Acordo de Processamento de Dados — CronusAI
1. Partes e Definições
Controlador: A organização ou pessoa jurídica que contrata os serviços da plataforma CronusAI e define os fins e os meios do tratamento de dados pessoais, nos termos do Art. 5º, VI da Lei nº 13.709/2018 (LGPD).
Operador: SOFTBLITZ PESQUISA DESENVOLVIMENTO E CONSULTORIA DE SOFTWARE DO BRASIL LTDA - ME, CNPJ 56.145.925/0001-85, com sede em Av. Paulista 1471, Conj. 1110, Bela Vista, São Paulo – SP, CEP 01311-927, Brasil, que realiza o tratamento de dados pessoais em nome do Controlador, conforme Art. 5º, VII da LGPD.
Titular: Pessoa natural a quem se referem os dados pessoais tratados (Art. 5º, I).
Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I).
Tratamento: Toda operação realizada com dados pessoais, conforme Art. 5º, X da LGPD.
ANPD: Autoridade Nacional de Proteção de Dados, órgão de fiscalização previsto no Art. 55-A da LGPD.
2. Objeto do Tratamento
O presente Acordo regula o tratamento de dados pessoais realizado pelo Operador em nome do Controlador, no âmbito dos serviços de HR SaaS CronusAI (rastreamento de tempo, folha de pagamento, contratos de trabalho, gestão de colaboradores e análises com IA), integrante do ecossistema OrbittAI.
O Operador atua exclusivamente conforme instruções documentadas do Controlador e no estrito cumprimento das bases legais aplicáveis (Art. 7º e 11º da LGPD). O Controlador é responsável por assegurar que as finalidades e bases legais do tratamento estejam em conformidade com a LGPD.
3. Categorias de Dados Tratados
O Operador trata as seguintes categorias de dados pessoais em nome do Controlador:
| Categoria | Descrição | Base Legal Típica (Art. 7º/11º) |
|---|---|---|
| Dados de identificação | Nome, CPF, e-mail, telefone, endereço, data de nascimento, avatar | Execução de contrato; Legítimo interesse |
| Dados profissionais | Cargo, função, salário, regime, admissão/desligamento, avaliações | Execução de contrato; Obrigação legal |
| Dados financeiros | Dados bancários, histórico de pagamentos, comprovantes | Execução de contrato; Obrigação legal |
| Dados de documentos | ID, comprovante de residência, currículo, contratos assinados | Execução de contrato; Consentimento quando aplicável |
| Dados de geolocalização | Coordenadas em assinaturas digitais | Execução de contrato; Prova em processos |
| Dados técnicos | IP, logs, identificadores de dispositivo | Legítimo interesse; Segurança |
| Dados sensíveis | Tipo sanguíneo, alergias (quando informados) | Consentimento específico (Art. 11, inciso I) |
O Operador não determina as finalidades do tratamento e atua estritamente dentro do escopo autorizado pelo Controlador.
4. Titulares dos Dados
Os titulares cujos dados são tratados incluem: colaboradores cadastrados pelo Controlador ou por seus administradores; administradores e usuários com perfil de company_admin ou system_admin; e quaisquer outras pessoas naturais cujos dados o Controlador determine incluir na plataforma. O Controlador é responsável por informar os titulares sobre o tratamento e pelos direitos assegurados no Art. 18 da LGPD.
5. Medidas de Segurança (Art. 46 LGPD)
Em conformidade com o Art. 46 da LGPD e com as normas técnicas da ANPD, o Operador implementa medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Tais medidas incluem: (a) criptografia AES-256 para dados em repouso e TLS 1.3 para dados em trânsito; (b) controle de acesso baseado em funções (RBAC) com papéis system_admin, company_admin e employee; (c) autenticação com JWT e hashing bcrypt para credenciais; (d) auditoria e logging de operações sensíveis; (e) políticas de senha robustas; (f) backups criptografados e testes de recuperação periódicos; (g) segregação lógica de dados entre clientes (multi-tenancy). O Operador revisa e atualiza as medidas de segurança de forma periódica.
6. Suboperadores (Art. 39 LGPD)
O Operador poderá envolver suboperadores para a execução de atividades específicas de tratamento, nos termos do Art. 39 da LGPD. O suboperador será contratado mediante instrumento que imponha obrigações equivalentes às do presente Acordo, em especial quanto a medidas de segurança e conformidade com a LGPD.
Os suboperadores atualmente utilizados incluem: provedores de infraestrutura em nuvem (ex.: Fly.io, Cloudflare R2), serviço de e-mail (Resend), provedor de IA (OpenAI) e armazenamento de banco de dados (PostgreSQL). O Controlador será informado sobre a adição ou substituição significativa de suboperadores, podendo manifestar objeção fundamentada em conformidade com o Art. 39, §2º. A lista atualizada de suboperadores está disponível mediante solicitação ao Operador.
7. Transferências Internacionais (Art. 33 LGPD)
Quando o tratamento envolver transferência internacional de dados pessoais, o Operador observará o Art. 33 da LGPD. A transferência só ocorrerá para países ou organismos internacionais que forneçam grau de proteção adequado aos dados pessoais, ou mediante uma das garantias previstas nos incisos I a V do Art. 33, tais como: cláusulas contratuais tipo aprovadas pela ANPD; cláusulas-padrão específicas; certificações; ou compromissos vinculativos corporativos.
O Controlador será informado sobre transferências internacionais que afetem dados por ele responsabilizados, e quaisquer acordos ou cláusulas aplicáveis estarão à disposição para consulta.
8. Notificação de Incidentes (Art. 48 LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Operador comunicará à ANPD em prazo razoável, em conformidade com o Art. 48 da LGPD. A comunicação à autoridade será feita no prazo máximo de 2 (dois) dias úteis a partir da constatação do incidente, respeitando o prazo recomendado de até 72 horas pela Resolução da ANPD sobre comunicação de incidentes.
O Operador comunicará ao Controlador em prazo razoável, por meio de canal seguro, com informações sobre a natureza do incidente, os dados afetados, as medidas adotadas ou propostas e as recomendações para mitigação. O Controlador será o responsável pela comunicação aos titulares quando aplicável, cabendo ao Operador prestar as informações necessárias para tal fim.
9. Direitos de Auditoria
O Controlador poderá solicitar ao Operador informações e documentação necessárias para demonstrar o cumprimento das obrigações deste Acordo e da LGPD. Mediante solicitação prévia, com aviso mínimo de 30 (trinta) dias e em horário comercial acordado, o Operador permitirá auditorias realizadas pelo Controlador ou por auditores independentes por este designados, sujeitas a acordos de confidencialidade e à limitação de frequência (no máximo uma vez por ano, salvo incidente ou exigência regulatória).
O Operador pode fornecer, em alternativa a auditoria presencial, relatório de auditoria independente (ex.: SOC 2) ou certificação de conformidade, quando disponível, para atender às solicitações de verificação.
10. Assistência com Solicitações de Titulares (Art. 18 LGPD)
O Operador prestará assistência ao Controlador para o cumprimento das solicitações exercidas pelos titulares nos termos do Art. 18 da LGPD, incluindo: confirmação de existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; eliminação dos dados tratados com consentimento; informação sobre compartilhamento e não consentimento; e revogação do consentimento. O suporte será prestado em prazo compatível com o Art. 18, §3º (resposta imediata, com prazo de até 15 dias em casos complexos).
O Controlador responderá diretamente aos titulares; o Operador fornecerá os meios técnicos e operacionais para viabilizar o atendimento, incluindo exportação, correção e exclusão de dados sob seu controle.
11. Devolução ou Eliminação de Dados (Art. 16 LGPD)
Ao término da prestação dos serviços ou mediante solicitação do Controlador, o Operador procederá à eliminação ou devolução dos dados pessoais tratados, conforme Art. 16 da LGPD, salvo retenção exigida por obrigação legal ou regulatória. A eliminação será realizada de forma irreversível e segura, com destruição de cópias e backups na medida em que tecnicamente possível e permitido pela lei. O Controlador pode solicitar exportação dos dados em formato estruturado antes da eliminação.
O prazo para conclusão da devolução ou eliminação será de até 30 (trinta) dias após o término do contrato ou da solicitação, exceto quando a lei impuser prazos distintos.
12. Confidencialidade
O Operador obriga-se a manter sigilo em relação aos dados pessoais e às informações confidenciais do Controlador a que tiver acesso no âmbito da prestação dos serviços. Os colaboradores e prestadores do Operador com acesso a tais dados estarão sujeitos a deveres de confidencialidade equivalentes. A obrigação permanece válida mesmo após o término do presente Acordo.
13. Responsabilidade (Art. 42 a 44 LGPD)
Nos termos dos Arts. 42 a 44 da LGPD, o Controlador e o Operador respondem solidariamente pelos danos causados aos titulares em decorrência do tratamento de dados pessoais quando ambos violarem a lei; quando o Operador não tiver atendido às obrigações da LGPD específicas ao papel de operador; ou quando o Operador tiver ultrapassado as instruções lícitas do Controlador, permanecendo este inadimplente em relação à determinação ou ordenação de tratamento irregular.
O Operador será responsável pelos danos causados pelo tratamento quando não tiver cumprido as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do Controlador. O Controlador responderá pelos danos decorrentes de suas instruções ou do tratamento por ele realizado. O limite de responsabilidade do Operador estará sujeito aos termos do contrato principal de prestação de serviços entre as Partes.
14. Vigência e Rescisão
O presente Acordo vigorará a partir da aceitação pelos termos de serviço do CronusAI ou da assinatura de contrato que o incorpore, e permanecerá em vigor enquanto os serviços forem prestados. Em caso de rescisão ou término do contrato principal, as cláusulas relativas a confidencialidade, devolução/eliminação de dados, responsabilidade e auditoria sobreviverão conforme necessário para cumprimento das obrigações pós-contratuais.
Alterações substantivas ao presente Acordo serão comunicadas com antecedência mínima de 30 (trinta) dias; o Controlador que não concordar poderá encerrar o uso dos serviços antes da vigência das alterações.
Contato para assuntos de privacidade e LGPD:
E-mail: dpo@orbittai.com