Acordo de Tratamento de Dados

Este Acordo de Tratamento de Dados (DPA) é firmado entre o cliente que utiliza a plataforma (Controlador) e PepForm (Operador), e integra os Termos de Uso para todos os fins de direito.

Estabelecer as obrigações do Operador no tratamento de dados pessoais recebidos do Controlador, em conformidade com a LGPD (Lei 13.709/2018) e, quando aplicável, com o GDPR (Regulamento UE 2016/679).

• Natureza: coleta, armazenamento, recuperação e disponibilização de respostas a formulários.
• Finalidade: exclusivamente prestar a Plataforma ao Controlador.
• Duração: enquanto vigente o contrato de uso da Plataforma e por até 90 dias após o término, para portabilidade.

O tratamento abrange, conforme o uso que o Controlador faz da Plataforma:

• Dados de identificação (nome, email, telefone) quando solicitados nos formulários;
• Conteúdo de respostas livres (texto, áudio, vídeo, arquivos);
• Metadados técnicos (hash de IP, user-agent, eventos);
• Categorias de titulares: clientes, leads, funcionários, candidatos, respondentes em geral.

• Tratar dados apenas conforme instruções documentadas do Controlador;
• Garantir confidencialidade — pessoas autorizadas assinam termo de sigilo;
• Aplicar medidas técnicas e organizacionais adequadas (TLS 1.2+, bcrypt, RBAC, audit log, criptografia em repouso);
• Auxiliar o Controlador em pedidos de titulares (acesso, exportação, eliminação) via API e endpoints públicos;
• Notificar incidentes de segurança em até 48 horas após detecção;
• Permitir auditoria mediante aviso prévio razoável (até 1 vez/ano em planos Enterprise).

• Garantir base legal válida para o tratamento (consentimento, contrato, legítimo interesse, etc.);
• Informar respondentes de forma clara sobre coleta, finalidade e direitos (transparência);
• Manter atualizados os contatos de DPO/encarregado;
• Configurar formulários com perguntas estritamente necessárias (minimização).

O Controlador autoriza o uso de sub-operadores listados abaixo, sempre sob contrato com garantias equivalentes:

• Vercel Inc. — hospedagem e CDN (EUA, com mecanismo de transferência internacional);
• Neon / Supabase / Postgres provider — banco de dados;
• Resend Inc. — envio de emails transacionais;
• Vercel Blob — armazenamento de arquivos enviados pelos respondentes;
• Anthropic PBC — recursos opcionais de AI (somente quando ativado pelo Controlador, com prompts redigidos).

Alterações na lista serão comunicadas com 30 dias de antecedência. O Controlador pode objetar fundamentadamente — nesse caso, o contrato pode ser rescindido.

Sempre que houver transferência internacional, ela ocorrerá com base em (i) cláusulas contratuais padrão, (ii) decisão de adequação ou (iii) outras hipóteses do art. 33 da LGPD / Capítulo V do GDPR.

O Operador disponibiliza endpoints e ferramentas para que o Controlador atenda às solicitações dos titulares (acesso, portabilidade, eliminação, anonimização), incluindo:

• POST /api/forms/[slug]/data-export — exportação por email;
• POST /api/forms/[slug]/right-to-be-forgotten — eliminação por email com verificação;
• POST /api/submissions/[id]/delete-request — eliminação de submissão individual.

Encerrado o contrato, o Controlador tem até 90 dias para exportar seus dados. Após esse prazo, o Operador apagará todos os dados associados, exceto quando obrigado por lei a reter (ex: registros de log fiscal/regulatório).

Cada parte responde pelo cumprimento de suas próprias obrigações sob este DPA e sob a legislação aplicável de proteção de dados.

O Controlador aceita este DPA ao aceitar os Termos de Uso ou ao continuar utilizando a Plataforma após a versão atual estar publicada. Versões anteriores ficam disponíveis mediante solicitação ao DPO.