinatura eletrônica integrada. Válido juridicamente conforme a MP 2.200-2/2001 e a Lei 14.063/2020. Documento assinado disponível imediatamente e enviado por e-mail. Tempo estimado: 2 minutos.

    Baixar e assinar fisicamente.

    Baixe o PDF do DPA padrão, assine com reconhecimento de firma ou assinatura eletrônica qualificada, e envie o documento assinado para [email protected]. Prazo de processamento: até 3 dias úteis.

    Negociar termos customizados.

    Clientes Enterprise com requisitos específicos podem solicitar revisão e customização do DPA padrão. Disponível para contratos acima de determinado volume. Nossa equipe jurídica entra em contato em até 3 dias úteis.

    Este Acordo de Processamento de Dados ("DPA") é firmado entre TalkLabs Ltda, sediada em São Paulo, SP, doravante denominada Operadora, e o Cliente identificado na conta da plataforma sextafeira.ai, doravante denominado Controlador, e é parte integrante dos Termos de Uso da plataforma sextafeira.ai.

    Este DPA tem por finalidade regular as obrigações e responsabilidades das partes no tratamento de dados pessoais realizado pela Operadora em nome do Controlador, em conformidade com a LGPD, o GDPR quando aplicável, e demais normas de proteção de dados vigentes.

    1. Definições e interpretação

    Para os fins deste DPA, os termos abaixo têm os seguintes significados, complementando as definições dos Termos de Uso:

    TermoDefinição
    ControladorA pessoa natural ou jurídica que determina as finalidades e os meios do tratamento de dados pessoais. No contexto deste DPA, o Cliente da plataforma sextafeira.ai.
    OperadoraA pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. No contexto deste DPA, a TalkLabs LTDA — sextafeira.ai.
    Dados PessoaisQualquer informação relacionada a pessoa natural identificada ou identificável, conforme Art. 5º, I da LGPD e Art. 4º, 1 do GDPR.
    Dados SensíveisDados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde ou vida sexual, dado genético ou biométrico, conforme Art. 5º, II da LGPD.
    TitularA pessoa natural a quem se referem os dados pessoais objeto deste DPA.
    TratamentoToda operação realizada com dados pessoais, conforme Art. 5º, X da LGPD.
    SuboperadorTerceiro contratado pela Operadora para realizar tratamento de dados em nome desta, sob as mesmas obrigações deste DPA.
    Incidente de SegurançaQualquer violação de segurança que resulte em acesso não autorizado, divulgação, alteração, perda ou destruição de dados pessoais.
    Ambiente IsoladoInfraestrutura de Hardware Dedicado configurada sem rota de rede para a internet pública, conforme descrito nos Termos de Uso.
    Dados de UsoMetadados técnicos como contagem de sessões e tokens, excluindo o conteúdo dos dados pessoais tratados.
    ANPDAutoridade Nacional de Proteção de Dados, órgão regulador da LGPD no Brasil.
    Cláusulas Contratuais PadrãoConjunto de cláusulas padronizadas aprovadas pela autoridade supervisora competente para transferências internacionais, conforme Anexo IV.

    2. Objeto e âmbito do tratamento

    2.1 Objeto

    Este DPA regula o tratamento de dados pessoais realizado pela Operadora em nome do Controlador no âmbito da prestação dos serviços descritos nos Termos de Uso. O tratamento ocorre exclusivamente dentro do Ambiente Isolado do Hardware Dedicado contratado pelo Controlador, sem exposição à internet pública e sem acesso por parte da Operadora ao conteúdo tratado.

    2.2 Natureza técnica do tratamento

    A arquitetura da plataforma sextafeira.ai é fundamentalmente diferente de outros operadores de serviços de IA. O conteúdo dos dados pessoais tratados pelo Controlador — prompts, arquivos, respostas — é processado e armazenado exclusivamente no Hardware Dedicado do Controlador. A Operadora não tem acesso técnico a esse conteúdo. O tratamento descrito neste DPA refere-se aos metadados operacionais necessários para a prestação do serviço, não ao conteúdo em si.

    2.3 Especificação do tratamento

    A descrição detalhada das categorias de dados, finalidades, titulares afetados e duração do tratamento encontra-se no Anexo I deste DPA.

    2.4 Instruções do Controlador

    O Controlador é o único que determina as finalidades e os meios do tratamento realizado na plataforma. A Operadora trata os dados pessoais exclusivamente conforme as instruções do Controlador, documentadas na configuração da conta e nos parâmetros do serviço contratado.

    3. Instruções de tratamento

    3.1 Conformidade com instruções

    A Operadora trata os dados pessoais somente conforme as instruções documentadas do Controlador, salvo quando obrigada a fazê-lo de forma diversa por lei ou ordem judicial — caso em que notificará o Controlador previamente, salvo proibição legal expressa.

    3.2 Instrução ilegal

    Se a Operadora considerar que uma instrução do Controlador viola a LGPD, o GDPR ou qualquer outra norma de proteção de dados aplicável, notificará o Controlador imediatamente por escrito, explicando os fundamentos da sua posição. O Controlador pode confirmar ou modificar a instrução. A Operadora reserva-se o direito de suspender o cumprimento de instruções que, a seu juízo fundamentado, violem norma legal imperativa.

    3.3 Instrução de exclusão ou devolução

    Ao término do contrato ou mediante solicitação do Controlador, a Operadora seguirá as instruções do Controlador para exclusão segura ou devolução dos dados pessoais processados, conforme descrito na Cláusula 11.

    4. Obrigações da Operadora

    4.1 Obrigações gerais

    1. Tratar os dados pessoais somente conforme as instruções documentadas do Controlador e as finalidades descritas no Anexo I.
    2. Garantir que as pessoas autorizadas a tratar os dados pessoais estejam sujeitas a obrigações de confidencialidade adequadas.
    3. Implementar e manter as medidas técnicas e organizacionais descritas no Anexo II e na Cláusula 7.
    4. Respeitar as condições para o envolvimento de Suboperadores estabelecidas na Cláusula 5.
    5. Não realizar transferências internacionais de dados pessoais sem as salvaguardas adequadas descritas na Cláusula 6.
    6. Assistir o Controlador no cumprimento de seus deveres em relação aos direitos dos Titulares, conforme a Cláusula 9.
    7. Fornecer ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações deste DPA.
    8. Notificar o Controlador de Incidentes de Segurança conforme a Cláusula 8.

    4.2 Confidencialidade do pessoal

    A Operadora assegura que todo colaborador, prestador de serviço ou terceiro que possa ter acesso a dados pessoais no âmbito deste DPA está sujeito a acordo de confidencialidade adequado, com vigência que se estende além do término do contrato.

    4.3 Limitação de uso

    A Operadora não utiliza os dados pessoais tratados em nome do Controlador para qualquer outra finalidade que não a prestação dos serviços descritos nos Termos de Uso, incluindo expressamente a proibição de uso para treinamento de modelos de IA, desenvolvimento de produtos, análise de mercado ou qualquer finalidade própria da Operadora.

    5. Suboperadores

    5.1 Autorização geral

    O Controlador autoriza a Operadora a contratar os Suboperadores listados no Anexo III para as finalidades específicas ali descritas. Esta autorização é condicionada ao cumprimento das obrigações desta cláusula pela Operadora.

    5.2 Controle sobre suboperadores

    A Operadora impõe aos Suboperadores as mesmas obrigações de proteção de dados previstas neste DPA, mediante contrato escrito. A Operadora permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações de proteção de dados pelos Suboperadores.

    5.3 Notificação de novos suboperadores

    A Operadora notificará o Controlador com pelo menos 30 dias de antecedência antes de contratar novo Suboperador ou substituir Suboperador existente. O Controlador tem prazo de 14 dias para se opor fundamentadamente. Se a Operadora prosseguir com a contratação após oposição fundamentada, o Controlador pode rescindir o DPA e o contrato de serviços sem penalidade.

    5.4 Lista atualizada

    O Anexo III é atualizado sempre que novos Suboperadores são aprovados. A versão mais recente é sempre a publicada em sextafeira.ai/dpa/suboperadores.

    6. Transferência internacional de dados

    6.1 Princípio geral

    A Operadora não realiza transferência de dados pessoais a países que não ofereçam grau adequado de proteção, conforme Art. 33 da LGPD, salvo mediante as salvaguardas previstas nesta cláusula.

    6.2 Situação atual

    Declaração de situação atual: na presente versão deste DPA (v1.2), todos os dados pessoais tratados no âmbito da prestação de serviços da plataforma sextafeira.ai são processados e armazenados exclusivamente em território brasileiro. Não são realizadas transferências internacionais de dados pessoais de clientes.

    6.3 Salvaguardas para transferências futuras

    Caso venha a ser necessária qualquer transferência internacional — como no caso de Suboperadores localizados fora do Brasil — a Operadora garantirá a existência de ao menos uma das seguintes salvaguardas: decisão de adequação pelo país receptor emitida pela ANPD; cláusulas contratuais padrão aprovadas pela ANPD conforme o Anexo IV; certificações e normas corporativas globais reconhecidas pela ANPD.

    6.4 Notificação prévia

    Qualquer transferência internacional somente ocorrerá após notificação prévia ao Controlador com 30 dias de antecedência e oportunidade de oposição.

    7. Medidas técnicas e organizacionais de segurança

    7.1 Nível de segurança

    A Operadora implementa e mantém medidas técnicas e organizacionais adequadas para garantir nível de segurança apropriado ao risco, considerando o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos Titulares.

    7.2 Medidas específicas

    Referência ao Anexo II para lista completa. Resumo das medidas implementadas:

    Criptografia de dados em trânsito com TLS 1.3 e em repouso com AES-256.
    Isolamento de rede a nível de hardware — sem rota de saída para internet pública no ambiente de processamento.
    Controle de acesso baseado em papéis com princípio do menor privilégio para equipe interna.
    Autenticação multifator obrigatória para acesso à infraestrutura por colaboradores da Operadora.
    Auditoria completa de todos os acessos de colaboradores à infraestrutura.
    Testes de penetração externos semestrais por empresa independente.
    Plano documentado de resposta a incidentes com simulações periódicas.

    7.3 Atualização das medidas

    As medidas de segurança são revisadas periodicamente e atualizadas conforme a evolução das ameaças, do estado da técnica e dos requisitos regulatórios. O Anexo II é atualizado a cada revisão. O Controlador pode solicitar cópia da versão atual a qualquer momento.

    7.4 Avaliação de impacto

    A Operadora auxiliará o Controlador, mediante solicitação e dentro dos limites técnicos aplicáveis, na realização de avaliações de impacto à proteção de dados (DPIA/RIPD) quando o tratamento for susceptível de resultar em elevado risco para os direitos dos Titulares, conforme Art. 38 da LGPD e Art. 35 do GDPR.

    8. Notificação de incidentes de segurança

    8.1 Obrigação de notificação

    A Operadora notificará o Controlador sem demora injustificada, e em qualquer caso no prazo máximo de 48 horas após tomar conhecimento de Incidente de Segurança que afete dados pessoais tratados em nome do Controlador.

    8.2 Conteúdo da notificação

    A notificação deve incluir:

    • — Descrição da natureza do Incidente de Segurança, incluindo categorias e número aproximado de Titulares afetados e registros envolvidos.
    • — Nome e dados de contato do encarregado de proteção de dados ou ponto de contato responsável pelo acompanhamento.
    • — Descrição das prováveis consequências do Incidente de Segurança.
    • — Descrição das medidas adotadas ou propostas para resolver o Incidente de Segurança e mitigar seus efeitos.

    8.3 Notificação à ANPD

    A responsabilidade pela notificação à ANPD e aos Titulares afetados, nos prazos e condições previstos no Art. 48 da LGPD, é do Controlador. A Operadora fornecerá toda a assistência necessária para que o Controlador possa cumprir essa obrigação.

    8.4 Investigação conjunta

    A Operadora cooperará plenamente com o Controlador na investigação do Incidente de Segurança, fornecendo acesso a logs relevantes, colaboradores envolvidos e informações técnicas necessárias para compreender o alcance e a causa do incidente.

    8.5 Não implicação de responsabilidade

    A notificação de um Incidente de Segurança não constitui reconhecimento de culpa ou responsabilidade pela Operadora.

    9. Assistência ao controlador

    9.1 Atendimento de direitos dos titulares

    A Operadora assistirá o Controlador, por meio de medidas técnicas e organizacionais adequadas, no cumprimento de suas obrigações de responder a solicitações de exercício de direitos pelos Titulares — acesso, correção, eliminação, portabilidade, oposição e revisão de decisões automatizadas — conforme os Arts. 17 a 22 da LGPD.

    Dado que o conteúdo processado no Ambiente Isolado não está acessível à Operadora, a assistência se refere especificamente aos Dados de Uso e informações de cadastro. Para dados processados no Hardware Dedicado, o Controlador é o único com capacidade de atender diretamente as solicitações dos Titulares.

    9.2 Prazo de assistência

    A Operadora responderá a solicitações de assistência do Controlador no prazo máximo de 5 dias úteis, considerando a natureza e complexidade da solicitação.

    9.3 Assistência em avaliações de impacto

    A Operadora fornecerá ao Controlador as informações necessárias sobre suas práticas de segurança, suboperadores e fluxos de dados para que o Controlador possa realizar suas avaliações de impacto conforme exigido pela regulação.

    10. Auditoria, inspeção e demonstração de conformidade

    10.1 Direito de auditoria

    O Controlador tem o direito de auditar o cumprimento das obrigações deste DPA pela Operadora, incluindo a realização de inspeções nas instalações e sistemas da Operadora, pessoalmente ou por meio de auditor independente, mediante notificação prévia de 30 dias e nos horários acordados para minimizar impacto operacional.

    10.2 Relatórios de conformidade

    Em substituição à inspeção presencial — ou como complemento a ela — a Operadora fornecerá ao Controlador que o solicitar: relatório de auditoria SOC 2 Type II quando disponível, relatório de pentest mais recente, certificações de segurança vigentes, e relatório de conformidade com as medidas do Anexo II. Documentos classificados como confidenciais são fornecidos sob NDA.

    10.3 Custos de auditoria

    Auditorias são realizadas por conta e risco do Controlador. Caso a auditoria revele descumprimento relevante das obrigações deste DPA pela Operadora, os custos de auditoria são reembolsados pela Operadora.

    10.4 Inspeção pela ANPD

    A Operadora cooperará plenamente com inspeções e investigações da ANPD relacionadas ao tratamento objeto deste DPA, notificando o Controlador sobre qualquer contato recebido da ANPD que se refira ao tratamento de dados do Controlador.

    11. Exclusão e devolução de dados ao término

    11.1 Obrigação ao término

    Ao término do contrato de serviços ou mediante solicitação do Controlador, a Operadora excluirá ou devolverá ao Controlador, conforme sua escolha, todos os dados pessoais tratados em nome do Controlador, e eliminará as cópias existentes, salvo nos casos em que a legislação aplicável exija a conservação.

    11.2 Dados no Ambiente Isolado

    O Conteúdo do Usuário armazenado no Hardware Dedicado é de acesso e controle exclusivo do Controlador. A eliminação desses dados ao término é responsabilidade do Controlador. A Operadora realizará wipe seguro do hardware conforme o padrão NIST 800-88 após o encerramento do contrato, emitindo certificado de destruição ao Controlador.

    11.3 Dados de uso e metadados

    Dados de uso e metadados operacionais retidos pela Operadora serão eliminados conforme os prazos de retenção estabelecidos na Política de Privacidade, salvo obrigação legal de conservação.

    11.4 Certificado de eliminação

    A Operadora emitirá certificado de eliminação segura dos dados ao Controlador no prazo de 30 dias após a conclusão do processo de exclusão, especificando as categorias de dados eliminados, o método de eliminação utilizado e a data de conclusão.

    12. Vigência e rescisão

    12.1 Vigência

    Este DPA entra em vigor na data de sua assinatura ou aceitação eletrônica pelo Controlador e permanece em vigor enquanto o contrato de serviços estiver ativo. O DPA encerra-se automaticamente com o encerramento do contrato de serviços, ficando em vigor apenas as cláusulas que expressamente sobrevivem ao término — confidencialidade, exclusão de dados e responsabilidade.

    12.2 Rescisão por descumprimento

    O descumprimento grave das obrigações deste DPA pela Operadora autoriza o Controlador a rescindir o contrato de serviços e este DPA sem penalidade, após notificação e prazo de 30 dias para a Operadora sanar o descumprimento, salvo em casos de violação de dados que justifiquem rescisão imediata.

    13. Responsabilidade e indenização

    13.1 Responsabilidade do Controlador

    O Controlador é responsável pela licitude do tratamento de dados pessoais que instrui a Operadora a realizar. A Operadora não é responsável por danos causados pelo tratamento realizado em cumprimento a instruções do Controlador que violem a LGPD ou qualquer outra norma aplicável.

    13.2 Responsabilidade da Operadora

    A Operadora é responsável pelos danos causados pelo tratamento quando agir em desacordo com as instruções do Controlador ou quando descumprir as obrigações estabelecidas neste DPA ou na LGPD.

    13.3 Responsabilidade solidária

    Nos casos em que tanto o Controlador quanto a Operadora sejam responsáveis por danos causados aos Titulares, a responsabilidade é solidária conforme Art. 42, § 1º da LGPD. O direito de regresso entre as partes é exercido conforme o grau de culpa de cada uma na ocorrência do dano.

    13.4 Limites de responsabilidade

    Os limites de responsabilidade estabelecidos na Cláusula 11 dos Termos de Uso aplicam-se também a este DPA, salvo nos casos de dolo ou culpa grave.

    14. Disposições gerais

    14.1 Hierarquia de documentos

    Em caso de conflito entre este DPA e os Termos de Uso no que se refere especificamente ao tratamento de dados pessoais, prevalecem as disposições deste DPA. Em todos os demais aspectos, prevalecem os Termos de Uso.

    14.2 Alterações

    Este DPA pode ser atualizado pela Operadora com as mesmas condições de notificação previstas para os Termos de Uso — mínimo de 30 dias de antecedência para mudanças que onerem o Controlador. A versão vigente é sempre a publicada em sextafeira.ai/dpa.

    14.3 Lei aplicável e foro

    Este DPA é regido pela legislação brasileira, em especial a LGPD. Para resolução de controvérsias, aplica-se o mesmo foro e as mesmas condições de resolução de disputas previstas nos Termos de Uso.

    14.4 Independência das cláusulas

    A nulidade ou inexequibilidade de qualquer disposição deste DPA não afeta a validade das demais.

    — Anexos —

    Documentos complementares.

    Anexo I — Descrição do tratamento

    Tabela detalhada especificando categorias de dados pessoais, categorias de Titulares, finalidades específicas, base legal aplicável, duração do tratamento e restrições de uso.

    Anexo II — Medidas técnicas e organizacionais

    Lista completa e técnica de todas as medidas de segurança implementadas pela Operadora, organizada por categoria: controles de acesso, criptografia, segurança física, segurança de rede, gestão de incidentes, continuidade de negócios e conformidade.

    Anexo III — Suboperadores aprovados

    Tabela de todos os Suboperadores autorizados com nome, país de operação, finalidade específica, categorias de dados acessadas e link para a política de privacidade do Suboperador.

    Anexo IV — Cláusulas contratuais padrão

    Cláusulas contratuais padrão para transferências internacionais de dados, conforme aprovação da autoridade competente. Aplicáveis quando o Controlador necessitar de garantias adicionais.

    — Assinar —

    Assine este DPA agora.

    Para assinar o DPA com validade jurídica, é preciso estar logado na sua conta — assim registramos quem assinou, quando e a partir de qual IP.

    Entrar para assinar →

    Não tem conta? Criar conta. Você também pode e assinar fisicamente.

    Versões anteriores do DPA.

    VersãoDataPrincipais mudançasStatus
    1.201/06/2025Atualização de suboperadores; inclusão de referência ao GDPR Art. 28Vigente
    1.115/01/2025Inclusão de cláusula de transferência internacional; ajustes no Anexo IISubstituída
    1.001/03/2024Versão inicial do DPASubstituída
    DPO
    [email protected]

    Para questões de proteção de dados e direitos de Titulares.

    Jurídico
    [email protected]

    Para negociação de DPA customizado e questões contratuais.

    Empresa

    TalkLabs Ltda
    São Paulo, SP

    Sobre nossos cookies.

    Usamos apenas cookies essenciais para o funcionamento do site e da plataforma. Não usamos cookies de rastreamento, analytics de terceiros ou publicidade. Nenhum dado seu é compartilhado com anunciantes. Ver política completa de cookies →