Este Acordo de Tratamento de Dados Pessoais ("Acordo" ou "DPA") disciplina o tratamento de dados pessoais realizado pela DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ nº 50.630.412/0001-83, com sede na Rua da Paisagem, 220, Bairro Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059 ("Deppes" ou "Operadora"), em favor da pessoa jurídica Contratante ("Controladora"), no âmbito da plataforma Deppes ("Plataforma"), em conformidade com a Lei nº 13.709/2018 (LGPD).
Este Acordo integra e complementa os Termos de Uso e a Política de Privacidade. Em caso de conflito sobre o tratamento de dados pessoais dos Colaboradores, prevalece este Acordo.
1. Definições
Aplicam-se as definições do art. 5º da LGPD, em especial: dado pessoal, dado pessoal sensível, tratamento, controlador, operador, titular, anonimização, encarregado, eliminação e transferência internacional. Além destas:
- Subprocessador: terceiro contratado pela Operadora para tratar dados pessoais em nome da Controladora.
- Incidente de segurança: evento que possa acarretar acesso não autorizado, perda, alteração, destruição ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais.
2. Papéis das partes
2.1. A Controladora (Contratante) é a responsável pelas decisões sobre o tratamento dos dados pessoais dos Colaboradores e demais titulares por ela inseridos na Plataforma, cabendo-lhe definir as finalidades e as bases legais.
2.2. A Operadora (Deppes) trata os dados pessoais em nome e sob as instruções da Controladora, exclusivamente para viabilizar a prestação do serviço contratado.
2.3. Em relação aos dados dos Usuários da conta e de navegação, a Deppes atua como Controladora, conforme a Política de Privacidade; tal tratamento não é objeto deste Acordo.
3. Objeto e escopo do tratamento
A natureza, a finalidade, a duração, os tipos de dados e as categorias de titulares do tratamento estão descritos no Anexo I. A Operadora tratará os dados somente na medida necessária à execução do serviço e conforme as instruções documentadas da Controladora, incluindo estes documentos, as configurações da Plataforma e eventuais instruções escritas adicionais.
4. Obrigações da Operadora (Deppes)
A Operadora obriga-se a, nos termos do art. 39 da LGPD:
- a) Tratar os dados pessoais apenas conforme as instruções documentadas da Controladora, salvo obrigação legal, hipótese em que informará a Controladora, quando permitido;
- b) Adotar as medidas de segurança, técnicas e administrativas descritas no Anexo II, aptas a proteger os dados de acessos não autorizados e de situações de destruição, perda, alteração ou difusão indevidas;
- c) Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a dever de confidencialidade;
- d) Assegurar o isolamento lógico dos dados de cada Controladora (arquitetura multi-tenant);
- e) Auxiliar a Controladora no atendimento às requisições dos titulares (art. 18) e no cumprimento das obrigações dos arts. 48 e 50 da LGPD, na medida do tecnicamente possível;
- f) Contratar subprocessadores apenas nas condições da Seção 7;
- g) Comunicar à Controladora os incidentes de segurança, conforme a Seção 9;
- h) Eliminar ou devolver os dados ao término do tratamento, conforme a Seção 11;
- i) Disponibilizar à Controladora informações necessárias para demonstrar o cumprimento das obrigações deste Acordo, nos termos da Seção 10;
- j) Manter registro das operações de tratamento que realizar.
5. Obrigações da Controladora (Contratante)
A Controladora obriga-se a:
- a) Possuir e manter base legal adequada para o tratamento dos dados que inserir na Plataforma, inclusive dados sensíveis, e, quando aplicável, obter e gerir o consentimento dos titulares;
- b) Fornecer aos titulares as informações de transparência exigidas pela LGPD, inclusive quanto ao tratamento realizado por meio da Plataforma e de seus subprocessadores;
- c) Assegurar a veracidade, exatidão e atualização dos dados inseridos;
- d) Gerir os acessos de seus Usuários (perfis, permissões e revogações), zelando pelo sigilo das credenciais;
- e) Transmitir instruções à Operadora de forma lícita e compatível com a finalidade contratada;
- f) Atuar como ponto de contato primário dos seus titulares (Colaboradores) para o exercício de direitos.
6. Dados sensíveis e pesquisas
6.1. Determinados dados podem ser sensíveis (art. 11 da LGPD), por exemplo, declaração de raça/cor, identidade de gênero, filiação sindical e dados de saúde (Pesquisa NR-1). A base legal e a responsabilidade por esse tratamento são da Controladora.
6.2. As pesquisas anônimas (Clima, NR-1, eNPS, Desligamento) operam com anonimato por regra de sistema (k-anonimato, mascaramento de recortes e bloqueio de leitura individual). Na NR-1, o anonimato é estrutural: a resposta é gravada sem vínculo com o respondente, de modo que nem a Operadora nem a Controladora conseguem reidentificá-la.
7. Subprocessadores
7.1. A Controladora autoriza, de forma geral, a contratação dos subprocessadores necessários à prestação do serviço, listados no Anexo III.
7.2. A Operadora garante contratualmente que os subprocessadores estejam sujeitos a obrigações de proteção de dados equivalentes às deste Acordo e tratem os dados apenas conforme as instruções da Operadora.
7.3. A Operadora informará a Controladora sobre alterações relevantes no quadro de subprocessadores, permitindo eventual oposição fundamentada. A Operadora permanece responsável perante a Controladora pelas obrigações dos subprocessadores.
8. Transferência internacional
O banco de dados de produção reside no Brasil. Há transferência internacional apenas para backups e armazenamento de documentos (AWS, EUA) e para provedores de IA (EUA, China, Singapura), conforme o Anexo III. Tais transferências observam as salvaguardas do art. 33 da LGPD, em especial cláusulas contratuais padrão e acordos de tratamento firmados com os provedores.
9. Incidentes de segurança
9.1. A Operadora comunicará a Controladora sem demora injustificada ao tomar conhecimento de incidente de segurança que envolva dados pessoais tratados em favor dela, fornecendo as informações disponíveis (natureza, categorias e volume aproximado de dados e titulares, possíveis consequências e medidas adotadas ou propostas).
9.2. Cabe à Controladora, na qualidade de responsável perante os titulares, avaliar a comunicação à ANPD e aos titulares (art. 48 da LGPD). A Operadora prestará o apoio razoável para tanto. O Encarregado (DPO) da Deppes conduz internamente a avaliação e classificação do incidente.
10. Demonstração de conformidade e auditoria
10.1. A Operadora disponibilizará à Controladora informações razoáveis para demonstrar o cumprimento deste Acordo, incluindo sua Política de Segurança da Informação, a Política de Gestão de Mudanças e o relatório de due diligence de Segurança da Informação (alinhado à ISO/IEC 27001).
10.2. Artefatos que contenham informações sensíveis de infraestrutura (inventário de ativos/CMDB e diagramas de arquitetura e topologia) são confidenciais e podem ser disponibilizados para verificação mediante acordo de confidencialidade (NDA).
11. Término, devolução e eliminação
11.1. Encerrado o contrato, a Controladora poderá, em prazo razoável, exportar os dados por ela inseridos.
11.2. Após esse prazo, a Operadora procederá à eliminação ou anonimização dos dados, ressalvadas as hipóteses de guarda obrigatória por lei (por exemplo, registros de acesso por 12 meses, nos termos do Marco Civil da Internet) e a subsistência temporária em backups, os quais são sobrescritos conforme a política de retenção GFS.
12. Responsabilidade
A responsabilidade de cada parte observa a LGPD e os limites do contrato de prestação de serviços. A Operadora responde pelos danos decorrentes do tratamento quando descumprir as obrigações legais que lhe cabem ou não seguir as instruções lícitas da Controladora (art. 42 da LGPD). A Controladora responde pela licitude do tratamento que determinar, pela existência de base legal e pela gestão dos direitos de seus titulares.
13. Vigência
Este Acordo vigora enquanto durar o tratamento de dados pessoais decorrente da prestação do serviço e permanece eficaz, no que couber, após o término, quanto às obrigações de confidencialidade, eliminação e responsabilidade.
14. Disposições gerais e foro
Aplicam-se as disposições gerais dos Termos de Uso. Este Acordo é regido pela legislação brasileira, elegendo-se o foro da Comarca de Nova Lima/MG para dirimir controvérsias, salvo competência diversa prevista em lei.
Anexo I — Descrição do tratamento
- Natureza e finalidade: prestação de serviço de gestão de pessoas (colaboradores, cargos, salários, desempenho, metas, carreira, pesquisas, benchmark e analytics), no modelo SaaS.
- Duração: enquanto vigente o contrato, observados os prazos de retenção legais.
- Categorias de titulares: colaboradores da Controladora (empregados, prestadores e similares) e Usuários da conta.
- Categorias de dados pessoais: identificação e cadastrais; documentos (CPF, RG, CNH, PIS, CTPS, título de eleitor, reservista); dados bancários; endereço; dados contratuais e profissionais (cargo, vínculo, salário e histórico, benefícios, admissão/desligamento); desenvolvimento e carreira; desempenho (avaliações, Nine Box, PDI, metas); respostas de pesquisas; documentos anexados; campos personalizados definidos pela Controladora; registros de acesso.
- Categorias de dados sensíveis: declaração de raça/cor, identidade de gênero, filiação sindical e dados de saúde (Pesquisa NR-1, riscos psicossociais, de forma anônima).
Anexo II — Medidas de segurança
Conforme a Política de Segurança da Informação da Deppes:
- Controle de acesso individual e por perfis/permissões (ACL), sob menor privilégio; sem contas compartilhadas;
- Autenticação multifator (OTP via SMS e e-mail) e limitação de tentativas de acesso (rate limiting/bloqueio);
- Isolamento lógico multi-tenant por identificador de cliente, aplicado automaticamente em todas as operações;
- Criptografia em trânsito (TLS, WebSocket seguro, VPN administrativa); senhas com hash e credenciais de integração cifradas; backups criptografados;
- Segregação de redes, firewall com exposição mínima e proteção de borda (DDoS/WAF);
- Trilha de auditoria imutável (usuário, dado, IP, data/hora), retida por 12 meses;
- Backups automatizados (3× ao dia) com retenção GFS e restauração testada;
- Monitoramento contínuo com alertas; gestão de mudanças com aprovação formal e rollback automático;
- Acionamento do Encarregado (DPO) na gestão de incidentes.
Anexo III — Subprocessadores
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Hostinger | Hospedagem do processamento primário e do banco de produção | Brasil (São Paulo) |
| Amazon Web Services (AWS) | Backups (S3), object storage de documentos, imagens de container (ECR), e-mail (SES) | EUA (us-east-1) |
| Cloudflare | DNS, CDN, proteção de borda (DDoS/WAF) | Global |
| Google (Workspace / Drive) | E-mail corporativo e documentos internos da Deppes | Global |
| Google (Gemini) | Recursos de inteligência artificial | EUA |
| DeepSeek | Recursos de inteligência artificial (redundância) | China |
| Xiaomi (MiMo) | Recursos de inteligência artificial (redundância) | Singapura |
| ViaCEP | Consulta pública de endereço a partir do CEP | Brasil |
| Sistemas de folha/ERP da Contratante | Origem de dados importados por integração, quando contratada | Conforme o fornecedor |
DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ 50.630.412/0001-83.
Encarregado (DPO): Mateus Eustáquio Vieira de Carvalho, dpo@deppes.com.br · Contato: contato@deppes.com.br