DPA — Acordo de Processamento de Dados

Partes

• Controlador: você, pessoa física ou jurídica que se cadastra no Cravar e configura projetos que tratam dados pessoais de terceiros (usuários do seu app)
• Operador: Cravar Tecnologia Ltda. (CNPJ a registrar)

Este DPA entra em vigor automaticamente quando você cria o primeiro projeto no Cravar que trate dados de terceiros. Aceitar os Termos de Uso implica aceitar este DPA.

1. Objeto

Regular o tratamento de dados pessoais que o Controlador confia ao Operador no contexto da prestação de serviços do Cravar (hospedagem de políticas, portal DSAR, mapeamento de PII, geração de documentos, scan de código, audit trail).

2. Definições

Aplicam-se as definições do art. 5º da Lei 13.709/2018 (LGPD). Em complemento:

• Titulares: usuários finais dos apps/SaaS do Controlador, cujos dados são tratados via Cravar
• Sub-operadores: terceiros contratados pelo Operador pra realizar tratamento em nome do Controlador (lista em /trust/sub-processadores)

3. Natureza, finalidade, duração

4. Obrigações do Operador

• Tratar dados apenas conforme instruções documentadas do Controlador (configurações do projeto no painel + lgpd.config.ts + chamadas API)
• Manter sigilo, exigir sigilo de seus colaboradores e sub-operadores, treinar equipe em LGPD
• Adotar medidas técnicas e administrativas arts. 46-49 conforme detalhado na Seção 7 abaixo
• Auxiliar o Controlador no atendimento de solicitações dos titulares (DSAR) art. 18
• Auxiliar o Controlador em RIPD (relatório de impacto) art. 38, quando solicitado
• Comunicar incidente de segurança ao Controlador em até 24 horas do conhecimento (a gente é mais rápido que o prazo legal de 3 dias úteis pra ANPD — Resolução CD/ANPD nº 15/2024)
• No término do contrato: devolver ou eliminar todos os dados, conforme escolha do Controlador (30 dias em modo export-only por padrão)

5. Obrigações do Controlador

• Definir base legal para cada operação no painel do Cravar
• Manter o mapeamento de coletas atualizado conforme o produto evolui
• Cumprir obrigações próprias como Controlador (informar titulares, atender direitos, etc.)
• Não usar o Cravar pra tratar dados em desconformidade com a LGPD
• Pagar pelo serviço conforme plano contratado

6. Sub-operadores

Lista atualizada e nominal: cravar.com.br/trust/sub-processadores.

Quando adicionarmos novo sub-operador:

• Notificação por email 30 dias antes
• Atualização imediata na página /trust/sub-processadores
• Direito de opt-out: você pode opor-se. Se a oposição inviabilizar o serviço, oferecemos rescisão com reembolso pro-rata

Cada sub-operador é submetido às mesmas obrigações deste DPA via contrato próprio.

7. Medidas técnicas e administrativas

Técnicas

• TLS 1.3 em trânsito; HSTS preload
• AES-256-GCM em repouso pra campos sensíveis
• Argon2id pra senhas (cost ≥ 19)
• RBAC + princípio do menor privilégio
• Multi-tenant isolation via RLS no Postgres (testado em CI com contract tests cross-tenant)
• Audit trail hash-chained (SHA-256) replicado em append-only para Axiom
• Pseudonimização de PII antes de enviar pra LLM (Claude)
• Cláusula de não-treinamento ativa com Anthropic
• Headers de segurança rigorosos (CSP, HSTS, X-CTO, Permissions-Policy)
• Detecção de vulnerabilidades em dependências (Snyk no CI)
• Bug bounty público em /security

Administrativas

• Runbook de incidente versionado em repositório interno
• Drill (simulação completa) trimestral
• Treinamento LGPD da equipe (incluindo terceirizados com acesso)
• Política interna de acesso ao banco vivo (just-in-time, ACL granular)
• Backups criptografados + teste de restore trimestral documentado

8. Transferência internacional

Vários sub-operadores estão fora do Brasil. A transferência se sustenta em cláusulas-padrão contratuais da ANPD Resolução CD/ANPD nº 19/2024, expressamente incorporadas a este DPA por referência (texto disponível no portal da ANPD).

Países de tratamento: EUA (Vercel, Supabase, Stripe, Resend, Anthropic, PostHog, Sentry, Axiom), Brasil (Pagar.me, edge Vercel BR), Global (Cloudflare).

9. Atendimento a titulares (DSAR)

Quando o titular do Controlador exerce direito do art. 18 LGPD, o Operador:

1. Recebe a solicitação via portal DSAR público do Controlador (privacidade.cliente.com.br/meus-dados)
2. Verifica identidade do titular via OTP + KBA + outros métodos configurados
3. Gera dry-run mostrando ao Controlador o que será afetado (em casos de eliminação)
4. Executa após aprovação do Controlador, via webhook configurado no app dele OU instruções manuais
5. Registra toda ação no audit trail

10. Resposta a incidentes

Em caso de incidente de segurança envolvendo dados do Controlador:

• Comunicação ao Controlador em até 24h após detecção (email + banner no painel)
• Informações: o que aconteceu, escopo, dados envolvidos, ação imediata, próximos passos
• Auxílio na elaboração da comunicação à ANPD (3 dias úteis pelo art. 48 + Resolução 15/2024)
• Acesso ao audit trail relevante
• Postmortem público em /trust/incidents após resolução

11. Auditoria

O Controlador pode auditar a conformidade do Operador via:

• Audit Kit (plano Studio+): PDF/A assinado com evidências do projeto dele
• Documentação pública: políticas em /trust
• Auditoria presencial: mediante aviso prévio de 30 dias, em horário comercial, sem interrupção do serviço, no estabelecimento do Operador. Custos arcados pelo Controlador. Limitada a 1 auditoria por ano salvo justa causa.

12. Vigência, alterações, rescisão

• Este DPA vigora enquanto durar a relação contratual entre Controlador e Operador
• Alterações materiais: aviso 30 dias antes; Controlador pode rescindir sem ônus no período
• Rescisão: Controlador pode rescindir a qualquer momento; Operador apenas em descumprimento grave

13. Disposições finais

• Em caso de conflito entre este DPA e os Termos de Uso, prevalece este DPA pra matéria de tratamento de dados
• Lei aplicável: legislação brasileira (LGPD, CC, CDC quando aplicável)
• Foro: a definir conforme sede do CNPJ; CDC preserva foro do domicílio do consumidor

Versões anteriores e changelog ficam em /dpa/changelog (em construção).