Acordo de Processamento de Dados (DPA) — LGPD
Versão 1.0 · Maio de 2026
Informações Organizacionais
Empresa: Única Soluções Financeiras e Educacionais Eireli
CNPJ: 19.322.105/0001-30
Sede: Rua Adolfo de Matos, 48, ap 01, Bairro Manoel Ribeiro Sobrinho, Caratinga-MG, CEP 35300-168
Contato DPO: suporte@tribomensagens.com.br
Preâmbulo
Este Acordo de Processamento de Dados (DPA) complementa os Termos de Uso da Tribo Mensagens e estabelece os termos sob os quais a Única Soluções opera dados pessoais em nome do Cliente, conforme a LGPD (Lei 13.709/2018). Entra em vigor automaticamente com a aceitação dos Termos de Uso.
1. Definições
- Controladora: Cliente que determina finalidades e meios do tratamento de dados pessoais (especialmente dos Destinatários inseridos na plataforma)
- Operadora: Única Soluções, que trata dados sob instruções da Controladora
- Dados Pessoais: informação relativa a pessoa natural identificada ou identificável
- Destinatários: contatos finais (leads, clientes, prospects) cujos dados são inseridos pela Controladora para disparo de mensagens
- Tratamento: coleta, armazenamento, consulta, uso, transmissão, modificação e exclusão
- Incidente de Segurança: acesso não autorizado, destruição, perda, alteração ou divulgação indevida
- ANPD: Autoridade Nacional de Proteção de Dados
- Suboperador: terceiro contratado pela Operadora para tratar dados
2. Objeto e Escopo do Tratamento
2.1 Objeto
A Operadora trata dados exclusivamente para viabilizar os serviços de disparo de WhatsApp em massa contratados (Anexo I).
2.2 Natureza do Tratamento
Armazenamento das listas de contatos, consulta para envio, checagem por IA em tempo real, envio ao Destinatário via sessão Baileys do Vendedor, registro de metadados de status, e exclusão ao término do contrato. O conteúdo das mensagens não é armazenado em produção — é processado em tempo real e descartado após envio.
2.3 Finalidade
Exclusivamente prestação de serviços de disparo de WhatsApp com camada anti-ban. A Operadora não usa dados para fins próprios, publicitários ou de desenvolvimento de produtos, exceto de forma completamente anonimizada e agregada.
2.4 Duração
Vigência do contrato + prazos de retenção pós-encerramento (seção 9).
2.5 Tipos de Dados Pessoais Tratados
- Nome, telefone (com WhatsApp), e-mail e demais campos inseridos pela Controladora para cada Destinatário
- Conteúdo das mensagens (processado em tempo real pela IA — não armazenado em produção)
- Metadados de campanha: data, hora, status de envio, motivo de pausa
2.6 Categorias de Titulares
- Leads, prospects e clientes da Controladora (Destinatários)
- Vendedores e colaboradores da Controladora que operam a plataforma
3. Obrigações da Operadora (Tribo Mensagens)
3.1 Tratar dados conforme instruções documentadas da Controladora.
3.2 Garantir confidencialidade da equipe autorizada.
3.3 Implementar e manter medidas técnicas e organizacionais de segurança (seção 6).
3.4 Não tratar dados além do necessário ao serviço.
3.5 Notificar a Controladora sobre incidentes em até 72 horas (seção 7).
3.6 Apoiar o atendimento a direitos dos titulares (seção 8).
3.7 Disponibilizar informações para demonstrar cumprimento (seção 10).
3.8 Excluir ou devolver dados ao final do contrato (seção 9).
3.9 Usar suboperadores apenas conforme autorizado (seção 5).
3.10 Não armazenar o conteúdo das mensagens enviadas em ambiente de produção.
4. Obrigações da Controladora (Cliente)
4.1 Garantir base legal adequada para tratar dados dos Destinatários conforme a LGPD (consentimento, legítimo interesse, execução de contrato, etc).
4.2 Garantir que os Destinatários foram devidamente informados sobre o tratamento e o uso de comunicações por WhatsApp.
4.3 Incluir mecanismo claro de opt-out nas mensagens disparadas (ex: "Responda SAIR pra parar").
4.4 Respeitar imediatamente solicitações de descadastramento dos Destinatários.
4.5 Inserir apenas dados precisos, necessários e proporcionais à finalidade.
4.6 Ser responsável primária por atender direitos dos titulares cujos dados a Controladora inseriu.
4.7 Notificar prontamente sobre uso indevido ou suspeita de incidente.
4.8 Garantir que seus Vendedores compreendam as responsabilidades no tratamento.
5. Suboperadores
5.1 Autorização Geral
A Controladora autoriza expressamente, mediante aceitação dos Termos de Uso, o uso dos suboperadores listados no Anexo II.
5.2 Notificação de Novos Suboperadores
A Operadora notificará a Controladora com 30 dias de antecedência sobre a inclusão de novos suboperadores. A Controladora pode se opor com justificativa razoável.
5.3 Responsabilidade
A Operadora mantém contratos com os suboperadores com obrigações equivalentes às deste DPA e permanece responsável pelo cumprimento.
6. Medidas de Segurança
Medidas Técnicas
| Medida | Descrição |
|---|---|
| Criptografia em trânsito | TLS 1.3 em todas as conexões |
| Criptografia em repouso | AES-256 para sessões Baileys e dados sensíveis |
| Hash de senhas | bcrypt com salt único por usuário (Supabase Auth) |
| Isolamento de dados | Row Level Security no PostgreSQL — impossível cruzar dados entre tenants |
| Controle de acesso | JWT com expiração + 2FA disponível |
| Proteção contra ataques | Rate limiting, sanitização de inputs, validação de schema |
| Monitoramento | Sentry para erros em produção, logs de auditoria por tenant |
| Backups | Diários automáticos com retenção de 30 dias |
| Não-armazenamento de conteúdo | Mensagens enviadas não são gravadas em produção — apenas metadados |
Medidas Organizacionais
| Medida | Descrição |
|---|---|
| Acesso restrito | Princípio do menor privilégio para equipe interna |
| Logs de auditoria | Registro de todas as ações administrativas sensíveis |
| Treinamento | Equipe treinada em segurança e LGPD |
| Revisão periódica | Anual ou após qualquer incidente significativo |
| Gestão de incidentes | Plano de resposta documentado |
7. Incidentes de Segurança
7.1 Detecção e Contenção
Ao identificar incidente, a Operadora tomará medidas imediatas de contenção e investigação.
7.2 Notificação à Controladora
Notificação em até 72 horas após confirmação do incidente, por e-mail, informando:
- Natureza do incidente
- Categorias e volume aproximado de dados afetados
- Possíveis consequências
- Medidas tomadas ou propostas para remediar
7.3 Notificação à ANPD
A Operadora apoiará a Controladora na notificação à ANPD quando exigida pela LGPD.
7.4 Investigação e Remediação
Após incidente, a Operadora conduzirá investigação completa e implementará melhorias para evitar recorrência.
8. Direitos dos Titulares
8.1 Responsabilidade Primária
A Controladora é responsável primária pelo atendimento a direitos dos titulares (especialmente Destinatários) que inseriu na plataforma.
8.2 Apoio da Operadora
A Operadora fornecerá acesso aos dados em até 10 dias úteis mediante solicitação por e-mail para suporte@tribomensagens.com.br.
8.3 Solicitações Diretas dos Titulares
Se um Destinatário contatar a Operadora diretamente, a solicitação será redirecionada à Controladora responsável. Solicitações de opt-out automáticas (resposta "SAIR" à mensagem) são processadas imediatamente pelo sistema sem intervenção humana.
9. Exclusão e Devolução de Dados
9.1 Ao Encerrar o Contrato
A Controladora pode solicitar exportação de todos os dados em formato CSV/Excel antes do encerramento.
9.2 Após o Encerramento
| Prazo | Ação |
|---|---|
| D+0 ao D+90 | Dados preservados — período de retenção pós-encerramento |
| D+90 | Dados de Destinatários e configurações excluídos permanentemente |
| D+0 | Sessões Baileys revogadas imediatamente após encerramento |
| 5 anos | Dados financeiros e fiscais retidos por obrigação legal |
| 6 meses | Logs de segurança e acesso excluídos |
9.3 Exclusão Antecipada
A Controladora pode solicitar exclusão antecipada por e-mail. A Operadora confirmará em até 15 dias úteis, exceto para dados com retenção obrigatória por lei.
10. Auditorias e Comprovações
10.1 Informações
A Operadora disponibilizará informações razoáveis para demonstrar cumprimento, mediante solicitação com antecedência mínima de 30 dias.
10.2 Auditorias
A Controladora poderá, com aviso prévio de 30 dias e no máximo 1 vez por ano, realizar auditoria razoável às próprias expensas, sem perturbar operações normais.
10.3 Certificações
A Operadora pode satisfazer solicitações fornecendo relatórios de auditoria de terceiros (certificações ISO ou SOC2, quando disponíveis).
11. Transferência Internacional de Dados
11.1 Suboperadores Internacionais
Os suboperadores listados no Anexo II estão localizados nos EUA e na União Europeia. Em especial, o conteúdo das mensagens é processado em tempo real pela Anthropic (EUA) para checagem anti-ban — sem armazenamento.
11.2 Garantias
Transferências realizadas com base em:
- Cláusulas contratuais padrão aprovadas pela ANPD ou equivalentes internacionais
- Certificações e programas de conformidade dos suboperadores
- Termos comerciais específicos de não-treinamento e não-armazenamento (Anthropic)
11.3 Dados Sensíveis
A Tribo Mensagens não é desenvolvida para armazenar dados sensíveis (art. 5º, II da LGPD). A Controladora é responsável por não inserir dados sensíveis sem base legal adequada.
12. Responsabilidade
12.1 Operadora
Responde por danos decorrentes do descumprimento de obrigações específicas previstas neste DPA ou da LGPD, nos limites dos Termos de Uso.
12.2 Controladora
Responde por danos decorrentes do tratamento que realizar, incluindo inserção de dados sem base legal, não atendimento a direitos dos titulares, falta de opt-out nas mensagens, ou uso em desconformidade com a legislação.
12.3 Responsabilidade Solidária
Quando ambas as partes contribuíram para dano, respondem solidariamente conforme art. 42 da LGPD.
13. Vigência e Rescisão
Este DPA entra em vigor na data de aceitação dos Termos de Uso e permanece vigente enquanto durar o contrato. É rescindido automaticamente com encerramento do contrato, permanecendo vigentes obrigações de confidencialidade e exclusão de dados.
14. Disposições Gerais
- Lei aplicável: LGPD (Lei 13.709/2018) e demais normas da legislação brasileira
- Prevalência: em caso de conflito entre este DPA e os Termos de Uso quanto a dados pessoais, prevalece este DPA
- Alterações: este DPA pode ser alterado mediante notificação com 30 dias de antecedência; uso continuado constitui aceitação
- Contato DPO: suporte@tribomensagens.com.br
15. Anexo I — Descrição das Atividades de Tratamento
| Elemento | Descrição |
|---|---|
| Finalidade | Prestação de serviços de disparo de WhatsApp em massa com camada anti-ban: armazenamento de listas de contatos, gestão de campanhas, checagem por IA antes do envio, envio via sessão Baileys do Vendedor |
| Natureza | Armazenamento de listas, consulta para envio, processamento por IA em tempo real (sem armazenamento de conteúdo), envio via Baileys, registro de metadados de status, exclusão ao término |
| Categorias de dados | Nome, telefone (com WhatsApp), e-mail e demais campos inseridos pela Controladora; metadados de campanha |
| Categorias especiais | Não tratados intencionalmente — Controladora é responsável por não inserir dados sensíveis sem base legal |
| Categorias de titulares | Destinatários (leads, prospects e clientes da Controladora); Vendedores da Controladora como usuários da plataforma |
| Duração | Vigência do contrato + prazos da seção 9 |
| Local | Brasil (Supabase São Paulo) e EUA/UE (demais suboperadores — Anexo II) |
16. Anexo II — Lista de Suboperadores
| Suboperador | Finalidade | País | Site |
|---|---|---|---|
| Supabase, Inc. | Banco de dados PostgreSQL, autenticação e armazenamento | Brasil / EUA | supabase.com |
| Cloudflare, Inc. | CDN, hospedagem da landing, DNS, proxy de segurança | Global | cloudflare.com |
| Banco Efi (Efí Bank) | Processamento de pagamentos (cartão de crédito, PIX, boleto) | Brasil | sejaefi.com.br |
| Anthropic, PBC | Modelos Claude para checagem anti-ban e reescrita de mensagens (processamento em tempo real, sem armazenamento) | EUA | anthropic.com |
| Brevo / Sendinblue | Envio de e-mails transacionais do sistema | França (UE) | brevo.com |
| Sentry, Inc. | Monitoramento de erros em produção (dados técnicos anonimizados) | EUA | sentry.io |
Esta lista pode ser atualizada pela Operadora com notificação prévia de 30 dias, conforme seção 5.2.
Última atualização: Maio de 2026