Colaborador Online
← Voltar pro site
LGPD · Documento legal

Acordo de Tratamento de Dados Pessoais (DPA)

Última atualização: 26 de maio de 2026 · Anexo ao Contrato

Este Acordo de Tratamento de Dados Pessoais ("DPA") é parte integrante e indissociável do Contrato de Licença de Uso de Software e de Prestação de Serviços celebrado entre Thiago Tsuguio Moura Matsui, operador da plataforma Colaborador Online, e a CONTRATANTE identificada no Contrato. Aplica-se ao tratamento de dados pessoais realizado em razão da prestação dos serviços e observa a Lei nº 13.709/2018 (LGPD).

1. Definições

Os termos dado pessoal, dado pessoal sensível, titular, tratamento, controlador, operador, encarregado, incidente de segurança e ANPD têm o significado atribuído pela LGPD. Dados dos Pacientes são os dados pessoais de pacientes e clientes da CONTRATANTE tratados na plataforma.

2. Papéis das Partes

2.1. Quanto aos Dados dos Pacientes, a CONTRATANTE é a CONTROLADORA, competindo-lhe as decisões sobre as finalidades e os meios do tratamento, e a Colaborador Online é a OPERADORA, que trata os dados em nome e segundo as instruções da Controladora.

2.2. Quanto aos dados cadastrais, de pagamento e de uso da própria CONTRATANTE e de seus Usuários, a Colaborador Online atua como Controladora, na forma da Política de Privacidade.

3. Objeto e descrição do tratamento

3.1. Objeto: tratamento de Dados dos Pacientes para viabilizar o atendimento automatizado por IA, o agendamento, o registro de atendimentos e a gestão pela CONTRATANTE.

3.2. Natureza e finalidade: coleta, armazenamento, organização, uso e eliminação dos dados, com a finalidade exclusiva de prestar os serviços contratados.

3.3. Tipos de dados: dados de identificação e contato, conteúdo de mensagens, dados de agendamento e dados pessoais sensíveis de saúde inseridos pela CONTRATANTE.

3.4. Categorias de titulares: pacientes e clientes da CONTRATANTE.

3.5. Duração: o tratamento perdura enquanto vigente o Contrato, observado o previsto na cláusula 9 deste DPA.

4. Instruções de tratamento

4.1. A Operadora tratará os Dados dos Pacientes somente conforme as instruções documentadas da Controladora e o necessário à prestação dos serviços, não os utilizando para finalidades próprias.

4.2. A Operadora informará a Controladora caso entenda que uma instrução viola a LGPD, podendo suspender a execução da instrução questionada.

5. Obrigações da Operadora

A Operadora obriga-se a:

6. Medidas de segurança

A Operadora adotará medidas técnicas e administrativas adequadas à proteção dos dados, incluindo, conforme aplicável: criptografia de dados em trânsito e em repouso; controle de acesso baseado em identificação e autenticação; segregação lógica dos ambientes de cada cliente (isolamento multi-tenant); registro de acessos e operações relevantes (logs); realização e teste periódico de backups; e aplicação de atualizações de segurança. As medidas serão revistas e aprimoradas ao longo do tempo, podendo ser substituídas por outras de eficácia equivalente ou superior.

7. Suboperadores e transferência internacional

7.1. A Controladora autoriza a Operadora a contratar suboperadores para a execução dos serviços, obrigando-se a Operadora a impor a eles obrigações de proteção de dados compatíveis com este DPA e a permanecer responsável perante a Controladora.

7.2. Os suboperadores atuais incluem, de forma exemplificativa: provedor de inteligência artificial; provedor de infraestrutura de hospedagem em nuvem; provedor de pagamentos; e provedores de conexão com as plataformas de mensagens. A Operadora informará a Controladora sobre alterações relevantes na relação de suboperadores.

7.3. A Controladora autoriza a transferência internacional dos dados quando necessária à prestação dos serviços — inclusive para provedores de IA e de nuvem situados no exterior —, observadas as hipóteses e salvaguardas da LGPD, de modo a assegurar grau de proteção compatível com o brasileiro.

8. Incidentes de segurança

8.1. A Operadora comunicará a Controladora, sem demora injustificada e preferencialmente em até 48 (quarenta e oito) horas após tomar conhecimento, qualquer incidente de segurança que possa acarretar risco ou dano aos titulares.

8.2. A comunicação conterá, na medida do disponível: a descrição do incidente, os dados e titulares afetados, as medidas adotadas e as recomendações à Controladora.

8.3. Compete à Controladora, na qualidade de responsável pelas decisões sobre o tratamento, avaliar e realizar as comunicações à ANPD e aos titulares, quando cabíveis, com o auxílio da Operadora.

9. Devolução e eliminação dos dados

9.1. Encerrado o Contrato, a Operadora disponibilizará à Controladora, por prazo razoável, a possibilidade de exportar os Dados dos Pacientes.

9.2. Decorrido esse prazo, a Operadora eliminará os Dados dos Pacientes de seus ambientes, ressalvada a conservação exigida por obrigação legal ou regulatória e a guarda necessária ao exercício regular de direitos, hipóteses em que os dados permanecerão protegidos e com acesso restrito.

10. Auxílio à Controladora e direitos dos titulares

A Operadora auxiliará a Controladora, na medida do tecnicamente possível, a responder a solicitações de titulares (acesso, correção, eliminação, portabilidade, entre outras) e a cumprir suas obrigações de segurança e de prestação de informações à ANPD. Solicitações de titulares recebidas diretamente pela Operadora serão encaminhadas à Controladora.

11. Auditoria

A Operadora disponibilizará à Controladora, mediante solicitação razoável e com aviso prévio, informações necessárias para demonstrar o cumprimento deste DPA, preservados a confidencialidade, a segurança e os dados de outros clientes.

12. Responsabilidade

Cada Parte responde pelas obrigações que a LGPD lhe atribui na respectiva qualidade de Controladora ou Operadora. A Controladora é responsável por possuir base legal para o tratamento dos Dados dos Pacientes e pela licitude das instruções que fornecer, aplicando-se a cláusula de isenção e indenização prevista no Contrato.

13. Vigência

Este DPA vigora enquanto durar o Contrato e, quanto às obrigações de sigilo e de eliminação de dados, pelo tempo necessário ao seu cumprimento.