Acordo de Processamento de Dados (DPA)

Anexo aos Termos de Uso da ellas chat

Última atualização: 25 de maio de 2026 — Versão 1.0

1. Introdução

Este Acordo de Processamento de Dados (“DPA”) integra e complementa os Termos de Uso da plataforma ellas chat (“Termos”), regulando o tratamento de dados pessoais entre:

  • ELLAS CHAT TECNOLOGIA LTDA, CNPJ nº 66.121.889/0001-73 (“ellas chat” ou “Operadora”); e
  • O CLIENTE identificado no cadastro da Plataforma (“Cliente” ou “Controlador”).

Em caso de conflito entre este DPA e os Termos, prevalecem as disposições deste DPA quanto a matéria de proteção de dados pessoais.

2. Definições

Os termos abaixo, quando iniciados em maiúscula, têm o significado a eles atribuído na Lei nº 13.709/2018 (LGPD), em especial:

  • Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável;
  • Tratamento: toda operação realizada com Dados Pessoais (coleta, produção, classificação, utilização, acesso, distribuição, transmissão, armazenamento, eliminação etc.);
  • Titular: pessoa natural a quem se referem os Dados Pessoais;
  • Controlador: pessoa física ou jurídica a quem competem as decisões referentes ao tratamento dos Dados Pessoais. Neste DPA, é o Cliente;
  • Operador: pessoa física ou jurídica que realiza o tratamento em nome do Controlador. Neste DPA, é a ellas chat;
  • Suboperador: terceiro contratado pela Operadora para auxiliar no tratamento dos Dados Pessoais;
  • Incidente de Segurança: evento adverso que comprometa a confidencialidade, integridade ou disponibilidade dos Dados Pessoais;
  • ANPD: Autoridade Nacional de Proteção de Dados.

3. Objeto e papéis das partes

3.1 Objeto.Este DPA estabelece as condições sob as quais a ellas chat, na qualidade de Operadora, tratará Dados Pessoais dos clientes finais do Cliente (“Usuários Finais”) para a prestação dos serviços da Plataforma.

3.2 Papéis. As partes reconhecem que, para os fins deste DPA:

  • O Cliente é Controlador dos Dados Pessoais dos Usuários Finais, definindo as finalidades e os meios essenciais do tratamento;
  • A ellas chat é Operadora, tratando os Dados Pessoais exclusivamente conforme as instruções do Cliente e o disposto neste DPA, nos Termos e na legislação aplicável.

3.3 Dados de Cliente e atendentes. Quanto aos Dados Pessoais do próprio Cliente, de seus representantes legais e de seus atendentes (“Dados de Cadastro”), a ellas chat atua como Controladora, tratando tais dados conforme a Política de Privacidade.

4. Escopo do tratamento

As partes acordam que o tratamento de Dados Pessoais ocorre conforme o quadro abaixo:

5. Obrigações do Cliente (Controlador)

O Cliente, como Controlador, obriga-se a:

  • Possuir base legal adequada para o tratamento dos Dados Pessoais dos Usuários Finais, conforme art. 7º da LGPD (notadamente: consentimento, execução de contrato, legítimo interesse ou outras bases aplicáveis);
  • Informar aos Usuários Finais, de forma transparente, sobre o tratamento realizado, incluindo a contratação da ellas chat como Operadora;
  • Atender, dentro dos prazos legais, requisições de direitos dos Titulares (acesso, correção, eliminação, portabilidade, oposição etc.);
  • Instruir formalmente a ellas chat sempre que necessitar de tratamento que extrapole o escopo padrão da Plataforma;
  • Não enviar à Plataforma dados pessoais que não tenha base legal para tratar;
  • Assegurar que seus atendentes acessem apenas os dados necessários ao desempenho de suas funções, configurando filas, permissões e controles de acesso adequadamente na Plataforma;
  • Cumprir as demais obrigações de Controlador previstas na LGPD.

6. Obrigações da ellas chat (Operadora)

A ellas chat, como Operadora, obriga-se a:

  • Tratar os Dados Pessoais apenas conforme as instruções do Cliente, este DPA, os Termos e a legislação aplicável;
  • Não utilizar os Dados Pessoais dos Usuários Finais para fins próprios, exceto quando exigido por lei ou autorizado expressamente pelo Cliente;
  • Adotar medidas técnicas e administrativas razoáveis e adequadas para proteger os Dados Pessoais (cláusula 8);
  • Manter registro das operações de tratamento que realiza em nome do Cliente, quando aplicável;
  • Auxiliar o Cliente, mediante solicitação razoável, no atendimento a requisições de direitos dos Titulares e no cumprimento de obrigações legais (relatórios de impacto, comunicação de incidentes etc.), observada cobrança de custos quando aplicável e quando o auxílio extrapolar funcionalidades autoatendíveis da Plataforma;
  • Comunicar o Cliente em caso de Incidente de Segurança, conforme cláusula 9;
  • Garantir que pessoas autorizadas a tratar os Dados Pessoais estejam sujeitas a obrigação de confidencialidade;
  • Devolver ou eliminar os Dados Pessoais ao término do contrato, conforme cláusula 10;
  • Cooperar de boa-fé com a ANPD e com autoridades competentes.

7. Suboperadores

7.1 Autorização geral. O Cliente autoriza a ellas chat a contratar Suboperadores para a prestação dos serviços, incluindo, sem limitação, provedores de infraestrutura em nuvem, provedores de e-mail transacional, gateways de mensageria (BSP de WhatsApp), Meta Platforms, Inc. (provedora da Cloud API do WhatsApp), processadores de pagamento, ferramentas de observabilidade e ferramentas de comunicação.

7.2 Lista de Suboperadores. A ellas chat manterá lista atualizada dos principais Suboperadores, disponível mediante solicitação ou em página dedicada na Plataforma.

7.3 Obrigações dos Suboperadores. A ellas chat se obriga a contratar Suboperadores que ofereçam garantias de proteção de dados equivalentes às previstas neste DPA, por meio de contratos ou condições padrão aplicáveis.

7.4 Responsabilidade. A ellas chat permanece responsável perante o Cliente pelo cumprimento, pelos Suboperadores, das obrigações de proteção de dados, sem prejuízo da responsabilidade direta do Suboperador, quando aplicável.

7.5 Alterações. A ellas chat poderá adicionar ou substituir Suboperadores, devendo notificar o Cliente em caso de alterações relevantes. O Cliente pode objetar fundamentadamente; persistindo o desacordo, qualquer parte pode encerrar a relação contratual, sem penalidade adicional, observado o disposto nos Termos.

8. Medidas de segurança

A ellas chat adota medidas técnicas e administrativas razoáveis para proteger os Dados Pessoais, incluindo:

  • Criptografia em trânsito (TLS) para comunicações entre cliente, Plataforma e Suboperadores;
  • Criptografia em repouso para dados sensíveis armazenados em bancos de dados gerenciados;
  • Controle de acesso baseado em funções (RBAC), com princípio do menor privilégio;
  • Autenticação forte para acessos administrativos;
  • Segregação ambiental entre desenvolvimento e produção;
  • Registros de auditoria de acessos administrativos a dados;
  • Monitoramento contínuo e alertas de eventos de segurança;
  • Backups regulares e procedimentos de recuperação;
  • Avaliação periódica de fornecedores e contratos com cláusulas de proteção de dados;
  • Treinamento de equipe em proteção de dados e segurança da informação.

As medidas evoluem conforme o estado da técnica, o porte da operação e os riscos identificados. O Cliente reconhece que nenhuma medida elimina completamente o risco de incidentes, e que a ellas chat atua com obrigação de meio, não de resultado.

9. Incidentes de segurança

9.1 Comunicação. A ellas chat comunicará ao Cliente, em prazo razoável (e em qualquer caso dentro do prazo legal aplicável ao Cliente para reporte à ANPD, quando aplicável), Incidentes de Segurança que afetem Dados Pessoais sob tratamento.

9.2 Conteúdo da comunicação. A comunicação incluirá, na medida do conhecimento disponível: (a) natureza do incidente; (b) categorias e quantidade aproximada de Titulares afetados; (c) categorias e quantidade aproximada de Dados Pessoais afetados; (d) medidas adotadas para conter e mitigar o incidente; (e) ponto de contato para informações adicionais.

9.3 Cooperação. As partes cooperarão de boa-fé na investigação, mitigação e remediação do incidente, e na comunicação à ANPD e aos Titulares, quando exigida.

9.4 Sem admissão de culpa. A comunicação de incidente não constitui, por si, admissão de culpa ou descumprimento de obrigações pela ellas chat.

10. Retenção e eliminação

10.1 Durante a vigência. Durante a vigência do contrato, os Dados Pessoais são retidos conforme a finalidade do tratamento e as configurações do Cliente na Plataforma.

10.2 Encerramento. Encerrada a relação, a ellas chat:

  • (a) Disponibilizará, pelo prazo de 30 (trinta) dias, ferramentas razoáveis para que o Cliente exporte ou solicite a portabilidade dos Dados Pessoais sob seu controle;
  • (b) Após esse prazo, procederá à eliminação dos Dados Pessoais em até 60 (sessenta) dias, ressalvadas as hipóteses legais de retenção (cumprimento de obrigação legal, exercício regular de direitos, transferência a terceiro responsável, uso anonimizado);
  • (c) Manterá registros mínimos necessários ao cumprimento de obrigações legais (ex: logs de acesso pelo prazo do Marco Civil da Internet).

10.3 Confirmação de eliminação. Mediante solicitação razoável e por escrito, a ellas chat confirmará a eliminação dos Dados Pessoais.

11. Auditoria

11.1 Direito de auditoria. O Cliente tem o direito de auditar o cumprimento deste DPA, observados os limites razoáveis de segurança, confidencialidade e operação da ellas chat.

11.2 Procedimento. A auditoria ocorrerá: (a) mediante notificação prévia de pelo menos 30 (trinta) dias; (b) em dias úteis e horário comercial; (c) por meio de auditor independente acordado entre as partes ou por funcionário do Cliente, ambos sujeitos a obrigação de confidencialidade; (d) no máximo uma vez por ano, salvo em caso de Incidente de Segurança ou determinação de autoridade.

11.3 Custos. Os custos da auditoria são suportados pelo Cliente, salvo se a auditoria identificar descumprimento material deste DPA pela ellas chat, hipótese em que os custos razoáveis serão arcados pela ellas chat.

11.4 Alternativa. A ellas chat pode satisfazer obrigações de auditoria por meio de relatórios, certificações ou pareceres de auditor independente (ex: SOC 2, ISO 27001) quando aplicáveis.

12. Transferência internacional

Alguns Suboperadores podem estar localizados fora do Brasil. Quando ocorrer transferência internacional de Dados Pessoais, a ellas chat adotará salvaguardas adequadas, em conformidade com o art. 33 da LGPD, incluindo cláusulas contratuais padrão, certificações de conformidade ou outras hipóteses previstas pela ANPD.

13. Responsabilidade

13.1 Limitação aplicável. Aplica-se a este DPA a limitação de responsabilidade prevista nos Termos de Uso, observadas as obrigações imperativas da LGPD.

13.2 Solidariedade. Caso a Operadora descumpra obrigações legais ou as instruções do Controlador, poderá ser responsabilizada solidariamente nos termos do art. 42 da LGPD. Igualmente, caso o Controlador atue em desacordo com a LGPD ou forneça instruções ilícitas, indenizará a Operadora pelos prejuízos sofridos, nos termos da cláusula 13 dos Termos de Uso.

14. Encarregado de dados (DPO)

Encarregada de dados pessoais (DPO) da ellas chat:

  • E-mail: privacidade@ellaschat.com
  • Endereço: R. João Planincheck, nº 1712, Jaraguá Esquerdo, Jaraguá do Sul, SC, CEP 89252-220

15. Disposições finais

15.1 Vigência. Este DPA vigora enquanto a ellas chat tratar Dados Pessoais em nome do Cliente, sobrevivendo às hipóteses pertinentes após o término do contrato.

15.2 Alterações. Alterações deste DPA seguirão o procedimento previsto nos Termos.

15.3 Aceite. Este DPA é aceito eletronicamente, em conjunto com os Termos, no momento do cadastro do Cliente na Plataforma, ou por instrumento físico ou eletrônico específico, quando aplicável.