Acordo de Tratamento de Dados (DPA)

1. 1. Definições e papéis das partes

Este Acordo de Tratamento de Dados (DPA) integra os Termos de Uso do Imobiliq e disciplina o tratamento de dados pessoais realizado por ocasião do uso da plataforma, em conformidade com a Lei nº 13.709/2018 (LGPD).

Para os fins deste DPA, o Cliente (em regra a imobiliária ou o corretor) atua como CONTROLADOR dos dados pessoais de seus leads, contatos e clientes finais, definindo as finalidades e os meios do tratamento. O Instituto Innvicton Ltda, CNPJ 23.285.285/0001-50, atua como OPERADOR desses dados, tratando-os exclusivamente conforme as instruções do Controlador.

Quanto aos dados da conta e do relacionamento contratual (cadastro do Cliente, Usuários, faturamento, logs de uso e segurança), a Innvicton atua como CONTROLADORA, regida pela Política de Privacidade, e não por este DPA.

2. 2. Objeto e escopo do tratamento

O objeto deste DPA é o tratamento, pelo Operador, dos dados pessoais inseridos ou conectados pelo Controlador na plataforma, com a finalidade de prestar o serviço de CRM imobiliário contratado: armazenamento, organização, atendimento de leads, mensageria, distribuição entre corretores, registro de interações e demais funcionalidades.

• Natureza do tratamento: coleta, armazenamento, organização, consulta, uso, comunicação e eliminação, conforme as funcionalidades da plataforma.
• Finalidade: viabilizar a gestão comercial e o relacionamento do Controlador com seus leads e clientes finais.
• Categorias de titulares: leads, contatos, clientes finais e demais pessoas cujos dados o Controlador inserir.
• Categorias de dados: dados de identificação e contato (nome, telefone, e-mail), conteúdo de conversas, anotações de atendimento e dados de interesse imobiliário fornecidos pelo titular.
• Duração: enquanto vigente a relação contratual e pelo prazo de guarda legal aplicável.

3. 3. Instruções do Controlador

O Operador tratará os dados pessoais somente conforme as instruções documentadas do Controlador, materializadas neste DPA, nos Termos de Uso e nas configurações que o próprio Controlador realiza na plataforma.

O Operador não tratará os dados dos leads para finalidades próprias estranhas à prestação do serviço, não os comercializará e não os utilizará para publicidade própria. Caso entenda que uma instrução viola a LGPD, o Operador informará o Controlador.

O Controlador declara possuir base legal adequada para o tratamento dos dados que insere e é o responsável por essa licitude, na forma dos Termos de Uso.

4. 4. Confidencialidade

O Operador manterá sigilo sobre os dados pessoais tratados e garantirá que as pessoas autorizadas a tratá-los (empregados e prestadores) estejam sujeitas a obrigação de confidencialidade, contratual ou legal, e tratem os dados apenas na medida necessária à prestação do serviço.

A obrigação de confidencialidade subsiste ao término deste DPA.

5. 5. Medidas de segurança (art. 46 da LGPD)

O Operador adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, na forma do art. 46 da LGPD.

• Isolamento lógico entre tenants (multi-tenant), de modo que cada Controlador acesse apenas os seus dados.
• Controle de acesso por credenciais individuais e por papel (corretor, gestor, administrador).
• Criptografia em trânsito (TLS) e proteção de dados sensíveis em repouso.
• Registro de logs de acesso e de eventos de segurança.
• Backups e rotinas de recuperação.
• Revisão periódica de permissões e de vulnerabilidades.

6. 6. Suboperadores

O Controlador autoriza o Operador a contratar suboperadores para a prestação do serviço, desde que cada um esteja sujeito a obrigações de proteção de dados compatíveis com este DPA. O Operador responde perante o Controlador pela atuação de seus suboperadores.

São suboperadores atuais, por categoria:

• Provedor de mensageria WhatsApp / Meta Platforms, para envio e recebimento de mensagens nos canais conectados pelo Controlador.
• Asaas (Asaas Gestão Financeira S.A.), para processamento de pagamentos e dados de faturamento.
• Infraestrutura de hospedagem e banco de dados (Supabase e provedor de servidores Contabo), para armazenamento e processamento dos dados.

7. 7. Alteração de suboperadores

O Operador poderá incluir ou substituir suboperadores, comunicando o Controlador com antecedência razoável pelos canais cadastrados ou pela plataforma. O Controlador poderá se opor por motivo legítimo e fundamentado relativo à proteção de dados; não havendo solução, poderá rescindir a contratação sem ônus relativo à oposição.

8. 8. Assistência ao Controlador e direitos dos titulares

O Operador auxiliará o Controlador, na medida do tecnicamente possível, a atender às requisições de exercício de direitos dos titulares previstas no art. 18 da LGPD (confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação e revogação de consentimento).

O atendimento ao titular é, em primeira linha, dever do Controlador. Caso um titular dirija requisição diretamente ao Operador, este o orientará a procurar o Controlador e, quando cabível, notificará o Controlador, sem responder em nome dele.

O Operador disponibilizará recursos de exportação, correção e eliminação de dados na plataforma para que o Controlador atenda aos titulares.

9. 9. Notificação de incidentes (art. 48 da LGPD)

Ao tomar conhecimento de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Operador notificará o Controlador em prazo razoável após a confirmação do incidente, fornecendo as informações disponíveis para que o Controlador avalie a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares.

A comunicação à ANPD e aos titulares, quando exigida, é responsabilidade do Controlador, por ser ele o agente que define as finalidades do tratamento, contando com a cooperação do Operador.

A notificação conterá, na medida do disponível: a descrição da natureza do incidente, as categorias e o número aproximado de titulares e registros afetados, as medidas adotadas ou propostas para mitigar os efeitos e os contatos para mais informações.

10. 10. Devolução e eliminação ao término

Encerrada a prestação do serviço, o Operador disponibilizará ao Controlador, por prazo razoável, recurso para exportação dos dados pessoais tratados.

Findo esse prazo, e salvo instrução diversa do Controlador ou obrigação legal de guarda, o Operador eliminará os dados pessoais tratados em nome do Controlador, incluindo cópias, ressalvada a retenção mínima necessária ao cumprimento de obrigações legais ou regulatórias e ao exercício regular de direitos.

11. 11. Responsabilidade e ressarcimento

Cada parte responde pelos danos que causar no âmbito de seu papel: o Controlador, pela licitude da coleta e do uso dos dados que insere e pelas instruções que fornece; o Operador, pelo descumprimento das obrigações de operador previstas na LGPD e neste DPA, ou quando agir fora ou contra as instruções lícitas do Controlador.

O Controlador manterá o Operador indene de reclamações de titulares ou de terceiros decorrentes do tratamento de dados inseridos sem base legal, da conexão de canais ou linhas pessoais alheias à finalidade comercial ou do descumprimento, pelo Controlador, de suas obrigações legais.

A limitação de responsabilidade prevista nos Termos de Uso aplica-se também a este DPA, ressalvadas as hipóteses legais em que a limitação não é admitida.

12. 12. Auditoria

O Operador disponibilizará ao Controlador, mediante solicitação fundamentada e razoável, informações necessárias para demonstrar o cumprimento das obrigações deste DPA, tais como descrição das medidas de segurança e relatórios disponíveis.

Auditorias presenciais ou inspeções, quando justificadas por exigência legal ou da ANPD, serão previamente agendadas, limitadas ao necessário, sujeitas a confidencialidade e conduzidas de modo a não comprometer a segurança e a operação da plataforma e de outros Clientes.

13. 13. Transferências internacionais

Caso a prestação do serviço envolva transferência internacional de dados por suboperadores, o Operador adotará as salvaguardas exigidas pela LGPD, garantindo nível de proteção adequado, e informará o Controlador a respeito.

14. 14. Vigência e contato do encarregado

Este DPA vigora enquanto durar o tratamento de dados pessoais no âmbito da relação contratual e subsiste, no que couber, após o término, quanto às obrigações de confidencialidade, eliminação e responsabilidade.

Comunicações relativas à proteção de dados, incluindo o contato com o encarregado (DPO), devem ser dirigidas a privacidade@imobiliq.com.br.