Termo Aditivo de Protecao de Dados (DPA)

DRAFT — REVISAO JURIDICA OBRIGATORIA

Este documento e um rascunho inicial gerado como ponto de partida para revisao por advogado brasileiro especializado em SaaS/direito digital. Nao usar em producao sem revisao legal completa. Versao: DRAFT-0.1. Data: 2026-04-17.

Indice

  1. Partes e Preambulo
  2. Objeto
  3. Definicoes
  4. Papeis e Responsabilidades
  5. Instrucoes Documentadas
  6. Categorias de Dados e de Titulares (Anexo I)
  7. Confidencialidade
  8. Seguranca da Informacao
  9. Sub-Operadores Autorizados (Anexo II)
  10. Assistencia ao Controlador
  11. Direitos dos Titulares
  12. Relatorio de Impacto (DPIA)
  13. Notificacao de Incidentes
  14. Transferencia Internacional
  15. Auditoria e Prestacao de Contas
  16. Devolucao ou Eliminacao ao Fim do Contrato
  17. Duracao e Sobrevivencia
  18. Disposicoes Gerais
  19. Anexos

1. Partes e Preambulo

1.1. O presente Termo Aditivo de Protecao de Dados ("DPA") e parte integrante e indissociavel dos Termos de Uso da Plataforma Fluen ("TERMOS"), disponiveis em https://fluen.ia.br/legal/terms, celebrado entre:

  • FLUEN TECNOLOGIA LTDA., inscrita no CNPJ sob o n. [A PREENCHER PELO ADVOGADO], com sede em [A PREENCHER PELO ADVOGADO], doravante denominada "FLUEN" ou "OPERADORA"; e

  • a pessoa juridica que contratou a PLATAFORMA e aceitou os TERMOS, doravante denominada "CLIENTE" ou "CONTROLADOR";

conjuntamente denominadas "PARTES" e isoladamente "PARTE".

1.2. O DPA e celebrado em cumprimento ao disposto no art. 39 da Lei n. 13.709/2018 (Lei Geral de Protecao de Dados Pessoais — "LGPD"), que determina a adocao de instrumento que regule o tratamento de dados pessoais pelo OPERADOR em nome do CONTROLADOR.

1.3. O aceite dos TERMOS pelo CLIENTE implica, automaticamente, o aceite do presente DPA, sem necessidade de assinatura fisica ou ato juridico adicional, nos termos do art. 10, paragrafo 2, da Medida Provisoria n. 2.200-2/2001 e do art. 219 do Codigo Civil.

1.4. Em caso de conflito entre os TERMOS e o presente DPA, no que se refere especificamente a protecao de dados pessoais, prevalecerao as disposicoes do DPA.

1.5. Este DPA nao altera a alocacao comercial de responsabilidades entre as PARTES prevista nos TERMOS, mas estabelece as obrigacoes tecnicas e legais especificas do tratamento de dados pessoais.

2. Objeto

2.1. O presente DPA tem por objeto disciplinar o tratamento de DADOS PESSOAIS, pela FLUEN, em nome do CLIENTE, para fins de prestacao do SERVICO contratado, notadamente:

  • (i) armazenamento, processamento e transmissao de dados de CONTATOS via PLATAFORMA;
  • (ii) envio e recebimento de mensagens via WhatsApp pelo AGENTE IA configurado pelo CLIENTE;
  • (iii) processamento de dados por modelo de linguagem (IA) para geracao de respostas;
  • (iv) integracoes com sub-operadores necessarios a operacao;
  • (v) atividades acessorias, como geracao de relatorios, metricas, backups e logs de auditoria.

2.2. O tratamento ocorrera exclusivamente conforme as instrucoes documentadas do CLIENTE, nos limites deste DPA, dos TERMOS e da legislacao aplicavel.

2.3. O tratamento pela FLUEN, como OPERADORA, nao abrange:

  • (i) finalidades comerciais proprias da FLUEN, alheias a prestacao do SERVICO;
  • (ii) enriquecimento, revenda ou compartilhamento com TERCEIROS nao autorizados;
  • (iii) uso dos dados de CONTATOS para treinar modelos proprios da FLUEN;
  • (iv) perfilamento de titulares para fins publicitarios proprios.

3. Definicoes

3.1. Definicoes Principais. Os termos utilizados neste DPA, quando grafados com inicial maiuscula ou em caixa alta, terao os significados abaixo, no singular ou plural:

3.1.1. "AGENTE IA": agente automatizado baseado em inteligencia artificial generativa configurado pelo CLIENTE dentro da PLATAFORMA, que atua em nome do CLIENTE junto aos CONTATOS.

3.1.2. "ANPD": Autoridade Nacional de Protecao de Dados, orgao da administracao publica federal responsavel pela aplicacao e fiscalizacao da LGPD.

3.1.3. "CONTATO": pessoa fisica ou juridica titular do numero de telefone a quem as mensagens do AGENTE IA sao dirigidas.

3.1.4. "CONTROLADOR": o CLIENTE, responsavel pelas decisoes de tratamento dos DADOS PESSOAIS dos CONTATOS.

3.1.5. "DADOS PESSOAIS": conforme art. 5, I, da LGPD, qualquer informacao relacionada a pessoa natural identificada ou identificavel, tratada pela FLUEN em nome do CLIENTE.

3.1.6. "DADOS SENSIVEIS": conforme art. 5, II, da LGPD, dado pessoal sobre origem racial ou etnica, conviccao religiosa, opiniao politica, filiacao sindical, religiao, filosofia, dados referentes a saude, vida sexual, geneticos ou biometricos vinculados a pessoa natural.

3.1.7. "INCIDENTE DE SEGURANCA" ou "INCIDENTE": qualquer evento adverso, confirmado ou suspeito, relacionado a confidencialidade, integridade ou disponibilidade de DADOS PESSOAIS, que possa acarretar risco ou dano relevante aos titulares.

3.1.8. "LGPD": Lei n. 13.709, de 14 de agosto de 2018, e suas atualizacoes.

3.1.9. "OPERADOR" ou "OPERADORA": a FLUEN, responsavel pelo tratamento de DADOS PESSOAIS em nome do CLIENTE.

3.1.10. "PLATAFORMA" ou "SERVICO": solucao SaaS de propriedade da FLUEN, utilizada pelo CLIENTE para automacao de vendas via WhatsApp.

3.1.11. "SUB-OPERADOR": terceiro contratado pela FLUEN para executar, em seu nome, parte das operacoes de tratamento relacionadas ao SERVICO.

3.1.12. "TERMOS": os Termos de Uso da Plataforma Fluen, disponiveis em https://fluen.ia.br/legal/terms.

3.1.13. "TITULAR": pessoa natural a quem se referem os DADOS PESSOAIS objeto de tratamento.

3.1.14. "TRATAMENTO": conforme art. 5, X, da LGPD, toda operacao realizada com DADOS PESSOAIS.

4. Papeis e Responsabilidades

4.1. Qualificacao das PARTES. Para os fins deste DPA e da LGPD:

  • (i) o CLIENTE atua como CONTROLADOR dos DADOS PESSOAIS dos CONTATOS, definindo finalidades, bases legais, periodos de retencao, canais de atendimento a titulares e demais decisoes essenciais;
  • (ii) a FLUEN atua como OPERADORA, realizando o tratamento em nome do CLIENTE, nos limites das instrucoes e do objeto do SERVICO.

4.2. Obrigacoes do CONTROLADOR. Cabe ao CLIENTE, como CONTROLADOR:

  • (i) definir finalidades legitimas, especificas, explicitas e informadas ao titular;
  • (ii) garantir base legal adequada para cada tratamento (arts. 7 e 11 da LGPD);
  • (iii) informar adequadamente os titulares, observado o art. 9 da LGPD;
  • (iv) obter e gerenciar consentimentos, quando aplicavel, inclusive registros probatorios;
  • (v) atender os direitos dos titulares previstos no art. 18 da LGPD;
  • (vi) realizar, quando cabivel, Relatorio de Impacto a Protecao de Dados Pessoais (DPIA);
  • (vii) configurar corretamente o SERVICO, respeitando o principio da minimizacao;
  • (viii) somente carregar DADOS SENSIVEIS se dispuser de base legal especifica e salvaguardas adicionais;
  • (ix) nao carregar dados de criancas e adolescentes sem consentimento dos responsaveis (art. 14 da LGPD);
  • (x) manter relacao tempestiva com a ANPD e com titulares.

4.3. Obrigacoes do OPERADOR. Cabe a FLUEN, como OPERADORA:

  • (i) tratar DADOS PESSOAIS exclusivamente conforme instrucoes documentadas do CLIENTE;
  • (ii) aplicar as medidas tecnicas e administrativas de seguranca previstas neste DPA;
  • (iii) manter confidencialidade sobre os DADOS PESSOAIS;
  • (iv) notificar o CLIENTE sobre incidentes no prazo acordado;
  • (v) auxiliar o CLIENTE no atendimento a titulares e a ANPD;
  • (vi) manter registro das operacoes de tratamento realizadas em nome do CLIENTE;
  • (vii) eliminar ou devolver dados ao termino do contrato;
  • (viii) submeter-se a auditorias razoaveis pelo CLIENTE;
  • (ix) nao utilizar os dados para finalidades proprias, alheias ao SERVICO.

4.4. Responsabilidade Civil. As PARTES respondem, perante terceiros e autoridades, nos termos do art. 42 da LGPD, pelos danos patrimoniais, morais, individuais ou coletivos decorrentes de violacao da lei. As obrigacoes e limites de responsabilidade entre as PARTES seguem o disposto nos TERMOS (clausulas 13 e 14), respeitadas as normas cogentes.

4.5. Independencia. O fato de a FLUEN ser CONTROLADORA em relacao aos dados do proprio CLIENTE (dados cadastrais, faturamento, logs de acesso, USUARIOS) nao se confunde com o tratamento como OPERADORA dos dados dos CONTATOS, sendo tais relacoes regidas por regimes distintos.

5. Instrucoes Documentadas

5.1. Origem das Instrucoes. As instrucoes do CLIENTE a FLUEN sao compostas por:

  • (i) os presentes TERMOS e DPA;
  • (ii) as configuracoes realizadas pelo CLIENTE na PLATAFORMA (prompts, politicas, catalogos, regras, AGENTES IA);
  • (iii) as manifestacoes formais enderecadas pelo DPO do CLIENTE ao DPO da FLUEN;
  • (iv) eventuais acordos adicionais escritos entre as PARTES.

5.2. Limites. A FLUEN executara as instrucoes do CLIENTE, salvo quando:

  • (i) as instrucoes contrariem a LGPD ou demais normas aplicaveis;
  • (ii) as instrucoes violem politicas de sub-operadores (Meta/WhatsApp, Anthropic);
  • (iii) as instrucoes imponham risco desproporcional a seguranca da PLATAFORMA;
  • (iv) as instrucoes exijam recursos alem do PLANO contratado.

5.3. Notificacao. Identificada a impossibilidade de cumprir uma instrucao, a FLUEN notificara o CLIENTE em ate 10 (dez) dias uteis, explicitando os motivos e propondo, quando possivel, alternativa compativel.

5.4. Registro. A FLUEN mantera registro eletronico das instrucoes relevantes e das respostas formais trocadas, pelo prazo minimo de 5 (cinco) anos.

5.5. Alteracao de Instrucoes. O CLIENTE podera alterar suas instrucoes, observando mecanismos de canal oficial (DPO-para-DPO ou painel da PLATAFORMA). Instrucoes com impacto operacional significativo exigem prazo razoavel de implementacao, a ser acordado entre as PARTES.

6. Categorias de Dados e de Titulares (Anexo I)

6.1. A descricao detalhada das categorias de dados pessoais, categorias de titulares, finalidades, natureza das operacoes e periodos de retencao consta do Anexo I ao final deste DPA, que poderao ser atualizadas conforme evolucao da PLATAFORMA, mediante comunicacao ao CLIENTE.

6.2. As categorias tipicas abrangem:

  • Titulares: CONTATOS (leads, prospects, clientes finais do CLIENTE); USUARIOS do CLIENTE;
  • Dados de identificacao: nome, numero de telefone/celular, e-mail (quando fornecido);
  • Dados de comunicacao: conteudo de mensagens, audios transcritos, imagens, documentos, metadata de WhatsApp;
  • Dados de comportamento: status de resposta, engajamento, tags, etapas de funil;
  • Dados de perfil inferido pelo AGENTE IA: preferencias, estagio de compra, categorias de interesse;
  • Dados tecnicos: IDs de sessao, identificadores de dispositivo, timestamps;
  • Dados cadastrais do CLIENTE: razao social, CNPJ, contatos, dados de faturamento;
  • Dados dos USUARIOS: nome, e-mail corporativo, papel, logs de acesso.

6.3. Vedacoes. O CLIENTE obriga-se a nao carregar, salvo base legal especifica e salvaguardas adicionais:

  • (i) DADOS SENSIVEIS;
  • (ii) dados de criancas e adolescentes;
  • (iii) dados que excedam a finalidade contratada (principio da minimizacao);
  • (iv) dados de pessoas sem base legal aplicavel.

7. Confidencialidade

7.1. A FLUEN garante que toda pessoa fisica sob seu controle (funcionarios, prestadores, estagiarios, consultores) que tenha acesso a DADOS PESSOAIS:

  • (i) assinou termo de confidencialidade com clausulas de protecao de dados;
  • (ii) recebeu treinamento inicial e periodico em LGPD e seguranca da informacao;
  • (iii) acessa os dados apenas no limite do necessario ao cumprimento de suas funcoes (need-to-know);
  • (iv) responde civil e criminalmente em caso de violacao.

7.2. A FLUEN adota controles administrativos para prevenir acesso indevido, incluindo:

  • revisao periodica de permissoes;
  • revogacao imediata em casos de offboarding;
  • logs detalhados de acesso administrativo;
  • autenticacao multifator para acessos privilegiados;
  • separacao de funcoes (segregation of duties).

7.3. As obrigacoes de confidencialidade sobreviverao ao termino da relacao de trabalho ou prestacao de servico, bem como ao termino deste DPA, pelo prazo minimo de 5 (cinco) anos.

8. Seguranca da Informacao

8.1. A FLUEN adotara medidas tecnicas e administrativas compativeis com o estado da arte, a natureza dos dados, o contexto do tratamento, os riscos envolvidos e o padrao de mercado SaaS.

8.1.1. Medidas Tecnicas Minimas

  • criptografia em transito (TLS 1.2 ou superior) em todas as comunicacoes entre PLATAFORMA, CLIENTE, sub-operadores e CONTATOS;
  • criptografia em repouso (AES-256) para chaves de API, senhas, tokens e dados sensiveis armazenados;
  • hashing de senhas com bcrypt, argon2 ou algoritmo equivalente reconhecido;
  • Row Level Security (RLS) no PostgreSQL, garantindo isolamento logico entre tenants;
  • autenticacao multifator (MFA) obrigatoria para acessos administrativos;
  • firewall e grupos de seguranca em camada de rede;
  • hardening de sistemas operacionais e imagens Docker;
  • gestao de vulnerabilidades com atualizacoes tempestivas (patch management);
  • deteccao de intrusao (IDS/IPS) ou servico equivalente;
  • monitoramento de logs de auditoria com retencao minima legal;
  • backups diarios criptografados, com teste periodico de restauracao;
  • segregacao de ambientes (producao / homologacao / desenvolvimento);
  • protecao contra DDoS em camada de rede;
  • WAF (web application firewall) quando aplicavel.

8.1.2. Medidas Administrativas Minimas

  • politica interna formal de seguranca da informacao aprovada pela administracao;
  • politica de classificacao de dados;
  • processo de gestao de acesso (provisionamento, revisao, revogacao);
  • programa de treinamento e conscientizacao periodica em LGPD e seguranca;
  • termos de confidencialidade e responsabilidade assinados por equipe e sub-operadores;
  • plano formal de resposta a incidentes;
  • plano de continuidade de negocios (BCP) e recuperacao de desastre (DRP);
  • avaliacao periodica de riscos;
  • testes de penetracao periodicos em escopos relevantes;
  • revisao anual dos controles pelo DPO.

8.2. Evolucao. A FLUEN compromete-se a evoluir seus controles em direcao a frameworks internacionais reconhecidos (ISO/IEC 27001, SOC 2 Type II, CIS Controls, NIST), sendo que a fase alpha pode limitar a formalizacao plena.

8.3. Testes e Avaliacoes. A FLUEN realizara, com periodicidade minima anual, avaliacao da efetividade das medidas de seguranca, com plano de acao para correcao de deficiencias.

8.4. Minimizacao. Sempre que possivel, a FLUEN utilizara tecnicas de anonimizacao ou pseudonimizacao, especialmente para fins de analise agregada, testes e desenvolvimento.

9. Sub-Operadores Autorizados (Anexo II)

9.1. Autorizacao Geral. O CLIENTE autoriza a FLUEN a contratar, em seu nome, SUB-OPERADORES necessarios a prestacao do SERVICO, desde que observadas as condicoes deste DPA.

9.2. Lista Atual. A lista atualizada de SUB-OPERADORES consta do Anexo II e em https://fluen.ia.br/legal/sub-operadores, abrangendo, na data de vigencia desta versao:

SUB-OPERADOR Finalidade Pais sede
Anthropic, PBC Processamento de IA (modelo Claude) para respostas do AGENTE IA Estados Unidos
Meta Platforms, Inc. / WhatsApp Ireland Ltd. Transmissao de mensagens na rede WhatsApp Irlanda / EUA
Evolution API (ou provedor homologado) Gateway de comunicacao entre PLATAFORMA e WhatsApp Brasil
Stripe, Inc. Processamento de pagamentos do CLIENTE (nao alcanca dados dos CONTATOS) Estados Unidos
Hostinger International Ltd. / Easypanel Hospedagem de infraestrutura (VPS, Docker Swarm) UE / EUA
Sentry.io (Functional Software, Inc.) ou equivalente Observabilidade de erros e monitoramento tecnico Estados Unidos
n8n GmbH Automacoes e integracoes habilitadas pelo CLIENTE Alemanha/UE
Google Workspace (Google LLC) E-mail corporativo, drive, agenda para equipe da FLUEN Estados Unidos

9.3. Obrigacoes Minimas dos SUB-OPERADORES. A FLUEN celebrara com cada SUB-OPERADOR contrato escrito, ou aderira aos termos contratuais do SUB-OPERADOR quando se tratar de servico massificado (click-through), exigindo obrigacoes compativeis com:

  • confidencialidade;
  • seguranca da informacao;
  • restricao de finalidade;
  • notificacao de incidentes em prazo razoavel;
  • cooperacao com direitos dos titulares;
  • transferencia internacional com salvaguardas;
  • devolucao ou eliminacao de dados ao termino.

9.4. Avaliacao Previa. Antes de contratar novo SUB-OPERADOR, a FLUEN avaliara aspectos de seguranca, privacidade, localidade, idoneidade financeira e reputacao.

9.5. Alteracoes. A FLUEN notificara o CLIENTE, com antecedencia minima de 15 (quinze) dias, sobre a inclusao ou substituicao de SUB-OPERADOR relevante, mediante:

9.6. Direito de Objecao. O CLIENTE podera, dentro de 15 (quinze) dias do aviso, manifestar objecao fundamentada a inclusao ou substituicao de SUB-OPERADOR. Persistindo a objecao, e nao havendo alternativa viavel, o CLIENTE podera rescindir o DPA e os TERMOS sem onus, resguardadas as obrigacoes ja vencidas.

9.7. Responsabilidade. A FLUEN permanece responsavel perante o CLIENTE pelas acoes e omissoes de seus SUB-OPERADORES, observados os limites dos TERMOS e da legislacao aplicavel.

10. Assistencia ao Controlador

10.1. A FLUEN prestara assistencia razoavel ao CLIENTE em relacao a suas obrigacoes como CONTROLADOR, no que diz respeito ao SERVICO, especialmente:

  • (i) atendimento a direitos dos titulares (art. 18 da LGPD);
  • (ii) realizacao de Relatorios de Impacto a Protecao de Dados (DPIA), fornecendo informacoes tecnicas relevantes;
  • (iii) comunicacao com a ANPD;
  • (iv) resposta a investigacoes, requisicoes e incidentes;
  • (v) elaboracao de registros de operacoes de tratamento (art. 37 da LGPD).

10.2. Escopo Razoavel. A assistencia abrange suporte tecnico e informacional disponivel nos recursos internos da PLATAFORMA, sem implicar em encargo desproporcional ou em substituicao do papel do DPO do CLIENTE.

10.3. Remuneracao. Assistencias que excedam o escopo razoavel e cuja execucao demande esforco tecnico relevante poderao ser remuneradas mediante acordo previo, com base em tabela de horas tecnicas da FLUEN.

10.4. Canais. As solicitacoes de assistencia devem ser enderecadas ao DPO da FLUEN (dpo@fluen.ia.br), preferencialmente a partir do DPO do CLIENTE, com descricao clara da situacao, prazos e documentos relevantes.

11. Direitos dos Titulares

11.1. Titulares CONTATOS. Solicitacoes de titulares-CONTATOS relativas a dados tratados pela FLUEN em nome do CLIENTE serao, regra geral, direcionadas ao CLIENTE, CONTROLADOR primario.

11.2. Encaminhamento. Caso a FLUEN receba diretamente de um CONTATO uma solicitacao que se refira a dados do CLIENTE:

  • (i) confirmara o recebimento ao titular;
  • (ii) encaminhara a solicitacao ao CLIENTE em ate 05 (cinco) dias uteis;
  • (iii) prestara suporte operacional para o atendimento.

11.3. Suporte Operacional. A FLUEN disponibiliza na PLATAFORMA, ou via DPO, recursos para que o CLIENTE possa:

  • (i) confirmar existencia de dados do titular;
  • (ii) exportar dados do titular;
  • (iii) corrigir dados;
  • (iv) eliminar ou anonimizar dados;
  • (v) atender a direito de oposicao;
  • (vi) revogar consentimentos.

11.4. Prazos. A FLUEN cumprira sua parcela operacional dentro dos prazos do CLIENTE, que devem ser compativeis com o prazo legal de 15 (quinze) dias, salvo prorrogacoes previstas em lei.

11.5. Registro. Todas as solicitacoes processadas serao registradas, com identificacao, data, natureza, prazo e resposta.

12. Relatorio de Impacto (DPIA)

12.1. O CLIENTE, como CONTROLADOR, e responsavel pela decisao sobre a necessidade e elaboracao do Relatorio de Impacto a Protecao de Dados Pessoais (DPIA), conforme art. 38 da LGPD.

12.2. Colaboracao. Quando solicitado pelo CLIENTE, a FLUEN fornecera, dentro do seu escopo de conhecimento:

  • (i) descricao das operacoes de tratamento realizadas pela PLATAFORMA;
  • (ii) fluxos de dados (data mapping);
  • (iii) categorias de sub-operadores;
  • (iv) medidas tecnicas e de seguranca adotadas;
  • (v) padroes de retencao e eliminacao;
  • (vi) informacoes sobre transferencia internacional.

12.3. Limite. A FLUEN nao substituira o CLIENTE na elaboracao do DPIA, nem assumira a analise de risco sob a perspectiva do CLIENTE, cabendo a este a apreciacao final.

13. Notificacao de Incidentes

13.1. Definicao. Considera-se INCIDENTE DE SEGURANCA qualquer evento adverso, confirmado ou suspeito, que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da LGPD.

13.2. Detecao e Resposta. A FLUEN adotara processo formal de deteccao, triagem, contencao, erradicacao, recuperacao e comunicacao de incidentes, disponivel documentalmente.

13.3. Prazo de Notificacao ao CLIENTE. A FLUEN notificara o CLIENTE, em ate 48 (quarenta e oito) horas a partir do momento em que tomar ciencia de INCIDENTE que afete os DADOS PESSOAIS tratados em nome do CLIENTE.

13.4. Canal. A notificacao sera enviada:

  • (i) por e-mail aos contatos administrativos do CLIENTE e a eventual DPO cadastrado;
  • (ii) por publicacao no painel da PLATAFORMA, em area destacada;
  • (iii) por canais emergenciais (telefone, WhatsApp, em casos de alta gravidade).

13.5. Conteudo Minimo da Notificacao. A notificacao conterá:

  • (i) descricao da natureza do INCIDENTE;
  • (ii) categorias e numero estimado de titulares afetados;
  • (iii) categorias e numero estimado de registros afetados;
  • (iv) avaliacao preliminar de riscos aos titulares;
  • (v) medidas tecnicas e de seguranca adotadas para contencao e mitigacao;
  • (vi) recomendacoes para o CLIENTE em relacao aos titulares e a ANPD;
  • (vii) contato do DPO da FLUEN para esclarecimentos adicionais.

13.6. Atualizacoes. A FLUEN prestara atualizacoes periodicas conforme evoluir o tratamento do INCIDENTE e dos fatos apurados.

13.7. Comunicacao a ANPD e aos Titulares. Como OPERADORA, a FLUEN nao fara comunicacao direta a ANPD ou aos titulares, salvo determinacao legal ou autorizacao expressa do CLIENTE (CONTROLADOR). Cabera ao CLIENTE avaliar e proceder as comunicacoes devidas, com apoio operacional da FLUEN.

13.8. Registro. A FLUEN mantera registro detalhado de todos os incidentes, com analise de causa raiz, plano de acao e evidencias de correcao, pelo prazo minimo de 5 (cinco) anos.

13.9. Cooperacao. As PARTES cooperarao em boa-fe para minimizar os efeitos do INCIDENTE e proteger os titulares.

14. Transferencia Internacional

14.1. Necessidade. Em razao da natureza distribuida do SERVICO, determinados DADOS PESSOAIS serao tratados em paises estrangeiros, notadamente nos Estados Unidos, Irlanda e Alemanha, pelas razoes descritas na clausula 9 (SUB-OPERADORES).

14.2. Autorizacao. O CLIENTE autoriza expressamente tais transferencias internacionais, desde que observadas as salvaguardas previstas nesta clausula e no art. 33 da LGPD.

14.3. Salvaguardas. A FLUEN adotara salvaguardas apropriadas, tais como:

  • (i) clausulas contratuais especificas com SUB-OPERADORES, com obrigacoes equivalentes a LGPD;
  • (ii) clausulas-padrao (SCCs) inspiradas na regulacao europeia, como referencia;
  • (iii) acompanhamento de decisoes de adequacao publicadas pela ANPD;
  • (iv) anonimizacao ou pseudonimizacao quando tecnicamente viavel.

14.4. Transparencia. A lista de SUB-OPERADORES e paises de destino esta sempre disponivel em https://fluen.ia.br/legal/sub-operadores.

14.5. Restricoes. Na hipotese de a ANPD ou legislacao superveniente vedar determinadas transferencias, a FLUEN envidara esforcos razoaveis para adequar seus fluxos e, se nao for possivel, notificara o CLIENTE, que podera rescindir o DPA sem onus.

15. Auditoria e Prestacao de Contas

15.1. Direito de Auditoria. O CLIENTE podera auditar o cumprimento, pela FLUEN, das obrigacoes deste DPA, uma vez por ano civil, salvo em situacoes de incidente relevante, quando o direito podera ser exercido em prazo menor.

15.2. Procedimento. A auditoria observara:

  • (i) aviso previo por escrito de ao menos 30 (trinta) dias;
  • (ii) plano de auditoria com escopo, metodologia e cronograma acordados entre as PARTES;
  • (iii) execucao em dias uteis, horario comercial, sem prejuizo das operacoes da FLUEN;
  • (iv) compromisso de confidencialidade absoluto, com assinatura de NDA especifico pelos auditores;
  • (v) preservacao do sigilo de informacoes relativas a outros clientes da FLUEN.

15.3. Auditoria por TERCEIROS. O CLIENTE podera contratar empresa de auditoria independente, de reputacao reconhecida, que nao seja concorrente direta da FLUEN, sob o mesmo regime de confidencialidade.

15.4. Relatorios Alternativos. Em substituicao a auditoria in loco, a FLUEN disponibilizara, quando existentes:

  • (i) relatorios SOC 2 Type I/II;
  • (ii) certificados ISO/IEC 27001 ou 27701;
  • (iii) relatorios de pentest resumidos;
  • (iv) questionarios de seguranca respondidos (ex.: CAIQ).

15.5. Custos. As despesas da auditoria (honorarios, deslocamentos, hospedagem) correrao por conta do CLIENTE, salvo na hipotese de constatacao de violacao substancial, quando poderao ser ressarcidas.

15.6. Correcao. Em caso de nao conformidade, a FLUEN apresentara plano de acao em ate 30 (trinta) dias e efetivara as correcoes em prazo razoavel, proporcional a complexidade da providencia.

15.7. Requisicoes de Autoridades. Autoridades (ANPD, Judiciario, Ministerio Publico) poderao realizar fiscalizacoes conforme competencia legal. A FLUEN cooperara, ressalvada a preservacao de segredos de negocio e informacoes de outros clientes.

16. Devolucao ou Eliminacao ao Fim do Contrato

16.1. Termino do SERVICO. Encerrada a relacao contratual entre FLUEN e CLIENTE, por qualquer motivo, aplicar-se-ao as seguintes providencias em relacao aos DADOS PESSOAIS tratados pela FLUEN como OPERADORA:

16.2. Periodo de Retencao Pos-Termino. Durante 90 (noventa) dias apos o encerramento, a FLUEN mantera os DADOS em ambiente restrito, para:

  • (i) atender a eventuais solicitacoes de exportacao pelo CLIENTE;
  • (ii) responder a requisicoes judiciais ou administrativas;
  • (iii) recuperar informacoes em caso de incidente.

16.3. Exportacao. O CLIENTE podera, dentro do periodo de 90 (noventa) dias:

  • (i) exportar seus dados em formatos legiveis por maquina (JSON, CSV, XML), via recursos da PLATAFORMA;
  • (ii) requisitar ao DPO da FLUEN exportacao especifica, mediante justificativa e eventual custo administrativo;
  • (iii) solicitar transferencia direta a novo provedor, mediante acordo especifico.

16.4. Eliminacao. Transcorrido o periodo de 90 (noventa) dias, a FLUEN procedera a eliminacao definitiva dos DADOS PESSOAIS tratados em nome do CLIENTE, incluindo:

  • (i) sistemas de producao;
  • (ii) copias em replicas e bancos de leitura;
  • (iii) backups, conforme ciclo tecnico de rotacao;
  • (iv) caches e filas de processamento.

16.5. Excecoes a Eliminacao. A FLUEN podera conservar:

  • (i) registros obrigatorios por lei (notas fiscais, livros contabeis);
  • (ii) logs de acesso exigidos pelo Marco Civil da Internet;
  • (iii) dados necessarios ao exercicio regular de direitos em processos;
  • (iv) dados anonimizados.

16.6. Atestado de Eliminacao. Mediante solicitacao, a FLUEN emitira atestado formal de eliminacao dos DADOS PESSOAIS, descrevendo o escopo, a metodologia e a data.

17. Duracao e Sobrevivencia

17.1. Vigencia. O presente DPA vigora pelo mesmo prazo dos TERMOS, encerrando-se automaticamente com o termino destes, ressalvadas as clausulas com vocacao de sobrevivencia.

17.2. Sobrevivencia. Permanecerao em vigor apos o termino, pelos prazos respectivos, as clausulas relativas a:

  • confidencialidade (clausula 7);
  • seguranca de dados conservados (clausula 8);
  • notificacao de incidentes referentes ao periodo contratual (clausula 13);
  • auditoria relativa a fatos ocorridos durante a vigencia (clausula 15);
  • eliminacao e atestados (clausula 16);
  • responsabilidade civil pelos atos praticados durante a vigencia, pelo prazo prescricional legal.

18. Disposicoes Gerais

18.1. Integralidade e Hierarquia. Este DPA integra os TERMOS e, juntos, expressam o acordo integral entre as PARTES em relacao a protecao de dados. Em caso de conflito, o DPA prevalece no tocante a dados pessoais.

18.2. Alteracoes. As alteracoes ao DPA seguirao o procedimento previsto na clausula 16 dos TERMOS (notificacao 15 dias, re-aceite, direito de rescisao sem onus do CLIENTE que discordar).

18.3. Lei Aplicavel e Foro. Aplicam-se a este DPA a lei brasileira e o foro previsto nos TERMOS.

18.4. Nao Cessao. O CLIENTE nao podera ceder este DPA a TERCEIROS sem autorizacao escrita da FLUEN. A FLUEN podera ceder em operacoes societarias, mediante comunicacao.

18.5. Assinatura Eletronica. As PARTES reconhecem a validade da assinatura eletronica e do aceite por clique para fins deste DPA, nos termos da MP 2.200-2/2001 e da Lei n. 14.063/2020.

18.6. Divisibilidade. A invalidade de clausula isolada nao afeta as demais.

18.7. Tolerancia. A tolerancia de uma PARTE em relacao a descumprimento da outra nao importa renuncia, novacao ou modificacao deste DPA.

18.8. Boa-Fe. As PARTES cooperarao em boa-fe para o cumprimento deste DPA, respeitando a proporcionalidade, a razoabilidade e a natureza SaaS do SERVICO.

19. Anexos

Anexo I — Descricao do Tratamento de Dados Pessoais

Categorias de Titulares:

  • CONTATOS (leads, prospects, clientes finais do CLIENTE) — pessoas fisicas ou juridicas titulares de numeros de telefone cadastrados ou contatados atraves da PLATAFORMA;
  • USUARIOS da PLATAFORMA (funcionarios e prestadores do CLIENTE autorizados).

Categorias de Dados Pessoais tratados em nome do CLIENTE:

  • dados de identificacao: nome completo (quando fornecido ou inferido), numero de telefone/celular;
  • dados de contato: e-mail (opcional), endereco (opcional);
  • dados de comunicacao: conteudo integral das mensagens (texto, audio transcrito, imagem, documento), metadata do WhatsApp (timestamp, status, ID);
  • dados de comportamento: tags, categorizacoes, etapa de funil, status de qualificacao;
  • dados inferidos pela IA: sumarizacoes, classificacoes, interesses aparentes;
  • dados tecnicos: IP (quando aplicavel), identificadores de sessao.

Finalidades:

  • automacao de prospeccao, qualificacao, conversacao e follow-up de vendas;
  • geracao de respostas pelo AGENTE IA;
  • registro e recuperacao de conversas;
  • analises e relatorios operacionais para o CLIENTE.

Natureza das operacoes:

  • coleta, recepcao, armazenamento, processamento, transmissao, exibicao, modificacao, exclusao.

Periodos de retencao padrao:

  • conforme instrucao do CLIENTE, padrao 12 meses apos ultimo acesso;
  • logs de auditoria: minimo legal;
  • apos rescisao: 90 dias e eliminacao, conforme clausula 16.

Anexo II — Lista de Sub-Operadores Autorizados

SUB-OPERADOR Escopo Categorias de Dados Pais sede
Anthropic, PBC Processamento de IA para geracao de respostas Conteudo de conversas, contexto, configuracoes EUA
Meta / WhatsApp Rede de mensageria Numero, conteudo de mensagens, metadata Irlanda / EUA
Evolution API (homologado) Gateway WhatsApp Numero, conteudo de mensagens, metadata Brasil
Stripe, Inc. Pagamento do CLIENTE Dados do CLIENTE (nao dos CONTATOS) EUA
Hostinger / Easypanel Hospedagem Todos UE / EUA
Sentry Erros tecnicos Stack traces, identificadores de sessao EUA
n8n Automacoes Conforme configuracao do CLIENTE Alemanha
Google Workspace E-mail / drive Dados internos da FLUEN EUA

Versao dinamica disponivel em https://fluen.ia.br/legal/sub-operadores.

Anexo III — Contatos para Privacidade

FLUEN TECNOLOGIA LTDA. CNPJ: [A PREENCHER PELO ADVOGADO] Endereco: [A PREENCHER PELO ADVOGADO]

Encarregado pelo Tratamento de Dados Pessoais (DPO) Nome: [A PREENCHER PELO ADVOGADO] E-mail: dpo@fluen.ia.br Telefone: [A PREENCHER PELO ADVOGADO]

Canais gerais E-mail: contato@fluen.ia.br Site: https://fluen.ia.br Politica de Privacidade: https://fluen.ia.br/legal/privacy Termos de Uso: https://fluen.ia.br/legal/terms Sub-Operadores: https://fluen.ia.br/legal/sub-operadores

Versao: DRAFT-0.1 — 2026-04-17