Data Processing Agreement (DPA)

"Dados Pessoais": qualquer informação relacionada a pessoa natural identificada ou identificável, conforme LGPD art. 5º, I e GDPR art. 4(1).

"Tratamento": toda operação realizada com Dados Pessoais.

"Titular": a pessoa natural a quem se referem os Dados Pessoais.

"Subprocessador": qualquer terceiro contratado pela Vectorspace para tratar Dados Pessoais em nome do Controlador.

"Incidente de Segurança": qualquer evento comprovado ou suspeito que resulte em acesso não autorizado, perda, destruição, alteração ou divulgação de Dados Pessoais.

Relativamente aos Dados Pessoais dos usuários finais do Controlador tratados no âmbito dos Serviços:

(a) Controlador: o CLIENTE é o Controlador, competindo-lhe definir as finalidades e os meios essenciais do tratamento.

(b) Operadora: a VECTORSPACE atua como Operadora, tratando os dados em nome do Controlador, conforme instruções documentadas deste e conforme previsto no Contrato e neste DPA.

(c) Dados de representantes e colaboradores: relativamente a dados de representantes legais e colaboradores do CLIENTE que acessem a plataforma, a VECTORSPACE atua como Controladora própria, observando sua Política de Privacidade.

(a) Natureza e finalidades: indexação de base de conhecimento; geração de respostas automatizadas via modelos de linguagem; produção de analytics agregados; operação, monitoramento e segurança da plataforma.

(b) Categorias de titulares: usuários finais que interagem com o widget ou Desk; colaboradores do Controlador com acesso ao Dashboard/Desk.

(c) Categorias de Dados Pessoais: conteúdo de mensagens, identificadores de sessão, endereço IP, user-agent, email corporativo, nome, função.

(d) Duração: pelo prazo de vigência do Contrato, acrescido dos 30 dias de retenção pós-contratual e dos prazos legais aplicáveis.

A Vectorspace obriga-se a:

(a) tratar os Dados Pessoais exclusivamente de acordo com instruções documentadas do Controlador e conforme as finalidades previstas;

(b) garantir que seus colaboradores estejam sujeitos a dever de confidencialidade;

(c) implementar e manter medidas técnicas e organizacionais apropriadas para a segurança dos dados (art. 46, LGPD);

(d) prestar assistência ao Controlador no atendimento de solicitações de titulares;

(e) prestar assistência ao Controlador em consultas e obrigações junto a autoridades de proteção de dados;

(f) comunicar ao Controlador, em até 48 horas após a ciência, qualquer Incidente de Segurança envolvendo seus dados;

(g) eliminar ou devolver os Dados Pessoais ao término do Contrato, conforme instrução do Controlador, salvo obrigação legal de retenção.

(a) Autorização geral. O Controlador, ao aceitar este DPA, autoriza de forma geral a Vectorspace a contratar Subprocessadores para a prestação dos Serviços.

(b) Categorias atuais de Subprocessadores:

– Provedor de modelo de linguagem (LLM): geração de respostas, EUA.

– Provedor de hospedagem de aplicação: execução da API, EUA.

– Provedor de banco de dados gerenciado: armazenamento, autenticação e persistência, EUA.

– Provedor de email transacional: envio de emails operacionais, EUA.

– Provedor de mensageria (quando aplicável ao add-on WhatsApp): envio e recebimento de mensagens, EUA.

– Provedor de hospedagem de sites: entrega do site e dashboards, EUA.

A lista detalhada dos Subprocessadores, contendo razão social, serviço prestado e região, é comunicada ao Controlador mediante solicitação formal ao DPO (hello@vectorspace.digital), conforme art. 46 da LGPD.

(c) Notificação de alterações. A Vectorspace notificará o Controlador com 30 dias de antecedência sobre qualquer adição ou substituição de Subprocessador. O Controlador poderá objetar, por escrito e com fundamentação razoável de proteção de dados, dentro desse prazo. Persistindo o impasse, o Controlador poderá rescindir o Contrato sem multa, limitadamente à parcela dos Serviços diretamente afetada pelo Subprocessador contestado.

(d) Obrigações de repasse. A Vectorspace impõe contratualmente aos Subprocessadores obrigações de proteção de dados não menos protetivas do que as deste DPA.

A Vectorspace adota, no mínimo, as seguintes medidas:

Controle de acesso: autenticação federada (email+senha + SSO), Role-Based Access Control (RBAC), princípio do menor privilégio.

Criptografia: TLS 1.2+ em trânsito; criptografia em repouso no armazenamento (padrão da indústria).

Isolamento multi-tenant: cada projeto possui cofre de conhecimento independente, sem compartilhamento de dados entre clientes. Políticas de acesso aplicadas no nível do banco de dados.

Registros de auditoria: logs de acesso administrativo, alterações de configuração e acessos a dados sensíveis.

Backups: backups periódicos com retenção mínima de 7 dias, gerenciados pelo provedor de banco.

Gestão de vulnerabilidades: monitoramento de dependências, atualizações regulares, dependência de provedores com certificações de segurança reconhecidas internacionalmente.

Resposta a incidentes: procedimento documentado de detecção, contenção, comunicação e análise pós-incidente.

A Vectorspace prestará assistência razoável ao Controlador para atendimento das requisições de titulares (acesso, correção, anonimização, eliminação, portabilidade, oposição) em prazo compatível com o exigido pela legislação aplicável.

Caso a Vectorspace receba diretamente uma requisição de titular de dados do Controlador, encaminhará ao Controlador sem demora injustificada e sem responder diretamente ao titular, salvo instrução expressa em contrário.

Os Dados Pessoais poderão ser transferidos para os Estados Unidos em razão dos Subprocessadores listados. A Vectorspace envida esforços para assegurar que tais transferências observem o art. 33 da LGPD e, quando aplicável, as salvaguardas previstas no GDPR (cláusulas contratuais padrão ou equivalentes adotadas pelos Subprocessadores).

Mediante solicitação formal com antecedência mínima de 30 (trinta) dias, a Vectorspace disponibilizará ao Controlador informações e documentação razoáveis para demonstrar conformidade com este DPA, preferencialmente sob a forma de respostas a questionários, cópias de certificações de Subprocessadores e relatórios operacionais.

Auditorias presenciais serão admitidas apenas mediante justificativa razoável, em horário comercial, com cobertura dos custos pelo Controlador, e observando salvaguardas que preservem a segurança da infraestrutura e dados de outros clientes da Vectorspace.

Ao término do Contrato, a Vectorspace manterá os Dados Pessoais por até 30 (trinta) dias para permitir extração/exportação pelo Controlador. Após esse prazo, os dados serão eliminados de forma irreversível dos sistemas da Vectorspace e dos Subprocessadores aplicáveis, salvo obrigações legais de retenção.

A pedido do Controlador e com antecedência razoável, a Vectorspace disponibilizará os dados em formato estruturado (CSV, JSON ou similar).

As responsabilidades das Partes por descumprimento deste DPA observam os limites e exclusões previstos no Contrato de Prestação de Serviços, exceto quanto a penalidades impostas por autoridades regulatórias por violação direta de obrigações próprias de cada Parte na qualidade de Controlador ou Operadora.

Este DPA vigora enquanto vigente o Contrato de Prestação de Serviços e sobrevive em relação às obrigações de retenção, eliminação, confidencialidade e notificação de incidentes.

Em caso de conflito entre este DPA e o Contrato, prevalecem as disposições deste DPA no que diz respeito ao tratamento de Dados Pessoais.