PT
Acordo de tratamento de dados
Partes
Controlador de dados (Cliente): A entidade que concordou com os Termos de uso da Suunta.ai e utiliza os Serviços.
Processador de dados (Suunta.ai): Y4 Works Oy, Business ID: 2978296-6, Endereço: Finlândia, Email: privacy@suunta.ai
1. Definições
- Dados pessoais significa qualquer informação relacionada a uma pessoa natural identificada ou identificável, conforme definido no Artigo 4(1) do GDPR.
- Processamento significa qualquer operação ou conjunto de operações realizadas sobre Dados pessoais, conforme definido no Artigo 4(2) do GDPR.
- Titular de dados significa a pessoa natural identificada ou identificável a quem os Dados pessoais se referem.
- Subcontratante significa qualquer terceiro contratado pela Suunta.ai para processar Dados pessoais em nome do Cliente.
- Serviços significa a plataforma Suunta.ai e serviços relacionados conforme descritos nos Termos de uso.
- GDPR significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (Regulamento Geral sobre a Proteção de Dados).
- Standard Contractual Clauses (SCCs) significa as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros adotadas pela Comissão Europeia.
- Incidente de segurança significa qualquer destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados pessoais.
2. Escopo e finalidade
2.1 Escopo Este DPA se aplica a todo o Processamento de Dados pessoais pela Suunta.ai em nome do Cliente em conexão com os Serviços.
2.2 Papéis O Cliente atua como Controlador de dados. A Suunta.ai atua como Processador de dados. Quando a Suunta.ai determina as finalidades e meios de processamento (por exemplo, para análises de melhoria do serviço), a Suunta.ai atua como Controlador independente e processará tais dados de acordo com sua Política de privacidade.
2.3 Finalidade do processamento A Suunta.ai processa Dados pessoais exclusivamente para fornecer os Serviços conforme descritos nos Termos de uso, incluindo:
- Gestão de contas de usuário e autenticação
- Fornecimento de recursos de planejamento estratégico com IA
- Processamento e armazenamento de dados empresariais enviados pelos Usuários
- Geração de análises e recomendações assistidas por IA
- Faturamento e gestão de assinaturas
- Suporte ao cliente
- Segurança do serviço e prevenção de abusos
3. Categorias de dados e titulares
3.1 Categorias de titulares de dados
- Empregados e contratados do Cliente que usam os Serviços
- Outras pessoas cujos Dados pessoais são enviados aos Serviços pelo Cliente
3.2 Categorias de Dados pessoais
| Categoria | Elementos de dados | Finalidade |
|---|---|---|
| Dados de conta | Nome, email, telefone (opcional), cargo, função | Identificação e acesso do usuário |
| Dados de autenticação | Hash de senha, identificadores SSO, dados de sessão | Acesso seguro |
| Dados da organização | Nome da organização, país, cidade, setor, tamanho | Personalização do serviço |
| Dados de uso | Endereço IP, user agent, timestamps de login, logs de atividade | Segurança e auditoria |
| Dados empresariais | Documentos estratégicos, OKR, KPI, projetos, tarefas | Entrega principal do serviço |
| Dados de comunicação | Mensagens de chat, interações de IA | Recursos do serviço |
| Dados de faturamento | Stripe Customer ID, detalhes de assinatura | Processamento de pagamentos |
3.3 Categorias especiais de dados O Cliente concorda em não enviar categorias especiais de Dados pessoais (conforme definido no Artigo 9 do GDPR) aos Serviços sem o consentimento prévio por escrito da Suunta.ai.
4. Obrigações do Processador
4.1 Instruções de processamento A Suunta.ai processará Dados pessoais apenas conforme instruções documentadas do Cliente, informará o Cliente se uma instrução infringir o GDPR e garantirá que pessoas autorizadas estejam sujeitas a confidencialidade.
4.2 Medidas de segurança
| Medida | Implementação |
|---|---|
| Criptografia em repouso | AES-256 (AWS RDS) |
| Criptografia em trânsito | TLS 1.2+ |
| Controle de acesso | Acesso baseado em função, isolamento por organização |
| Autenticação | Hashing de senha (PBKDF2-SHA256), gestão de sessão |
| Registro de auditoria | Registro completo de atividades com políticas de retenção |
| Backup | Backups diários automatizados com recuperação point-in-time |
| Infraestrutura | AWS UE (Estocolmo, eu-north-1) |
4.3 Subprocessamento A Suunta.ai pode contratar Subcontratantes sujeitos às condições da Seção 6.
4.4 Assistência ao Controlador A Suunta.ai assistirá o Cliente a responder solicitações dos titulares de dados, garantindo conformidade com os Artigos 32-36 do GDPR e fornecendo informações necessárias para demonstrar conformidade.
4.5 Exclusão e devolução Na rescisão dos Serviços ou mediante solicitação do Cliente: (a) o Cliente pode solicitar exportação de Dados do Cliente dentro de 30 dias após a rescisão; (b) a Suunta.ai excluirá Dados pessoais dentro de 90 dias após a rescisão, salvo se a lei exigir retenção; (c) a exportação de dados é fornecida em formatos JSON e CSV via os Serviços.
5. Tratamento de dados específico de IA
5.1 Processamento de IA Quando Dados do Cliente são processados por recursos de IA: (a) prompts e respostas são transmitidos a Provedores de IA de terceiros para processamento; (b) a Suunta.ai NÃO armazena prompts nem respostas de IA em seu banco de dados; (c) apenas metadados de uso (tokens, latência, modelo, custo) são registrados para faturamento e analytics; (d) o histórico de conversas é armazenado para permitir continuidade.
5.2 Sem treinamento com Dados do Cliente A Suunta.ai NÃO usará Dados do Cliente para treinar, ajustar ou melhorar modelos de IA sem consentimento explícito por escrito. A Suunta.ai configura Provedores de IA de terceiros para desativar retenção de dados quando disponível, optar por não usar dados para treinamento e aplicar políticas de zero data retention quando suportadas.
5.3 Processamento de documentos RAG Documentos enviados são processados para extrair texto, convertidos em embeddings vetoriais e o texto bruto é removido em até 24 horas após indexação. O conteúdo dos chunks e embeddings é retido para funcionalidade do serviço; ao excluir a fonte, todos os chunks e embeddings associados são removidos.
6. Subcontratantes
6.1 Subcontratantes autorizados O Cliente fornece autorização geral para que a Suunta.ai contrate os Subcontratantes listados no Apêndice A.
6.2 Requisitos para Subcontratantes A Suunta.ai firmará acordos por escrito com Subcontratantes impondo obrigações de proteção de dados não menos protetoras do que este DPA, permanecerá responsável pela conformidade do Subcontratante e realizará due diligence adequada.
6.3 Alterações em Subcontratantes A Suunta.ai manterá uma lista atualizada de Subcontratantes em https://suunta.ai/legal/subprocessors, notificará o Cliente pelo menos 30 dias antes de contratar um novo Subcontratante e oferecerá ao Cliente a oportunidade de objeção por motivos razoáveis de proteção de dados.
6.4 Processo de objeção Se nenhuma resolução for alcançada dentro de 30 dias, o Cliente pode rescindir os Serviços afetados sem penalidade. Essa rescisão é o único recurso do Cliente para objeções a Subcontratantes.
7. Direitos dos titulares de dados
7.1 Assistência A Suunta.ai assistirá o Cliente na resposta a solicitações dos titulares de dados para exercer seus direitos sob o Capítulo III do GDPR, incluindo acesso, retificação, exclusão, restrição, portabilidade e objeção.
7.2 Solicitações de titulares Se a Suunta.ai receber uma solicitação diretamente de um titular de dados, a Suunta.ai notificará prontamente o Cliente, não responderá diretamente salvo autorização ou exigência legal e fornecerá assistência razoável.
7.3 Recursos de autoatendimento Os Serviços incluem recursos de autoatendimento que permitem aos Usuários:
- Visualizar e exportar seus Dados pessoais
- Corrigir informações da conta
- Excluir sua conta de usuário
- Solicitar exportação de dados da organização
- Solicitar exclusão da organização
8. Incidentes de segurança
8.1 Notificação A Suunta.ai notificará o Cliente sobre qualquer Incidente de segurança sem demora indevida e, em qualquer caso, dentro de 72 horas após tomar conhecimento, fornecendo uma descrição do incidente, os titulares e registros afetados, um ponto de contato, prováveis consequências e medidas tomadas.
8.2 Cooperação A Suunta.ai cooperará com a investigação do Cliente, tomará medidas razoáveis para mitigar efeitos, fornecerá atualizações e auxiliará nas notificações às autoridades de controle e aos titulares de dados.
8.3 Registros A Suunta.ai mantém um registro de auditoria de conformidade imutável para eventos relevantes de segurança com retenção estendida.
9. Transferências internacionais
9.1 Locais de processamento O processamento principal de dados ocorre na UE (AWS eu-north-1, Estocolmo). Alguns processamentos podem ocorrer nos EUA por meio de Provedores de IA de terceiros.
9.2 Mecanismos de transferência Para transferências para países sem decisão de adequação da UE, a Suunta.ai se baseia nas Standard Contractual Clauses (Módulo 2: Controlador para Processador, Módulo 3: Processador para Processador), medidas suplementares e certificações de Subcontratantes quando aplicável.
9.3 Avaliação de impacto de transferência A Suunta.ai conduziu avaliações de impacto para transferências para os EUA, considerando:
- Natureza dos dados transferidos (principalmente prompts/consultas, não Dados pessoais em massa)
- Medidas técnicas (criptografia, configurações de zero data retention)
- Marco legal do país de destino
- Proteções contratuais com Subcontratantes
10. Direitos de auditoria
10.1 Informações de auditoria Mediante solicitação escrita do Cliente (não mais que uma vez por ano), a Suunta.ai fornecerá um resumo das medidas de segurança, resultados de auditorias de terceiros (sujeito a confidencialidade), confirmação de conformidade de Subcontratantes e registros de Incidentes de segurança que afetem Dados do Cliente.
10.2 Auditorias presenciais Auditorias presenciais exigem aviso escrito de 30 dias, são conduzidas em horário comercial com mínima interrupção, às custas do Cliente, sob confidencialidade e limitadas à conformidade do DPA.
10.3 Certificações A Suunta.ai está trabalhando para certificações SOC 2 Type II e ISO 27001. Após a obtenção, os relatórios de auditoria estarão disponíveis para Clientes sob NDA.
11. Retenção de dados
11.1 Períodos de retenção
| Categoria de dados | Período de retenção | Notas |
|---|---|---|
| Dados de contas ativas | Duração dos Serviços | Excluídos ao excluir conta |
| Contas de usuário excluídas | Anonimizadas imediatamente | Retenção de backup 90 dias |
| Metadados de uso de IA | 365 dias | Contagem de tokens, custos |
| Logs de auditoria (padrão) | 24 meses | Operações CRUD |
| Logs de auditoria (críticos) | 36 meses | Exclusões, eventos de segurança |
| Logs de auditoria de conformidade | 7 anos | Imutáveis, retenção regulatória |
| Registros de faturamento | 6 anos | Lei contábil finlandesa |
| Backups | 30 dias | Rotação automática |
11.2 Processo de exclusão A exclusão da organização segue um processo estruturado: solicitação de exclusão com confirmação de senha; período de carência de 30 dias (cancelável); cancelamento de assinatura Stripe; exclusão sistemática de todos os dados da organização; registro de auditoria de conformidade imutável.
12. Responsabilidade
A responsabilidade de cada parte sob este DPA está sujeita às limitações estabelecidas nos Termos de uso. Cada parte indenizará a outra por perdas decorrentes de violação deste DPA ou das leis de proteção de dados aplicáveis.
13. Vigência e rescisão
Este DPA permanece em vigor durante a vigência dos Termos de uso. As Seções 5 (Tratamento de dados específico de IA), 8 (Incidentes de segurança), 11 (Retenção de dados) e 12 (Responsabilidade) sobrevivem à rescisão.
14. Lei aplicável
Este DPA é regido pelas leis da Finlândia. Disputas serão resolvidas de acordo com as disposições de resolução de disputas dos Termos de uso.
15. Contato
Para questões de proteção de dados: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai
Apêndice A: Subcontratantes autorizados
Última atualização: 27 de janeiro de 2025. Veja a lista completa em https://suunta.ai/legal/subprocessors.
Apêndice B: Medidas técnicas e organizacionais
1. Controle de acesso
- Controle de acesso baseado em funções (RBAC)
- Isolamento de dados em nível de organização (arquitetura multi-tenant)
- Contas de usuário únicas com autenticação segura
- Gestão de sessões com tempos de expiração configuráveis
- Proteção contra força bruta com bloqueio de contas
2. Criptografia
- Dados em repouso: criptografia AES-256 (AWS RDS)
- Dados em trânsito: TLS 1.2+ para todas as conexões
- Armazenamento de senha: hashing PBKDF2-SHA256
3. Disponibilidade e resiliência
- Infraestrutura AWS com alta disponibilidade
- Backups diários automatizados com recuperação point-in-time
- Procedimentos de recuperação de desastres
4. Monitoramento e registro
- Registro completo das atividades dos usuários
- Rastreamento de uso de IA (apenas metadados)
- Monitoramento de eventos de segurança
- Retenção de logs conforme a Seção 11
5. Resposta a incidentes
- Procedimentos documentados de resposta a incidentes
- Compromisso de notificação de violação em 72 horas
- Trilha de auditoria de conformidade imutável
6. Pessoal
- Obrigações de confidencialidade para todo o pessoal
- Treinamento de conscientização em segurança
- Princípio do menor privilégio
7. Gestão de fornecedores
- Due diligence de Subcontratantes
- Requisitos contratuais de proteção de dados
- Revisão regular da conformidade de Subcontratantes