1. Papéis: Controlador e Operador
Este Adendo de Processamento de Dados ("DPA") é parte integrante dos Termos de Uso do Serviço da NEXEFII e regula o tratamento de dados pessoais realizado pela NEXEFII em decorrência da prestação dos serviços contratados.
Para os fins deste DPA, o Cliente atuará como controlador de dados (conforme definido pela legislação de proteção de dados aplicável), sendo identificado no Acordo Comercial como o Cliente, como controlador dos Dados do Cliente, sendo a NEXEFII operadora. O controlador determina as finalidades e os meios do tratamento de dados pessoais dos usuários e titulares a ele vinculados.
A NEXEFII atuará como operadora de dados, tratando os dados pessoais somente em nome e sob as instruções documentadas do Cliente, nas condições e para as finalidades estipuladas neste DPA e no Acordo Comercial.
Quando a NEXEFII tratar dados pessoais para finalidades próprias e autônomas, como dados de contas de Administradores para gestão contratual, ela poderá atuar como controladora independente. Esse escopo será detalhado na Política de Privacidade da NEXEFII.
2. Objeto, Natureza e Finalidade do Tratamento
A NEXEFII trata dados pessoais em nome do Cliente exclusivamente para as seguintes finalidades: (i) fornecimento das funcionalidades e módulos da Plataforma contratados; (ii) prestação de suporte técnico autorizado pelo Cliente; (iii) manutenção, monitoramento de segurança e melhoria da Plataforma, na medida necessária à prestação do serviço; e (iv) cumprimento de obrigações legais aplicáveis à NEXEFII como operadora.
A natureza do tratamento inclui coleta, armazenamento, acesso, organização, consulta, transmissão, uso, restrição, exclusão e demais operações necessárias para as finalidades descritas acima.
A duração do tratamento corresponde à Vigência do Acordo Comercial, acrescida do período necessário para o cumprimento de obrigações legais ou para o processamento de solicitações pendentes de titulares de dados, conforme especificado na Seção 11 (Devolução e Exclusão ao Término).
3. Categorias de Dados e Titulares
As categorias de dados pessoais tratados pela NEXEFII como operadora incluem, conforme configurado pelo Cliente: (i) dados de identificação de Usuários Finais (nome, endereço de e-mail, identificadores de conta); (ii) dados de uso e interação com a Plataforma (logs de acesso, preferências, histórico de ações dentro da conta do Cliente); (iii) dados de contato e organizacionais dos Administradores; (iv) dados transacionais e financeiros vinculados ao Acordo Comercial do Cliente; e (v) quaisquer outros dados pessoais contidos nos Dados do Cliente conforme submetidos pelo próprio Cliente.
A NEXEFII não solicita nem incentiva o envio de categorias especiais de dados pessoais (dados sensíveis, dados de saúde, dados biométricos, dados de menores) à Plataforma. Caso o Cliente submeta tais dados, é responsável por garantir a base legal adequada e por comunicar a NEXEFII previamente para avaliação de medidas adicionais.
Os titulares dos dados são principalmente: (i) Usuários Finais do Cliente; (ii) Administradores designados pelo Cliente; e (iii) terceiros cujos dados pessoais sejam incluídos nos Dados do Cliente pelo próprio Cliente.
4. Obrigações da NEXEFII como Operadora
A NEXEFII, na qualidade de operadora, compromete-se a:
Tratar dados pessoais somente com base em instruções documentadas do Cliente, conforme definidas neste DPA e no Acordo Comercial, salvo quando obrigada a agir de forma diversa por lei aplicável, hipótese em que informará o Cliente antes do tratamento, na medida permitida pela lei.
Garantir que as pessoas autorizadas a tratar os dados pessoais do Cliente assumam compromissos adequados de confidencialidade, sejam eles de natureza contratual ou legal.
Implementar e manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração, perda ou destruição acidental. As medidas atualmente implementadas na Plataforma incluem: (i) controle de acesso baseado em função (RBAC) com segregação rigorosa por tenant; (ii) isolamento de tenant garantindo que dados de um cliente não sejam acessíveis a outros clientes; (iii) gerenciamento de sessão com expiração automática e proteção contra fixação de sessão; (iv) trilhas de auditoria imutáveis para ações sensíveis dentro da Plataforma; e (v) criptografia de dados em trânsito via TLS (Transport Layer Security). A NEXEFII não declara que todos os dados em repouso estão criptografados — essa afirmação depende de revisão técnica e confirmação pela equipe de segurança.
Assistir o Cliente, por meios técnicos e organizacionais razoáveis, no cumprimento de suas obrigações de responder a solicitações de exercício de direitos pelos titulares, conforme descrito na Seção 7.
Cooperar com auditorias realizadas pelo Cliente ou por auditor por ele designado, conforme descrito na Seção 10.
4.1. Suporte e Acesso Remoto
No cumprimento de suas obrigações como operadora, qualquer acesso de pessoal da NEXEFII aos dados pessoais tratados em nome do Cliente para fins de suporte é nominativo (vinculado a um usuário de suporte identificado), autorizado pelo Cliente, temporário (com prazo de expiração) e limitado ao privilégio mínimo estritamente necessário à tarefa.
A NEXEFII não utiliza credenciais compartilhadas nem a senha do Cliente, e não possui acesso permanente ou contínuo (standing access) ao ambiente do Cliente. Cada acesso de suporte é vinculado a uma justificativa ou chamado, protegido por autenticação multifator (MFA), revogável pelo Cliente e registrado em trilha de auditoria imutável, incluindo início, término e ações relevantes.
O acesso é, por padrão, somente leitura, admitindo-se escrita apenas quando necessária e autorizada. Mecanismos de provisionamento just-in-time (JIT) com elevação temporária limitada por tempo são tratados como melhoria futura e ainda não estão implementados; até lá, aplica-se o procedimento nominativo e transitório descrito nesta cláusula e na Política de Segurança.
5. Subprocessamento
O Cliente autoriza a NEXEFII a contratar subprocessadores para a prestação dos serviços, na condição de que: (i) a NEXEFII celebre contratos com os subprocessadores que imponham obrigações de proteção de dados equivalentes às deste DPA; e (ii) a NEXEFII permaneça responsável perante o Cliente pelos atos ou omissões dos subprocessadores na mesma medida em que seria responsável se os tivesse praticado diretamente.
A lista atual de subprocessadores autorizados está identificada como a Lista de Subprocessadores da NEXEFII e é mantida e publicada separadamente pela NEXEFII. Pagamentos são processados pela Stripe, Inc., que atua como subprocessadora de dados financeiros nos termos de seu próprio acordo de processamento de dados.
A NEXEFII notificará o Cliente sobre a adição ou substituição de subprocessadores com antecedência razoável, por meio do canal de comunicação estabelecido no Acordo Comercial ou por aviso na Plataforma. O Cliente poderá objetar à adição de um novo subprocessador por motivo legítimo relacionado à proteção de dados, mediante notificação escrita dentro do prazo indicado no aviso. Caso a NEXEFII não possa acomodar a objeção, o Cliente poderá encerrar os serviços afetados conforme o procedimento da Seção 7 dos Termos.
6. Assistência ao Exercício de Direitos dos Titulares
O Cliente, como controlador, é o responsável principal por receber e responder às solicitações de titulares que exerçam seus direitos de proteção de dados (acesso, retificação, exclusão, portabilidade, oposição, limitação do tratamento, entre outros previstos na legislação aplicável).
A NEXEFII fornecerá ao Cliente os meios técnicos disponíveis na Plataforma para que este possa responder às solicitações dos titulares, incluindo ferramentas de administração de dados de usuários disponíveis no Master Control. Quando a resposta ao titular exigir uma ação técnica fora das capacidades de autoatendimento do Cliente, a NEXEFII cooperará com o Cliente dentro de prazo razoável, conforme combinado.
As solicitações de titulares enviadas diretamente à NEXEFII serão encaminhadas ao Cliente, salvo quando a NEXEFII atuar como controladora independente em relação ao dado em questão.
A NEXEFII não responderá diretamente a solicitações de titulares relativas a dados sob controle do Cliente sem autorização explícita deste, exceto quando exigido por lei.
7. Notificação de Violação de Dados Pessoais
A NEXEFII notificará o Cliente, sem demora injustificada e dentro do prazo de sem demora indevida após a confirmação do incidente após tomar ciência de uma violação de dados pessoais que afete dados tratados em nome do Cliente, fornecendo as informações disponíveis sobre: (i) a natureza da violação, incluindo as categorias e o volume aproximado de titulares e registros afetados; (ii) as medidas adotadas ou em andamento para conter e remediar a violação; e (iii) as potenciais consequências da violação.
A notificação inicial poderá ser feita em fases à medida que mais informações se tornem disponíveis, observado o prazo acima. A NEXEFII fornecerá informações adicionais na medida em que as investigações avancem.
O Cliente é responsável por avaliar se a violação exige notificação às autoridades de proteção de dados ou aos titulares afetados, conforme a legislação aplicável, e por realizar essa comunicação.
A notificação de violação pela NEXEFII não constitui reconhecimento de culpa ou responsabilidade por quaisquer danos decorrentes da violação.
8. Transferências Internacionais de Dados
A NEXEFII poderá transferir dados pessoais para países ou organizações internacionais apenas quando: (i) o país de destino oferecer nível adequado de proteção reconhecido pela autoridade de proteção de dados competente; (ii) existirem salvaguardas adequadas, conforme mecanismo as salvaguardas contratuais adequadas para transferências internacionais, quando ocorram; ou (iii) aplicar-se uma das derrogações previstas na legislação de proteção de dados aplicável.
As regiões de hospedagem e processamento de dados são identificadas como infraestrutura gerenciada em nuvem (Railway). A NEXEFII atualizará essa informação sempre que houver alteração material nas regiões de processamento.
O Cliente declara estar ciente de que a operação de serviços em nuvem pode envolver transferências transfronteiriças de dados, e autoriza a NEXEFII a realizá-las conforme as condições deste DPA.
9. Auditorias
O Cliente tem o direito de auditar o cumprimento das obrigações deste DPA pela NEXEFII, por si mesmo ou por auditor independente por ele designado, desde que: (i) notifique a NEXEFII com antecedência razoável (mínima de trinta dias, salvo circunstâncias urgentes); (ii) a auditoria seja realizada durante o horário comercial normal, sem interferência nas operações da Plataforma; e (iii) o auditor esteja sujeito a obrigações de confidencialidade adequadas.
A NEXEFII poderá, como alternativa, fornecer ao Cliente relatórios de auditoria de terceiros relevantes (como avaliações de segurança ou conformidade conduzidas por auditores independentes) que cubram as obrigações deste DPA, sujeito a acordos de confidencialidade. A disponibilidade de tais relatórios será comunicada ao Cliente mediante solicitação.
Os custos de auditoria são responsabilidade do Cliente, salvo quando a auditoria revelar descumprimento material da NEXEFII, hipótese em que a NEXEFII arcará com seus próprios custos.
10. Devolução e Exclusão ao Término
Após o término ou encerramento do Acordo Comercial, por qualquer motivo, o Cliente terá acesso à Plataforma exclusivamente para exportar seus dados pelo período de os prazos definidos na Política de Retenção e Exclusão de Dados (a confirmar). A NEXEFII fornecerá as ferramentas de exportação disponíveis na Plataforma durante esse período.
Decorrido o prazo de exportação, a NEXEFII, salvo obrigação legal em contrário, excluirá ou tornará irreversíveis os dados pessoais do Cliente tratados em nome deste, confirmando por escrito ao Cliente que a exclusão foi realizada.
A NEXEFII poderá reter determinados dados pessoais pelo período mínimo exigido por lei aplicável, por obrigações de auditoria ou para defesa de direitos em processos judiciais, administrativos ou arbitrais. Esses casos serão informados ao Cliente.
Subprocessadores autorizados serão instruídos a igualmente proceder à exclusão ou devolução dos dados pessoais conforme as instruções da NEXEFII e as obrigações deste DPA.
11. Base Legal do Tratamento
A base legal sobre a qual o Cliente fundamenta o tratamento de dados pessoais por ele controlados e delegados à NEXEFII para tratamento é de responsabilidade do Cliente e deve ser determinada por assessor jurídico e DPO qualificados. O sumário de bases legais aplicáveis ao contexto do Cliente é identificado como as bases legais aplicáveis à prestação do serviço e ao cumprimento de obrigações legais.
Cabe ao Cliente garantir que o tratamento de dados pessoais que delega à NEXEFII, incluindo quaisquer transferências internacionais, seja suportado por base legal válida conforme a legislação aplicável (incluindo, quando aplicável, a Lei Geral de Proteção de Dados — LGPD — e o Regulamento Geral de Proteção de Dados — GDPR).
A NEXEFII não é responsável por determinar a adequação da base legal do Cliente nem por auditar o cumprimento pelo Cliente de suas obrigações como controlador perante os titulares e as autoridades de proteção de dados.
12. Contato e Encarregado (DPO)
Para questões relacionadas ao tratamento de dados pessoais e a este DPA, o Cliente pode contatar a NEXEFII pelo endereço eletrônico contact@nexefii.com.
O Encarregado de Proteção de Dados (DPO) da NEXEFII é o canal de privacidade da NEXEFII (contact@nexefii.com), contactável em contact@nexefii.com. O Cliente pode enviar solicitações relacionadas a direitos de titulares, reclamações de privacidade e consultas sobre este DPA diretamente ao DPO.
A NEXEFII se compromete a responder às comunicações relacionadas a este DPA dentro de prazo razoável e a cooperar de boa-fé com o Cliente e as autoridades de proteção de dados competentes.