Este Adendo de Tratamento de Dados (“DPA”) integra os Termos de Uso e aplica-se exclusivamente às contas corporativas (plano Team), nas quais uma organização contratante (“Organização”) provisiona assentos para os seus membros. Ele disciplina o tratamento de dados pessoais dos membros vinculados à Organização, realizado pela CERES INTELIGENCIA FINANCEIRA LTDA, CNPJ 05.097.487/0001-96 , na condição de operadora, sob instrução da Organização, em conformidade com a Lei nº 13.709/2018 (LGPD). Para os demais titulares e tratamentos, aplica-se a Política de Privacidade.
1. Definições
Os termos controlador, operador, titular, dado pessoal e tratamento têm o significado do art. 5º da LGPD.
2. Papéis das partes
- A Organização é a controladora dos dados pessoais dos seus membros: decide quem recebe assento, para qual finalidade e por quanto tempo, respondendo pela base legal desse tratamento perante os titulares.
- A Ceres é a operadora: trata os dados dos membros apenas para viabilizar a gestão de assentos da Organização e conforme as instruções desta e este DPA.
- Nos tratamentos próprios da plataforma (criação de conta, autenticação, segurança e cobrança), a Ceres é controladora, regida pela Política de Privacidade.
3. Objeto, natureza, finalidade e duração
- Objeto e natureza: disponibilizar à administradora da Organização a lista de membros vinculados, com o endereço de e-mail, o status (administrador ou membro) e a data de entrada de cada assento.
- Finalidade: gestão dos assentos contratados pela Organização (provisionamento, visualização e remoção de membros).
- Duração: enquanto vigorar a contratação do plano Team, observado o item 7 (eliminação) ao término.
4. Categorias de titulares e de dados
Titulares: membros e administradores vinculados aos assentos da Organização. Dados tratados: endereço de e-mail, status do assento (administrador/membro) e data de entrada. Não há tratamento de dados sensíveis nesse âmbito.
5. Obrigações da operadora
A Ceres, como operadora, compromete-se a:
- tratar os dados apenas conforme as instruções da Organização e as finalidades deste DPA, não os utilizando para fins próprios;
- garantir a confidencialidade e restringir o acesso ao pessoal autorizado;
- adotar as medidas de segurança do item 6 (arts. 46 a 49 da LGPD);
- auxiliar a Organização a responder às requisições dos titulares (art. 18) e às solicitações da ANPD;
- comunicar a Organização, sem demora injustificada, sobre incidentes de segurança que possam acarretar risco ou dano aos titulares (art. 48).
6. Segurança da informação
A Ceres mantém medidas técnicas e administrativas apropriadas: criptografia em trânsito (TLS) e em repouso, senhas com hash bcrypt, tokens de sessão guardados apenas como hash, controle de acesso e registro de acessos. O acesso à lista de membros é autorizado apenas ao administrador da respectiva Organização.
7. Suboperadores
A Organização autoriza a Ceres a utilizar os suboperadores de infraestrutura já indicados na Política de Privacidade — notadamente Supabase (banco de dados gerenciado e hospedagem) e provedores de infraestrutura/CDN — sempre sob obrigações de proteção de dados equivalentes às deste DPA. Mudanças relevantes de suboperadores serão comunicadas com antecedência razoável.
8. Transferência internacional
Quando um suboperador armazenar dados fora do Brasil, a transferência internacional observa os arts. 33 e seguintes da LGPD.
9. Eliminação ao término
Encerrada a contratação do plano Team, a Ceres elimina ou devolve à Organização os dados tratados nesta condição de operadora, ressalvadas as hipóteses de guarda obrigatória previstas em lei. A eliminação da conta individual de cada membro segue a Política de Privacidade.
10. Responsabilidade e contato
As partes cooperam para o cumprimento da LGPD e o atendimento à ANPD e aos titulares. Dúvidas sobre este DPA podem ser encaminhadas ao Encarregado (DPO) da plataforma DataCeres: [NOME DO ENCARREGADO], e-mail [E-MAIL DO ENCARREGADO].