​
ACORDO DE PROCESSAMENTO DE DADOS (DPA)
Esta tradução é fornecida apenas por conveniência. Em caso de inconsistência, prevalecerá a versão em inglês.
Data de Vigência: 1 de janeiro de 2026
​
Este Acordo de Processamento de Dados (“DPA”) integra e passa a fazer parte, por referência, do(s) contrato(s) celebrado(s) entre a SOBEREYE INC. (“Operadora”) e a entidade cliente (“Controladora”) que regem o uso da plataforma OPTOVERA e dos serviços relacionados (os “Serviços”).
Este DPA aplica-se ao tratamento de Dados Pessoais realizado pela Operadora em nome da Controladora no contexto dos Serviços.
​
1. Definições
Para os fins deste DPA:
“Leis de Proteção de Dados Aplicáveis” significa todas as leis e regulamentos aplicáveis ao tratamento de Dados Pessoais nos termos deste DPA, incluindo, conforme aplicável:
-
o Regulamento (UE) 2016/679 (GDPR),
-
a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018),
-
as leis federais e estaduais de privacidade aplicáveis dos Estados Unidos,
-
e outras leis de proteção de dados aplicáveis na América Latina e em outras jurisdições.
“Controlador”, “Operador”, “Dados Pessoais”, “Tratamento”, “Titular dos Dados” e “Autoridade Supervisora” terão os significados atribuídos pelas Leis de Proteção de Dados Aplicáveis.
“Dados Pessoais Sensíveis” incluem categorias especiais de dados pessoais nos termos do art. 9 do GDPR e dados pessoais sensíveis nos termos do art. 5º, II, da LGPD.
​
2. Papéis das Partes
​
2.1 Controladora
A Controladora determina as finalidades e os meios do Tratamento de Dados Pessoais no contexto dos Serviços.
​
2.2 Operadora
A Operadora trata os Dados Pessoais exclusivamente em nome da Controladora e de acordo com suas instruções documentadas, inclusive conforme estabelecido no(s) contrato(s) que regem os Serviços e neste DPA.
A Operadora não atua como controladora independente em relação aos Dados Pessoais tratados nos termos deste DPA.
​
3. Escopo e Finalidade do Tratamento
A Operadora tratará os Dados Pessoais apenas para as seguintes finalidades:
-
fornecer, operar e dar suporte à plataforma OPTOVERA e aos Serviços;
-
viabilizar fluxos de trabalho de segurança do trabalho, prontidão operacional e avaliação de risco de fadiga, conforme configurados pela Controladora;
-
assegurar a segurança da plataforma, auditabilidade e integridade dos serviços;
-
cumprir obrigações legais e regulatórias aplicáveis.
-
​
A Operadora não tratará Dados Pessoais para fins próprios, incluindo marketing, publicidade ou análises não relacionadas.
​
A Operadora não utilizará Dados Pessoais para realizar decisões automatizadas que produzam efeitos jurídicos ou efeitos significativamente similares em relação aos Titulares dos Dados.
​
4. Categorias de Dados e Titulares
​
4.1 Categorias de Titulares dos Dados
Os Titulares dos Dados podem incluir empregados, contratados ou pessoal autorizado da Controladora.
​
4.2 Categorias de Dados Pessoais
Os Dados Pessoais tratados podem incluir:
-
identificadores pseudonimizados de usuários atribuídos pela Controladora;
-
indicadores de prontidão, fadiga ou segurança operacional;
-
resultados de avaliações operacionais e registros de fluxos de trabalho de segurança;
-
dados técnicos, de sistema, de acesso e logs de auditoria.
​​
A Operadora não exige nem trata identificadores pessoais diretos, tais como nomes, números de documentos oficiais, dados pessoais de contato ou informações de folha de pagamento.
​
5. Tratamento de Dados Biométricos e Dados Pessoais Sensíveis
Quando aplicável, a Operadora poderá tratar dados biométricos (incluindo reconhecimento de íris) e características fisiológicas derivadas de dados biométricos exclusivamente para:
-
associação de usuários de forma um-para-um (1:1) no ambiente da Controladora;
-
finalidades de prontidão operacional e avaliação de segurança.
Tal tratamento:
-
limita-se à associação um-para-um (1:1);
-
não envolve vigilância, rastreamento, perfilhamento ou identificação em grupo;
-
não envolve casos de uso de identificação pública, civil, governamental ou de aplicação da lei.
-
​
A Operadora trata Dados Pessoais Sensíveis apenas quando permitido pelas Leis de Proteção de Dados Aplicáveis, incluindo o art. 9(2)(b) e (h) do GDPR e o art. 11, II, da LGPD, e sujeito a salvaguardas adequadas.
​
6. Obrigações da Operadora
A Operadora deverá:
a) tratar os Dados Pessoais apenas de acordo com as instruções documentadas da Controladora;
b) assegurar que as pessoas autorizadas a tratar Dados Pessoais estejam vinculadas a obrigações de confidencialidade;
c) implementar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais;
d) não divulgar Dados Pessoais a terceiros, salvo conforme permitido por este DPA ou exigido por lei;
e) informar prontamente a Controladora, na medida em que for razoavelmente aparente, caso uma instrução infrinja as Leis de Proteção de Dados Aplicáveis.
​
7. Medidas de Segurança
A Operadora manterá um Sistema de Gestão da Segurança da Informação (SGSI) alinhado à norma ISO/IEC 27001, abrangendo pessoas, processos e tecnologia, levando em consideração o estado da arte e a natureza dos Serviços.
As medidas de segurança incluem, conforme aplicável:
-
criptografia de dados em trânsito e em repouso;
-
controles de acesso baseados em função (RBAC);
-
segregação de ambientes;
-
registros, monitoramento e controles de auditoria;
-
políticas internas de segurança e treinamentos de colaboradores.
​
8. Suboperadores
A Controladora autoriza a Operadora a contratar suboperadores necessários para a prestação dos Serviços.
​
A Operadora assegurará que qualquer suboperador esteja sujeito a obrigações de proteção de dados não menos protetivas do que as previstas neste DPA.
​
A Operadora disponibilizará uma lista atualizada de suboperadores mediante solicitação ou por meio de seu website. A Controladora poderá se opor a um novo suboperador apenas por motivos razoáveis relacionados à proteção de dados.
​
9. Assistência à Controladora
A Operadora prestará assistência razoável, levando em conta a natureza do Tratamento e as informações disponíveis à Operadora, e observada a responsabilidade da Controladora por tais avaliações.
​
Tal assistência poderá estar sujeita a reembolso razoável de custos, quando legalmente permitido.
​
10. Incidentes de Segurança com Dados Pessoais
A Operadora notificará a Controladora sem demora indevida, após tomar conhecimento de um incidente de segurança envolvendo Dados Pessoais tratados nos termos deste DPA, dentro de um prazo comercialmente razoável, na medida em que as informações estejam disponíveis no momento.
​
A notificação incluirá as informações disponíveis necessárias para que a Controladora cumpra suas obrigações legais.
​
11. Transferências Internacionais de Dados
Quando houver transferência internacional de Dados Pessoais, a Operadora garantirá a adoção de salvaguardas adequadas, em conformidade com as Leis de Proteção de Dados Aplicáveis.
Tais salvaguardas podem incluir cláusulas contratuais padrão, compromissos contratuais e medidas organizacionais.
​
12. Retenção e Eliminação de Dados
Os Dados Pessoais serão mantidos apenas pelo período determinado pela Controladora, por exigências contratuais ou por lei aplicável.
​
Após o término dos Serviços ou mediante instrução da Controladora, a Operadora eliminará de forma segura ou anonimizará os Dados Pessoais, salvo quando a retenção for exigida por lei.
​
13. Auditorias e Conformidade
A Operadora disponibilizará informações razoavelmente necessárias para demonstrar a conformidade com este DPA, de forma que não interfira de maneira indevida em suas operações.
​
Quando apropriado, a conformidade poderá ser demonstrada por meio de certificações, relatórios de auditoria ou mecanismos equivalentes de garantia. As auditorias serão limitadas a uma vez por ano, salvo exigência legal.
​
14. Lei Aplicável e Prevalência
Este DPA será regido pela mesma lei aplicável ao contrato que rege os Serviços, salvo se exigido de outra forma pelas Leis de Proteção de Dados Aplicáveis.
Em caso de conflito, este DPA prevalecerá no que se refere às obrigações de proteção de dados.
​
15. Vigência e Sobrevivência
Este DPA permanecerá em vigor durante todo o período em que a Operadora tratar Dados Pessoais em nome da Controladora e continuará válido após o término dos Serviços, na medida necessária para o cumprimento de suas obrigações.
​
16. Contato
Para assuntos relacionados à proteção de dados referentes a este DPA, a Controladora poderá entrar em contato pelo e-mail:
info@sobereye.com