Acordo de Processamento de Dados (Data Processing Agreement — DPA)

Última atualização: 17/11/2025
Parte integrante dos Termos de Serviço da Pyxara Social

Este Acordo de Processamento de Dados (“Acordo” ou “DPA”) é celebrado entre:

• Controlador: o cliente que utiliza a Pyxara Social (“Cliente”, “Controlador”).
• Processador: {{NOME_LEGAL_DA_EMPRESA}}, com sede em {{ENDERECO_COMPLETO}}, identificado pelo NIF/CNPJ {{IDENTIFICADOR_FISCAL}} (“Processador”, “Fornecedor”, “Pyxara Social”).

Este DPA estabelece os termos sob os quais o Processador trata dados pessoais em nome do Controlador, em conformidade com:

• GDPR (Regulamento UE 2016/679)
• Lei Portuguesa n.º 58/2019
• LGPD (Lei nº 13.709/2018 — Brasil)
• CCPA/CPRA
• Termos das APIs:
  • Meta (Facebook/Instagram/Threads/Messenger)
  • Google/YouTube
  • TikTok
  • LinkedIn
  • X/Twitter

Este Acordo prevalece sobre quaisquer disposições conflitantes nos Termos de Serviço.

---

1. Definições

Dados Pessoais: qualquer informação relativa a pessoa identificada ou identificável.
Tratamento: qualquer operação sobre dados pessoais (art. 4º, GDPR).
Controlador: quem determina finalidades e meios do tratamento.
Processador: quem trata dados em nome do Controlador.
Subprocessador: terceiro contratado pelo Processador para auxiliar no tratamento.
Serviço: a plataforma Pyxara Social.
Dados de Redes Sociais: informações obtidas via APIs OAuth.

---

2. Objeto e Duração

Este DPA rege o tratamento de dados pessoais pelo Processador exclusivamente para fornecer o Serviço ao Controlador.

A duração do tratamento corresponde ao período:

• em que a conta do usuário está ativa, ou
• enquanto necessário para cumprimento de obrigações legais.

---

3. Finalidade do Tratamento

O Processador trata os Dados Pessoais apenas para:

1. Criar e gerenciar contas
2. Conectar redes sociais via OAuth
3. Agendar, gerir e publicar conteúdos em nome do Controlador
4. Armazenar mídias do Controlador
5. Gerar conteúdo assistido por IA
6. Providenciar métricas, relatórios e análises
7. Garantir segurança, logs e prevenção de fraude
8. Cumprir exigências das APIs de terceiros
9. Cumprir obrigações legais aplicáveis

Nenhum dado é tratado para fins incompatíveis com estas finalidades.

---

4. Tipos de Dados Processados

4.1. Dados fornecidos pelo Controlador

• Nome, email e credenciais (hash)
• Conteúdos, mídias e legendas
• Preferências e configurações de conta
• Dados gerados por ferramentas de IA

4.2. Dados recolhidos via APIs de terceiros

Conforme permissões OAuth concedidas pelo Controlador:

• Nome e foto da conta conectada
• Lista de páginas/contas geridas
• Métricas e insights
• Conteúdos já publicados
• Informações necessárias para publicar em nome do Controlador

4.3. Dados técnicos

• IP
• User-agent
• Logs de atividade
• Tokens OAuth encriptados
• Identificadores de sessão

4.4. Dados sensíveis

A Plataforma não destina-se ao tratamento de dados sensíveis (GDPR Art. 9).
Caso o Controlador adicione dados sensíveis, isso será por sua exclusiva responsabilidade.

---

5. Obrigações do Processador

O Processador compromete-se a:

5.1. Tratar dados apenas conforme instruções documentadas do Controlador

Incluindo:

• conexão a redes sociais
• publicação de posts
• geração de conteúdo
• uso de IA

5.2. Garantir confidencialidade

Apenas pessoas autorizadas terão acesso aos dados.

5.3. Aplicar medidas técnicas e organizacionais adequadas

Incluindo:

• Encriptação (AES-256, TLS 1.2+)
• Autenticação JWT
• RLS no Supabase
• Backups encriptados
• Segregação de dados por workspace
• Monitorização e logging
• Controle de acesso e privilégios mínimos

(A Política de Segurança detalhada consta em documento separado.)

5.4. Ajudar o Controlador a cumprir obrigações legais

Especialmente:

• respostas a titulares
• notificações de incidente
• pedidos de acesso
• exportação e eliminação de dados

5.5. Não transferir dados sem garantia legal adequada

Transferências internacionais seguem:

• SCC (Standard Contractual Clauses)
• Medidas adicionais de proteção
• Verificação de conformidade de subprocessadores

5.6. Não vender, alugar ou utilizar dados para fins próprios

Nenhuma atividade de profiling comercial é realizada.

---

6. Obrigações do Controlador

O Controlador concorda em:

• Utilizar o Serviço conforme leis aplicáveis
• Garantir que tem direito legal de conectar contas de redes sociais
• Não inserir dados ilegais ou proibidos
• Informar terceiros (ex.: clientes próprios) sobre o uso da Pyxara Social
• Configurar permissões OAuth de modo correto
• Revisar o conteúdo gerado antes da publicação

O Controlador permanece responsável pelo conteúdo publicado.

---

7. Subprocessadores

Lista completa: Anexo de Subprocessadores.

O Processador:

• pode utilizar subprocessadores qualificados
• garante contratos adequados conforme Art. 28(4) GDPR
• mantém transparência sobre mudanças significativas

---

8. Transferências Internacionais

Dados podem ser processados em:

• UE
• Brasil
• Estados Unidos (infraestrutura)

Proteções incluem:

• SCCs
• práticas de segurança alinhadas ao GDPR
• auditorias de conformidade dos subprocessadores
• encriptação de dados em repouso e em trânsito

---

9. Assistência com Direitos dos Titulares

O Processador fornecerá assistência para:

• acesso (GDPR Art. 15)
• retificação (Art. 16)
• eliminação (Art. 17)
• portabilidade (Art. 20)
• oposição (Art. 21)
• revogação de consentimento

Pedidos devem ser enviados a:

{{EMAIL_LEGAL}}

---

10. Incidentes de Segurança

Em caso de violação de dados pessoais, o Processador compromete-se a:

1. Notificar o Controlador sem atraso injustificado
2. Fornecer detalhes mínimos:
   • tipo de incidente
   • natureza dos dados afetados
   • medidas tomadas
   • impactos potenciais
3. Colaborar para notifcações legais às autoridades e titulares

---

11. Eliminação e Devolução dos Dados

Após o término da relação:

• Tokens OAuth → eliminados imediatamente
• Mídias e arquivos → eliminados após 30 dias
• Logs técnicos → mantidos por 12 a 24 meses
• Dados fiscais → preservados conforme lei aplicável

O Controlador pode solicitar eliminação antecipada por escrito.

---

12. Auditoria

O Controlador pode solicitar informações de auditoria relacionadas a:

• medidas de segurança
• subprocessadores
• localização dos dados

Auditorias físicas não são permitidas no MVP, mas podem ser negociadas posteriormente.

---

13. Responsabilidade

Cada parte é responsável pelos danos causados por:

• descumprimento de obrigações legais
• negligência comprovada
• violação do presente DPA

Limitação:

A responsabilidade do Processador é limitada ao valor pago pelo Controlador nos últimos 3 meses.

---

13.1. Disposições Legais Adicionais

(a) Limitação Reforçada de Responsabilidade

Na máxima extensão permitida pela legislação portuguesa e europeia, o Processador não será responsável por danos indiretos, lucros cessantes, perda de dados, danos consequenciais ou qualquer prejuízo decorrente de falhas de terceiros, incluindo plataformas externas como Meta, Google, TikTok, LinkedIn ou X.

(b) Jurisdição e Foro

Este Acordo é regido pela legislação portuguesa e europeia aplicável ao tratamento de dados pessoais.
Em caso de litígio relacionado à interpretação ou execução deste DPA, o foro competente será o Tribunal da Comarca de {{CIDADE}}, salvo disposição contratual em contrário.

(c) Conformidade com APIs Terceiras e Limitação Estrutural

A Pyxara Social não armazena dados de seguidores, listas de contactos, perfis, métricas detalhadas ou qualquer outra informação de terceiros obtida através de APIs externas para além do estritamente necessário ao funcionamento do Serviço e conforme permitido pelos Termos das plataformas Meta, Google/YouTube, TikTok, LinkedIn e X.

---

14. Prevalência

Em caso de conflito entre este DPA e os Termos de Serviço, o DPA prevalece.

---

15. Contato do DPO

{{RESPONSAVEL_TRATAMENTO}}
E-mail: {{EMAIL_LEGAL}}
Endereço: {{ENDERECO_COMPLETO}}

---

16. Alterações

O DPA pode ser atualizado periodicamente.
A versão atual estará sempre disponível em:

https://{{DOMINIO}}/legal/dpa