Este documento formaliza as obrigações da sextafeira como operadora de dados pessoais tratados em nome dos seus clientes, conforme exigido pelo Art. 37 da LGPD e pelo Art. 28 do GDPR. Deve ser firmado por clientes cujas operações na plataforma envolvam tratamento de dados pessoais de terceiros.
Este DPA é parte integrante dos Termos de Uso quando o cliente atua como controlador de dados de terceiros na plataforma.
Clientes com conta ativa podem assinar o DPA padrão digitalmente via assinatura eletrônica integrada. Válido juridicamente conforme a MP 2.200-2/2001 e a Lei 14.063/2020. Documento assinado disponível imediatamente e enviado por e-mail. Tempo estimado: 2 minutos.
Baixe o PDF do DPA padrão, assine com reconhecimento de firma ou assinatura eletrônica qualificada, e envie o documento assinado para [email protected]. Prazo de processamento: até 3 dias úteis.
Clientes Enterprise com requisitos específicos podem solicitar revisão e customização do DPA padrão. Disponível para contratos acima de determinado volume. Nossa equipe jurídica entra em contato em até 3 dias úteis.
Este Acordo de Processamento de Dados ("DPA") é firmado entre TalkLabs Ltda, sediada em São Paulo, SP, doravante denominada Operadora, e o Cliente identificado na conta da plataforma sextafeira.ai, doravante denominado Controlador, e é parte integrante dos Termos de Uso da plataforma sextafeira.ai.
Este DPA tem por finalidade regular as obrigações e responsabilidades das partes no tratamento de dados pessoais realizado pela Operadora em nome do Controlador, em conformidade com a LGPD, o GDPR quando aplicável, e demais normas de proteção de dados vigentes.
Para os fins deste DPA, os termos abaixo têm os seguintes significados, complementando as definições dos Termos de Uso:
| Termo | Definição |
|---|---|
| Controlador | A pessoa natural ou jurídica que determina as finalidades e os meios do tratamento de dados pessoais. No contexto deste DPA, o Cliente da plataforma sextafeira.ai. |
| Operadora | A pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. No contexto deste DPA, a TalkLabs LTDA — sextafeira.ai. |
| Dados Pessoais | Qualquer informação relacionada a pessoa natural identificada ou identificável, conforme Art. 5º, I da LGPD e Art. 4º, 1 do GDPR. |
| Dados Sensíveis | Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde ou vida sexual, dado genético ou biométrico, conforme Art. 5º, II da LGPD. |
| Titular | A pessoa natural a quem se referem os dados pessoais objeto deste DPA. |
| Tratamento | Toda operação realizada com dados pessoais, conforme Art. 5º, X da LGPD. |
| Suboperador | Terceiro contratado pela Operadora para realizar tratamento de dados em nome desta, sob as mesmas obrigações deste DPA. |
| Incidente de Segurança | Qualquer violação de segurança que resulte em acesso não autorizado, divulgação, alteração, perda ou destruição de dados pessoais. |
| Ambiente Isolado | Infraestrutura de Hardware Dedicado configurada sem rota de rede para a internet pública, conforme descrito nos Termos de Uso. |
| Dados de Uso | Metadados técnicos como contagem de sessões e tokens, excluindo o conteúdo dos dados pessoais tratados. |
| ANPD | Autoridade Nacional de Proteção de Dados, órgão regulador da LGPD no Brasil. |
| Cláusulas Contratuais Padrão | Conjunto de cláusulas padronizadas aprovadas pela autoridade supervisora competente para transferências internacionais, conforme Anexo IV. |
Este DPA regula o tratamento de dados pessoais realizado pela Operadora em nome do Controlador no âmbito da prestação dos serviços descritos nos Termos de Uso. O tratamento ocorre exclusivamente dentro do Ambiente Isolado do Hardware Dedicado contratado pelo Controlador, sem exposição à internet pública e sem acesso por parte da Operadora ao conteúdo tratado.
A arquitetura da plataforma sextafeira.ai é fundamentalmente diferente de outros operadores de serviços de IA. O conteúdo dos dados pessoais tratados pelo Controlador — prompts, arquivos, respostas — é processado e armazenado exclusivamente no Hardware Dedicado do Controlador. A Operadora não tem acesso técnico a esse conteúdo. O tratamento descrito neste DPA refere-se aos metadados operacionais necessários para a prestação do serviço, não ao conteúdo em si.
A descrição detalhada das categorias de dados, finalidades, titulares afetados e duração do tratamento encontra-se no Anexo I deste DPA.
O Controlador é o único que determina as finalidades e os meios do tratamento realizado na plataforma. A Operadora trata os dados pessoais exclusivamente conforme as instruções do Controlador, documentadas na configuração da conta e nos parâmetros do serviço contratado.
A Operadora trata os dados pessoais somente conforme as instruções documentadas do Controlador, salvo quando obrigada a fazê-lo de forma diversa por lei ou ordem judicial — caso em que notificará o Controlador previamente, salvo proibição legal expressa.
Se a Operadora considerar que uma instrução do Controlador viola a LGPD, o GDPR ou qualquer outra norma de proteção de dados aplicável, notificará o Controlador imediatamente por escrito, explicando os fundamentos da sua posição. O Controlador pode confirmar ou modificar a instrução. A Operadora reserva-se o direito de suspender o cumprimento de instruções que, a seu juízo fundamentado, violem norma legal imperativa.
Ao término do contrato ou mediante solicitação do Controlador, a Operadora seguirá as instruções do Controlador para exclusão segura ou devolução dos dados pessoais processados, conforme descrito na Cláusula 11.
A Operadora assegura que todo colaborador, prestador de serviço ou terceiro que possa ter acesso a dados pessoais no âmbito deste DPA está sujeito a acordo de confidencialidade adequado, com vigência que se estende além do término do contrato.
A Operadora não utiliza os dados pessoais tratados em nome do Controlador para qualquer outra finalidade que não a prestação dos serviços descritos nos Termos de Uso, incluindo expressamente a proibição de uso para treinamento de modelos de IA, desenvolvimento de produtos, análise de mercado ou qualquer finalidade própria da Operadora.
O Controlador autoriza a Operadora a contratar os Suboperadores listados no Anexo III para as finalidades específicas ali descritas. Esta autorização é condicionada ao cumprimento das obrigações desta cláusula pela Operadora.
A Operadora impõe aos Suboperadores as mesmas obrigações de proteção de dados previstas neste DPA, mediante contrato escrito. A Operadora permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações de proteção de dados pelos Suboperadores.
A Operadora notificará o Controlador com pelo menos 30 dias de antecedência antes de contratar novo Suboperador ou substituir Suboperador existente. O Controlador tem prazo de 14 dias para se opor fundamentadamente. Se a Operadora prosseguir com a contratação após oposição fundamentada, o Controlador pode rescindir o DPA e o contrato de serviços sem penalidade.
O Anexo III é atualizado sempre que novos Suboperadores são aprovados. A versão mais recente é sempre a publicada em sextafeira.ai/dpa/suboperadores.
A Operadora não realiza transferência de dados pessoais a países que não ofereçam grau adequado de proteção, conforme Art. 33 da LGPD, salvo mediante as salvaguardas previstas nesta cláusula.
Declaração de situação atual: na presente versão deste DPA (v1.2), todos os dados pessoais tratados no âmbito da prestação de serviços da plataforma sextafeira.ai são processados e armazenados exclusivamente em território brasileiro. Não são realizadas transferências internacionais de dados pessoais de clientes.
Caso venha a ser necessária qualquer transferência internacional — como no caso de Suboperadores localizados fora do Brasil — a Operadora garantirá a existência de ao menos uma das seguintes salvaguardas: decisão de adequação pelo país receptor emitida pela ANPD; cláusulas contratuais padrão aprovadas pela ANPD conforme o Anexo IV; certificações e normas corporativas globais reconhecidas pela ANPD.
Qualquer transferência internacional somente ocorrerá após notificação prévia ao Controlador com 30 dias de antecedência e oportunidade de oposição.
A Operadora implementa e mantém medidas técnicas e organizacionais adequadas para garantir nível de segurança apropriado ao risco, considerando o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos Titulares.
Referência ao Anexo II para lista completa. Resumo das medidas implementadas:
As medidas de segurança são revisadas periodicamente e atualizadas conforme a evolução das ameaças, do estado da técnica e dos requisitos regulatórios. O Anexo II é atualizado a cada revisão. O Controlador pode solicitar cópia da versão atual a qualquer momento.
A Operadora auxiliará o Controlador, mediante solicitação e dentro dos limites técnicos aplicáveis, na realização de avaliações de impacto à proteção de dados (DPIA/RIPD) quando o tratamento for susceptível de resultar em elevado risco para os direitos dos Titulares, conforme Art. 38 da LGPD e Art. 35 do GDPR.
A Operadora notificará o Controlador sem demora injustificada, e em qualquer caso no prazo máximo de 48 horas após tomar conhecimento de Incidente de Segurança que afete dados pessoais tratados em nome do Controlador.
A notificação deve incluir:
A responsabilidade pela notificação à ANPD e aos Titulares afetados, nos prazos e condições previstos no Art. 48 da LGPD, é do Controlador. A Operadora fornecerá toda a assistência necessária para que o Controlador possa cumprir essa obrigação.
A Operadora cooperará plenamente com o Controlador na investigação do Incidente de Segurança, fornecendo acesso a logs relevantes, colaboradores envolvidos e informações técnicas necessárias para compreender o alcance e a causa do incidente.
A notificação de um Incidente de Segurança não constitui reconhecimento de culpa ou responsabilidade pela Operadora.
A Operadora assistirá o Controlador, por meio de medidas técnicas e organizacionais adequadas, no cumprimento de suas obrigações de responder a solicitações de exercício de direitos pelos Titulares — acesso, correção, eliminação, portabilidade, oposição e revisão de decisões automatizadas — conforme os Arts. 17 a 22 da LGPD.
Dado que o conteúdo processado no Ambiente Isolado não está acessível à Operadora, a assistência se refere especificamente aos Dados de Uso e informações de cadastro. Para dados processados no Hardware Dedicado, o Controlador é o único com capacidade de atender diretamente as solicitações dos Titulares.
A Operadora responderá a solicitações de assistência do Controlador no prazo máximo de 5 dias úteis, considerando a natureza e complexidade da solicitação.
A Operadora fornecerá ao Controlador as informações necessárias sobre suas práticas de segurança, suboperadores e fluxos de dados para que o Controlador possa realizar suas avaliações de impacto conforme exigido pela regulação.
O Controlador tem o direito de auditar o cumprimento das obrigações deste DPA pela Operadora, incluindo a realização de inspeções nas instalações e sistemas da Operadora, pessoalmente ou por meio de auditor independente, mediante notificação prévia de 30 dias e nos horários acordados para minimizar impacto operacional.
Em substituição à inspeção presencial — ou como complemento a ela — a Operadora fornecerá ao Controlador que o solicitar: relatório de auditoria SOC 2 Type II quando disponível, relatório de pentest mais recente, certificações de segurança vigentes, e relatório de conformidade com as medidas do Anexo II. Documentos classificados como confidenciais são fornecidos sob NDA.
Auditorias são realizadas por conta e risco do Controlador. Caso a auditoria revele descumprimento relevante das obrigações deste DPA pela Operadora, os custos de auditoria são reembolsados pela Operadora.
A Operadora cooperará plenamente com inspeções e investigações da ANPD relacionadas ao tratamento objeto deste DPA, notificando o Controlador sobre qualquer contato recebido da ANPD que se refira ao tratamento de dados do Controlador.
Ao término do contrato de serviços ou mediante solicitação do Controlador, a Operadora excluirá ou devolverá ao Controlador, conforme sua escolha, todos os dados pessoais tratados em nome do Controlador, e eliminará as cópias existentes, salvo nos casos em que a legislação aplicável exija a conservação.
O Conteúdo do Usuário armazenado no Hardware Dedicado é de acesso e controle exclusivo do Controlador. A eliminação desses dados ao término é responsabilidade do Controlador. A Operadora realizará wipe seguro do hardware conforme o padrão NIST 800-88 após o encerramento do contrato, emitindo certificado de destruição ao Controlador.
Dados de uso e metadados operacionais retidos pela Operadora serão eliminados conforme os prazos de retenção estabelecidos na Política de Privacidade, salvo obrigação legal de conservação.
A Operadora emitirá certificado de eliminação segura dos dados ao Controlador no prazo de 30 dias após a conclusão do processo de exclusão, especificando as categorias de dados eliminados, o método de eliminação utilizado e a data de conclusão.
Este DPA entra em vigor na data de sua assinatura ou aceitação eletrônica pelo Controlador e permanece em vigor enquanto o contrato de serviços estiver ativo. O DPA encerra-se automaticamente com o encerramento do contrato de serviços, ficando em vigor apenas as cláusulas que expressamente sobrevivem ao término — confidencialidade, exclusão de dados e responsabilidade.
O descumprimento grave das obrigações deste DPA pela Operadora autoriza o Controlador a rescindir o contrato de serviços e este DPA sem penalidade, após notificação e prazo de 30 dias para a Operadora sanar o descumprimento, salvo em casos de violação de dados que justifiquem rescisão imediata.
O Controlador é responsável pela licitude do tratamento de dados pessoais que instrui a Operadora a realizar. A Operadora não é responsável por danos causados pelo tratamento realizado em cumprimento a instruções do Controlador que violem a LGPD ou qualquer outra norma aplicável.
A Operadora é responsável pelos danos causados pelo tratamento quando agir em desacordo com as instruções do Controlador ou quando descumprir as obrigações estabelecidas neste DPA ou na LGPD.
Nos casos em que tanto o Controlador quanto a Operadora sejam responsáveis por danos causados aos Titulares, a responsabilidade é solidária conforme Art. 42, § 1º da LGPD. O direito de regresso entre as partes é exercido conforme o grau de culpa de cada uma na ocorrência do dano.
Os limites de responsabilidade estabelecidos na Cláusula 11 dos Termos de Uso aplicam-se também a este DPA, salvo nos casos de dolo ou culpa grave.
Em caso de conflito entre este DPA e os Termos de Uso no que se refere especificamente ao tratamento de dados pessoais, prevalecem as disposições deste DPA. Em todos os demais aspectos, prevalecem os Termos de Uso.
Este DPA pode ser atualizado pela Operadora com as mesmas condições de notificação previstas para os Termos de Uso — mínimo de 30 dias de antecedência para mudanças que onerem o Controlador. A versão vigente é sempre a publicada em sextafeira.ai/dpa.
Este DPA é regido pela legislação brasileira, em especial a LGPD. Para resolução de controvérsias, aplica-se o mesmo foro e as mesmas condições de resolução de disputas previstas nos Termos de Uso.
A nulidade ou inexequibilidade de qualquer disposição deste DPA não afeta a validade das demais.
Tabela detalhada especificando categorias de dados pessoais, categorias de Titulares, finalidades específicas, base legal aplicável, duração do tratamento e restrições de uso.
Lista completa e técnica de todas as medidas de segurança implementadas pela Operadora, organizada por categoria: controles de acesso, criptografia, segurança física, segurança de rede, gestão de incidentes, continuidade de negócios e conformidade.
Tabela de todos os Suboperadores autorizados com nome, país de operação, finalidade específica, categorias de dados acessadas e link para a política de privacidade do Suboperador.
Cláusulas contratuais padrão para transferências internacionais de dados, conforme aprovação da autoridade competente. Aplicáveis quando o Controlador necessitar de garantias adicionais.
Para assinar o DPA com validade jurídica, é preciso estar logado na sua conta — assim registramos quem assinou, quando e a partir de qual IP.
Não tem conta? Criar conta. Você também pode e assinar fisicamente.
| Versão | Data | Principais mudanças | Status |
|---|---|---|---|
| 1.2 | 01/06/2025 | Atualização de suboperadores; inclusão de referência ao GDPR Art. 28 | Vigente |
| 1.1 | 15/01/2025 | Inclusão de cláusula de transferência internacional; ajustes no Anexo II | Substituída |
| 1.0 | 01/03/2024 | Versão inicial do DPA | Substituída |
TalkLabs Ltda
São Paulo, SP
Usamos apenas cookies essenciais para o funcionamento do site e da plataforma. Não usamos cookies de rastreamento, analytics de terceiros ou publicidade. Nenhum dado seu é compartilhado com anunciantes. Ver política completa de cookies →