Acordo de Processamento de Dados (DPA)
Última atualização: 1 de junho de 2026
Este **Acordo de Processamento de Dados (Data Processing Agreement — DPA)** é parte integrante dos Termos de Serviço da plataforma **Qualifica Leads IA**, regulando as operações de tratamento de dados pessoais realizadas em nome de nossos Clientes.
O presente instrumento visa garantir o pleno cumprimento da **Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018)** e demais legislações de privacidade aplicáveis, estabelecendo as obrigações e direitos mútuos relativos à segurança jurídica no tratamento de dados comerciais.
1. Definições e Escopo
Para os fins deste DPA, aplicam-se os conceitos definidos pelo Artigo 5º da LGPD:
- Controlador: O Cliente da plataforma, a quem competem as decisões sobre o tratamento dos dados pessoais de seus leads, contatos e audiência do Instagram.
- Operador: A Qualifica Leads IA, que realiza o tratamento de dados pessoais sob as instruções diretas e exclusivas do Controlador, através do fornecimento de nossa infraestrutura de CRM e automação.
- Dados Pessoais sob Tratamento: Informações recebidas via Meta APIs (IDs de usuários do Instagram, handles/nomes de usuário, mensagens diretas, comentários em mídias, contatos telefônicos ou e-mails submetidos em fluxos de automação de captura) com o objetivo estrito de automatizar interações e alimentar o funil comercial do Controlador.
2. Diretrizes e Obrigações do Operador
Na qualidade de Operadora de Dados, a Qualifica Leads IA compromete-se a:
- Tratamento sob Instrução: Tratar os dados pessoais estritamente para as finalidades do software contratado e de acordo com as instruções documentadas do Controlador (incluindo parametrizações de fluxos de automação de DMs e triagens personalizadas de leads).
- Garantia de Confidencialidade: Garantir que todos os funcionários, colaboradores e prestadores de serviços autorizados a acessar os dados estejam sujeitos a termos estritos de confidencialidade técnica e jurídica.
- Apoio aos Direitos dos Titulares: Auxiliar o Controlador, através de ferramentas técnicas integradas no painel administrativo, a responder e cumprir as solicitações dos titulares dos dados para fins de acesso, retificação, exclusão ou portabilidade das informações comerciais registradas.
- Eliminação Definitiva: Eliminar permanentemente todos os dados pessoais do banco de dados (Supabase/PostgreSQL) após o encerramento do contrato de serviço SaaS ou mediante requisição formal do Controlador, salvo obrigações legais ou regulatórias de guarda de logs.
3. Padrões de Segurança da Informação
A Qualifica Leads IA implementa e mantém medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração ou difusão:
- Segurança Multi-tenant (Isolamento RLS): Utilização de políticas de Row-Level Security (RLS) no banco de dados Postgres corporativo para impedir estritamente qualquer contaminação cruzada de informações entre clientes.
- Criptografia Forte: Criptografia de ponta a ponta em trânsito via protocolo TLS 1.3/HTTPS e criptografia em repouso (AES-256) para toda a infraestrutura física de armazenamento de dados.
- Criptografia de Credenciais de Acesso: Todos os Tokens de Longa Duração (Meta APIs OAuth) são criptografados simetricamente no banco de dados usando o padrão industrial AES-256-GCM com rotação de chaves.
- Assinatura de Webhooks: Validação obrigatória da integridade de eventos via hash HMAC-SHA256 para eventos recebidos das APIs externas da plataforma Meta (Instagram).
4. Subprocessadores Autorizados (Sub-operadores)
O Controlador autoriza genericamente o Operador a contratar terceiros prestadores de infraestrutura e serviços (sub-operadores) necessários para a operacionalização estável do ecossistema de software SaaS. Os principais sub-operadores atuantes são:
| Sub-operador | Atividade Desempenhada | Localização |
|---|---|---|
| Supabase Inc. / AWS | Serviço de Banco de Dados Postgres (RLS) e infraestrutura de nuvem segura. | EUA / Brasil |
| Vercel Inc. | Hospedagem e distribuição CDN da aplicação e Landing Pages. | Distribuição Global (Edge) |
| Meta Platforms, Inc. | Intercâmbio de mensagens e eventos oficiais do Instagram via Webhooks. | Global |
5. Notificação de Incidentes de Segurança
O Operador compromete-se a monitorar ativamente sua infraestrutura contra brechas de dados. Caso seja identificado qualquer incidente de segurança confirmado que afete os dados pessoais geridos em nome do Controlador, o Operador enviará uma notificação formal via e-mail administrativo ao Controlador no prazo máximo de **48 horas** a contar da ciência do fato, contendo: a descrição do incidente, o volume estimado de dados afetados, as medidas de contenção adotadas e o ponto de contato para informações complementares.
6. Contato Jurídico e DPO
Qualquer requisição de auditoria, dúvidas contratuais sobre privacidade de dados, ou solicitações decorrentes do presente DPA devem ser direcionadas ao nosso Encarregado de Proteção de Dados (DPO) através do e-mail especializado:contato@qualificaleadsia.com.br.