Voltar

Data Processing Agreement (DPA)

Seraik Insights · aunica Labs · Versão 2026-06-08

Texto preliminar. Revisão jurídica em curso. Substituir por versão definitiva antes de uso comercial em escala.

1. Partes

Este Data Processing Agreement ("DPA") é celebrado entre a empresa identificada no aceite digital ("Controlador") e a Seraik Insights, marca operada pela aunica Marketing Digital Ltda. ("Operador").

2. Objeto

O Operador processa dados pessoais e dados de marketing fornecidos pelo Controlador para prover o serviço Seraik Insights — análise consolidada de mídia, web analytics, CRM e dados primários do Controlador.

3. Base legal

O tratamento de dados pessoais pelo Operador tem como base legal o legítimo interesse do Controlador (art. 7º, IX da LGPD) e a execução de contrato comercial (art. 7º, V da LGPD).

4. Tipos de dados tratados

  • Identificadores: email, nome, cargo dos usuários do Controlador no Operador
  • Dados de mídia: spend, impressions, clicks, conversões agregadas por campanha (Google Ads, Meta, TikTok, LinkedIn, etc.)
  • Dados de web analytics: sessões, eventos, conversões (GA4, Adobe Analytics)
  • Dados de CRM: pipeline, lifecycle, NPS (Salesforce, HubSpot, RDStation)
  • Dados de vendas/transação: pedidos agregados, GMV (Shopify, marketplaces)
  • Dados não estruturados: dashboards, mensagens trocadas com squad de IA

5. Sub-processadores

Sub-processadorFinalidadeRegião
Supabase Inc.Banco de dados + autenticaçãoAWS us-east-1 (USA)
Vercel Inc.Hospedagem do siteAWS us-east-1 (USA)
Google CloudCloud Run staging + GCS storagesouthamerica-east1 (Brasil)
Anthropic PBCModelo de linguagem (LLM)AWS us-east-1 (USA)
Resend (Plunky)Envio transacional de emailAWS us-east-1 (USA)
OpenAI Inc.Modelo backup (opcional)AWS us-east-1 (USA)

O Operador notificará o Controlador com 30 dias de antecedência sobre mudanças na lista de sub-processadores, exceto em casos de urgência operacional.

6. Medidas técnicas e organizacionais

  • Criptografia em repouso (AES-256) e em trânsito (TLS 1.2+)
  • Isolamento multi-tenant via Row Level Security (RLS) no banco
  • Audit log imutável de acessos a dados sensíveis
  • Princípio do menor privilégio em IAM/SA
  • Autenticação OAuth2 + 2FA disponível
  • Backup diário automático com retenção 30 dias

7. Notificação de incidente

Em caso de incidente de segurança que comprometa dados pessoais, o Operador notificará o Controlador em até 24 horas após ciência, incluindo natureza, dados afetados e medidas mitigatórias.

8. Direitos do titular

O Operador disponibiliza ao Controlador endpoints para atender solicitações do titular (art. 18 da LGPD):

  • /api/account/export — exporta todos os dados do titular em JSON
  • /api/account/delete — exclui dados do titular conforme política de retenção

9. Retenção e exclusão

Dados ativos: mantidos enquanto o contrato comercial vigorar.
Pós-rescisão: 30 dias para exportação pelo Controlador, então exclusão automática.
Audit logs: mantidos por 5 anos para fins de compliance regulatório.

10. Auditoria

O Controlador pode solicitar uma vez ao ano (ou após incidente) uma auditoria das medidas técnicas e organizacionais, mediante notificação com 30 dias.

11. Foro

Fica eleito o foro da Comarca de São Paulo/SP para dirimir quaisquer questões oriundas deste DPA.

Contato do Encarregado (DPO)

Eduardo Schaeffer — dpo@seraik.com