Acordo de Tratamento de Dados (DPA)

Este Acordo de Tratamento de Dados ("DPA") integra os Termos de Uso e a Política de Privacidade. Aplica-se sempre que o Cliente, ao utilizar a Plataforma, atua como Controlador (LGPD art. 5 VI) de dados pessoais de Signatários ou outros Titulares cujos dados sejam tratados pela SignDocs Brasil em seu nome.

1. Partes

• Cliente Controlador: pessoa jurídica ou física que contrata a SignDocs Brasil e determina meios e finalidades do tratamento
• Operadora: WE Soluções em Assinaturas Tecnológicas Inova Simples (I.S.), CNPJ 51.846.614/0001-20, sede na Rua Pernambuco, 189, Funcionários, CEP 30.130-151, Belo Horizonte/MG ("SignDocs Brasil")

2. Definições

Os termos "Controlador", "Operador", "Titular", "Tratamento", "Dados Pessoais", "Dados Pessoais Sensíveis", "Encarregado", "ANPD" e "Incidente" têm o significado da Lei Geral de Proteção de Dados — Lei 13.709/2018 ("LGPD"). "Sub-operador" tem o sentido do art. 39 da LGPD.

3. Objeto

A SignDocs Brasil, na qualidade de Operadora, trata Dados Pessoais em nome do Cliente Controlador para os fins de prestação dos serviços contratados de assinatura eletrônica, incluindo: criação de envelopes e sessões de assinatura, autenticação biométrica e por OTP, validação SERPRO, emissão e verificação de Evidence Packs, notificações por e-mail/SMS, armazenamento e disponibilização de documentos assinados, gestão de subusuários e relatórios.

4. Instruções Documentadas

O Cliente Controlador instrui a SignDocs Brasil a tratar Dados Pessoais (i) conforme estabelecido neste DPA e nos Termos de Uso, (ii) por meio das ações do Cliente Controlador e dos Signatários no painel, API e aplicativos, e (iii) por instruções escritas adicionais por e-mail oficial para administrativo@signdocs.com.br. A SignDocs Brasil não tratará Dados Pessoais para finalidades próprias (exceto quando atua como Controlador conforme Política de Privacidade §3 — billing, prevenção a fraude, segurança, melhoria do produto via dados anonimizados).

5. Confidencialidade

A SignDocs Brasil mantém Dados Pessoais e segredos comerciais do Cliente Controlador sob confidencialidade. O acesso interno é limitado a colaboradores e fornecedores que necessitam para a prestação do serviço, sob obrigação contratual de sigilo, com registro de acesso (logs auditáveis).

6. Medidas Técnicas e Organizacionais

A SignDocs Brasil mantém um programa de segurança da informação proporcional ao risco, abrangendo no mínimo:

• Cifração: TLS 1.2+ em trânsito, cifração em repouso para Dados Pessoais e documentos no S3, KMS para chaves de assinatura
• Evidence Pack: empacotamento criptográfico ECDSA + PKCS#7 (.p7m) com trilha de auditoria assinada
• Autenticação: 2FA TOTP obrigatória para usuários privilegiados, JWT ES256 para a API
• Acesso: menor privilégio, segregação de ambientes (sandbox vs produção), revogação imediata em desligamento
• Testes: SAST/DAST contínuo, pentest anual por empresa independente, revisão de dependências
• Monitoramento: SOC 24x7, detecção de anomalias, retenção de logs por períodos compatíveis com Marco Civil
• Resposta a incidentes: playbook CSIRT-SD, comunicação interna em até 15 minutos para S1/S2

7. Sub-operadores

O Cliente Controlador autoriza, em caráter geral, a contratação dos sub-operadores listados em /sub-operadores.html. Categorias atuais: cloud, e-mail/SMS transacional, gateway de pagamento, SERPRO/DataValid, Autoridade Certificadora ICP-Brasil, analytics/monitoramento, antifraude.

Mudanças materiais (novo sub-operador ou substituição) são notificadas com pelo menos 30 dias de antecedência conforme ANPD Res. 18/2024. O Cliente pode objetar por escrito em até 15 dias após o aviso; mantida a divergência, pode rescindir o contrato sem penalidade, com janela de portabilidade da seção 12. A SignDocs Brasil responde integralmente ao Cliente pelas obrigações do sub-operador.

8. Direitos do Titular

A SignDocs Brasil oferece ao Cliente Controlador, no painel administrativo e via API, ferramentas para auxílio no atendimento de pedidos de Titulares (LGPD art. 18): consulta de tratamento, exportação, correção, eliminação, portabilidade, revogação de consentimento, revisão de decisão automatizada. Quando solicitada diretamente por Titular cujos dados sejam de Cliente Controlador, a SignDocs Brasil encaminha o pedido ao Cliente Controlador em até 5 dias úteis e oferece suporte técnico para o atendimento.

9. Notificação de Incidentes

Em caso de incidente de segurança envolvendo Dados Pessoais tratados em nome do Cliente Controlador, a SignDocs Brasil:

1. Notifica o Cliente Controlador em até 48 horas a partir do conhecimento, por e-mail e mensagem no painel, com: natureza do incidente, dados afetados, volume, riscos, medidas adotadas e em andamento, contato do Encarregado
2. Apoia o Cliente Controlador na comunicação à ANPD e aos Titulares conforme art. 48 LGPD e ANPD Res. 15/2024
3. Publica postmortem em até 7 dias após a remediação para incidentes com impacto material em status.signdocs.com.br
4. Preserva evidências (logs com hash de integridade, snapshots forenses) em ambiente isolado

10. Auditoria

Clientes Enterprise podem solicitar auditoria documental anual com 30 dias de aviso prévio, em horário comercial, mediante NDA. A SignDocs Brasil disponibiliza: relatórios de pentest anual (sumário executivo), políticas e procedimentos relevantes, atestados de conformidade vigentes, relatório de segurança e privacidade. Acesso a infraestrutura, bases de dados ou ambientes produtivos é restrito e exige protocolo específico de "auditoria assistida".

11. Transferência Internacional

Quando o tratamento envolver transferência internacional, a SignDocs Brasil se compromete a usar mecanismos previstos no art. 33 da LGPD e na ANPD Res. 18/2024 — adequação de país, cláusulas-padrão aprovadas pela ANPD, normas corporativas globais ou autorização específica. Categorias atuais que podem envolver transferência internacional estão listadas em /sub-operadores.html.

12. Devolução e Eliminação

Ao término do contrato:

• Janela de portabilidade: 30 dias (Iniciante/Avançado) ou 90 dias (Enterprise) para exportar documentos e Evidence Packs em formato aberto via painel administrativo ou API
• Eliminação: hard delete em até 90 dias após o fim da janela de portabilidade, OU anonimização irreversível conforme LGPD art. 12
• Exceções legais: documentos sob obrigação de retenção (Marco Civil, fiscal, judicial) e logs de auditoria são preservados pelos prazos de /tabela-de-retencao.html
• Backups serão sobrescritos pelo ciclo natural em até 90 dias

13. Vigência

Este DPA vigora enquanto vigorarem os Termos de Uso entre as Partes. Obrigações de confidencialidade, retenção de logs e cooperação em investigações sobrevivem ao término por 5 anos.

14. Foro

Foro da comarca de Belo Horizonte/MG, com renúncia a qualquer outro, observadas as proteções aplicáveis ao Consumidor (CDC art. 101 I).

15. Aceite Eletrônico

Este DPA é aceito por click-through no painel no momento da contratação dos planos Iniciante, Avançado, Enterprise, por pessoa jurídica. Para questões sobre este DPA: administrativo@signdocs.com.br; questões de privacidade: dpo@signdocs.com.br.