Acordo de Processamento de Dados (DPA)

Partes e objeto

Este Acordo de Processamento de Dados ("DPA") é parte integrante dos Termos e Condições de Uso celebrados entre:

Operadora: Zenith Digital Solutions, CNPJ 41.120.995/0001-01 ("Zenith"), que processa dados pessoais em nome do Cliente;
Controladora: O Cliente ("Contratante") que determina as finalidades e os meios do tratamento de dados pessoais de seus contatos e leads.

Este DPA estabelece os termos segundo os quais a Zenith trata dados pessoais de titulares (leads, clientes e contatos do Contratante) no âmbito da prestação dos serviços, em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei 13.709/2018) e com os requisitos da Meta Platforms, Inc. para uso da WhatsApp Business Platform.

Papéis e responsabilidades

A Zenith é Operadora (Art. 5º, VII da LGPD): processa dados pessoais exclusivamente por instrução do Contratante. O Contratante é o Controlador (Art. 5º, VI): determina as finalidades e é responsável pela base legal do tratamento perante os titulares.

A Zenith não utiliza os dados dos titulares para fins próprios, não os vende, não os compartilha com terceiros exceto sub-operadores necessários à prestação do serviço (listados na Cláusula 06), e não realiza nenhum tratamento além do expressamente instruído pelo Contratante.

O Contratante é responsável por:

Garantir base legal válida para o tratamento (Art. 7º e 11 da LGPD), incluindo opt-in para envio de mensagens via WhatsApp;
Informar os titulares sobre o tratamento de seus dados conforme exigido pela LGPD;
Atender às solicitações dos titulares relativas aos seus direitos (acesso, correção, exclusão, portabilidade);
Cumprir as políticas da Meta para uso da WhatsApp Business API, incluindo obtenção de consentimento para envio de mensagens.

Categorias de dados tratados

No âmbito do serviço, a Zenith trata as seguintes categorias de dados pessoais dos contatos do Contratante:

Categoria	Exemplos	Finalidade
Identificação	Nome, número de telefone (WhatsApp)	Identificar o titular e operar a conversa
Comunicações	Conteúdo das mensagens enviadas e recebidas	Processar o atendimento automatizado e histórico
Dados de uso	Horário das mensagens, status de entrega (enviado/entregue/lido)	Métricas de engajamento e qualidade do serviço
Dados de negócio	Interesses de compra/locação, faixa de preço, bairros de interesse	Qualificação de leads e personalização do atendimento
Dados de localização	Localização compartilhada voluntariamente via WhatsApp	Indicação de imóveis próximos (apenas se compartilhado pelo titular)
Dados de agendamento	Data, hora e local de visitas agendadas	Integração com agenda e confirmações automáticas

A Zenith não coleta, solicita ou trata categorias sensíveis de dados (Art. 11 da LGPD) salvo se involuntariamente incluídas pelo titular no conteúdo das mensagens, caso em que serão tratadas com as mesmas medidas de segurança aplicadas aos demais dados.

Finalidades e bases legais

Os dados pessoais são tratados exclusivamente para as seguintes finalidades, todas sob instrução do Contratante:

Operacionalizar o atendimento automatizado via WhatsApp (base: execução de contrato — Art. 7º, V);
Qualificar e registrar leads no CRM do Contratante (base: legítimo interesse do Contratante — Art. 7º, IX);
Enviar mensagens ativas (campanhas e notificações) por instrução do Contratante para contatos que manifestaram opt-in (base: consentimento — Art. 7º, I, ou legítimo interesse);
Processar agendamentos e enviar confirmações automáticas (base: execução de contrato — Art. 7º, V);
Gerar relatórios e métricas de atendimento para o Contratante (base: legítimo interesse);
Cumprir obrigações legais aplicáveis (base: obrigação legal — Art. 7º, II).

Prazo de retenção

Os dados pessoais são mantidos enquanto o contrato estiver vigente. Após o encerramento:

90 dias: período de retenção pós-cancelamento para permitir exportação pelo Contratante;
Após 90 dias: eliminação segura de todos os dados pessoais dos sistemas da Zenith, incluindo backups, salvo obrigação legal de retenção;
Logs de segurança e auditoria: mantidos por até 12 meses para fins de segurança da informação e cumprimento de obrigações legais;
Registros de transações financeiras: mantidos pelo prazo legal de 5 anos conforme exigência fiscal.

O Contratante pode solicitar exportação de todos os dados antes do encerramento enviando e-mail para privacidade@zenithdigitalsolutions.tech.

Sub-operadores autorizados

A Zenith utiliza os seguintes sub-operadores para a prestação do serviço. Todos são contratados com cláusulas de proteção de dados equivalentes às deste DPA:

Sub-operador	País	Finalidade
Meta Platforms, Inc.	EUA	Transmissão e entrega de mensagens via WhatsApp Cloud API; armazenamento temporário de mensagens conforme política Meta
Hostinger International Ltd.	Lituânia / BR (VPS)	Hospedagem da infraestrutura de servidores da Zenith
Supabase, Inc.	EUA	Banco de dados PostgreSQL (dados armazenados em servidores no Brasil quando disponível)
Anthropic, PBC	EUA	Processamento de linguagem natural para o agente de IA (conteúdo das conversas processado para geração de respostas)
Groq, Inc.	EUA	Transcrição de áudios enviados via WhatsApp (quando habilitado)
Google LLC	EUA	Integração com Google Agenda para agendamentos (apenas quando habilitado pelo Contratante)

A Zenith notificará o Contratante com antecedência mínima de 15 (quinze) dias sobre a adição de novos sub-operadores que impliquem mudanças materiais no tratamento de dados.

Medidas de segurança

A Zenith implementa medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo:

Criptografia em trânsito (TLS 1.2+) em todas as comunicações entre sistemas;
Criptografia em repouso dos tokens de acesso e credenciais sensíveis (AES-256);
Controle de acesso baseado em função (RBAC) — cada usuário acessa apenas os dados de sua organização;
Autenticação segura com hashing de senhas (bcrypt) e suporte a múltiplos fatores;
Isolamento de dados multi-tenant — dados de diferentes Contratantes são logicamente segregados;
Backups criptografados com retenção controlada;
Monitoramento de acesso e logs de auditoria;
Acesso à infraestrutura de produção restrito a equipe autorizada via chaves SSH.

Transferência internacional de dados

Alguns sub-operadores listados na Cláusula 06 (Meta, Anthropic, Groq, Google) estão sediados nos Estados Unidos. As transferências internacionais ocorrem com base em:

Necessidade de execução do contrato (Art. 33, V da LGPD);
Cláusulas contratuais de proteção de dados equivalentes às exigências da LGPD (Art. 33, II);
Consentimento específico do titular, quando aplicável (Art. 33, VIII).

A Zenith prioriza, quando disponível, o processamento e armazenamento de dados em servidores localizados no Brasil.

Direitos dos titulares

Os titulares dos dados (leads e contatos do Contratante) têm os seguintes direitos garantidos pela LGPD (Art. 18):

Confirmação da existência do tratamento e acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
Portabilidade dos dados a outro fornecedor;
Eliminação dos dados tratados com base no consentimento;
Informação sobre com quais entidades os dados foram compartilhados;
Revogação do consentimento a qualquer momento.

As solicitações dos titulares devem ser encaminhadas primariamente ao Contratante (Controlador). O Contratante poderá repassar à Zenith as solicitações que requeiram ação técnica sobre os dados. A Zenith responderá em até 15 (quinze) dias úteis. Para solicitações diretas: privacidade@zenithdigitalsolutions.tech.

Notificação de incidentes de segurança

Em caso de incidente de segurança que resulte em acesso não autorizado, perda, destruição, alteração ou divulgação indevida de dados pessoais, a Zenith:

Notificará o Contratante em até 48 (quarenta e oito) horas após a confirmação do incidente;
Fornecerá descrição da natureza do incidente, categorias e estimativa do número de titulares afetados, possíveis consequências e medidas adotadas ou propostas;
Cooperará com o Contratante para a notificação à ANPD (Autoridade Nacional de Proteção de Dados) dentro do prazo legal de 72 horas, quando aplicável;
Tomará medidas imediatas de contenção e investigará a causa raiz.

Conformidade com a WhatsApp Business Platform

Como Tech Provider credenciado pela Meta, a Zenith exige que o Contratante cumpra os seguintes requisitos relativos ao uso da WhatsApp Business Platform:

Enviar mensagens apenas para contatos que forneceram opt-in explícito para receber comunicações via WhatsApp daquela empresa específica;
Não utilizar dados obtidos via WhatsApp para finalidades não relacionadas ao atendimento do contato (ex: venda de dados, perfilamento para terceiros);
Respeitar as solicitações de opt-out dos contatos, cessando o envio de mensagens imediatamente;
Não compartilhar com a Zenith ou com a Meta dados de contatos obtidos por meios não autorizados pelas políticas da Meta;
Manter registros de consentimento (opt-in) de todos os contatos da base de campanhas, disponíveis para auditoria mediante solicitação da Meta ou da Zenith.

O descumprimento destes requisitos poderá resultar em suspensão do serviço pela Zenith ou pela Meta, sem direito a reembolso pelas conversas já processadas.

Encarregado de Proteção de Dados (DPO)

O Encarregado de Proteção de Dados da Zenith pode ser contatado em:

E-mail: privacidade@zenithdigitalsolutions.tech
Assunto: "DPO — [seu nome/empresa]"

Para exclusão de dados: zenithdigitalsolutions.tech/excluir-dados/

Vigência e alterações

Este DPA entra em vigor na data de aceitação dos Termos e Condições e permanece válido durante toda a vigência do contrato de serviço, incluindo o período pós-cancelamento de 90 dias (retenção de dados).

A Zenith pode atualizar este DPA para refletir mudanças na legislação, nos sub-operadores ou nas práticas de segurança. Alterações serão comunicadas por e-mail com antecedência mínima de 15 (quinze) dias. O uso continuado do serviço após esse prazo implica aceitação do DPA atualizado.

Este DPA é regido pela legislação brasileira, em especial a LGPD (Lei 13.709/2018). Fica eleito o foro da Comarca de São Paulo/SP para dirimir eventuais controvérsias.