SMKTY Engage← Voltar ao site

Legal · Enterprise

Adendo de Processamento de Dados (DPA)

Última atualização: 11 de maio de 2026

Este Adendo ("DPA") faz parte integrante do contrato entre a SMKTY · Smart Marketing Equity ("Processadora") e o Cliente ("Controlador") para uso do SMKTY Engage. Estabelece os termos em que a SMKTY processa dados pessoais de terceiros (leads, clientes finais) em nome do Cliente, em conformidade com a LGPD (Lei 13.709/2018).

Este DPA aplica-se ao plano Enterprise. Para os demais planos, as obrigações de proteção de dados estão na Política de Privacidade e nos Termos de Uso.

1. Definições

"Dados Pessoais" — conforme LGPD Art. 5º, I; "Tratamento" — toda operação com dados pessoais (Art. 5º, X); "Controlador" — o Cliente que determina finalidades e meios do tratamento; "Processadora" — a SMKTY, que trata os dados em nome do Controlador.

2. Objeto e categorias de dados

A SMKTY processa Dados Pessoais exclusivamente para prestação do SMKTY Engage conforme instruções do Controlador. Categorias tipicamente envolvidas:

  • Dados de identificação de leads (nome, telefone, e-mail);
  • Conteúdo de conversas qualificadas pelo agente IA;
  • Dados de qualificação (respostas a frameworks BANT, MEDDIC, etc.);
  • Metadados de canal (timestamps, canal utilizado, status de entrega).

A SMKTY não processa dados sensíveis (LGPD Art. 5º, II) como parte do serviço padrão. O Controlador é responsável por garantir que dados sensíveis não sejam inseridos sem base legal adequada.

3. Obrigações da SMKTY (Processadora)

  • Tratar Dados Pessoais apenas conforme instruções documentadas do Controlador;
  • Garantir que pessoas autorizadas estejam sob obrigação de confidencialidade;
  • Implementar medidas de segurança adequadas (seção 6);
  • Não subcontratar novo processador sem autorização prévia do Controlador (seção 5);
  • Auxiliar o Controlador no atendimento a requisições de titulares (LGPD Art. 18);
  • Notificar o Controlador de incidentes de segurança em até 72 horas após ciência;
  • Excluir ou devolver Dados Pessoais ao término do contrato, conforme escolha do Controlador.

4. Obrigações do Controlador

  • Garantir base legal adequada (LGPD Art. 7º) para todos os dados inseridos na Plataforma;
  • Assegurar que leads foram captados de forma lícita e, quando necessário, com consentimento;
  • Não instruir a SMKTY a realizar tratamentos ilegais ou incompatíveis com a finalidade declarada;
  • Manter registro das atividades de tratamento (LGPD Art. 37) para dados processados via Engage;
  • Notificar a SMKTY sobre qualquer requisição de titular que exija resposta da Processadora.

5. Subprocessadores

O Controlador autoriza a SMKTY a contratar os seguintes subprocessadores:

SubprocessadorFunçãoPaís
Vercel Inc.Hospedagem e CDNEUA
Supabase Inc.Banco de dados (sa-east-1)EUA / BR
Anthropic PBC / OpenAI LLCModelos de linguagemEUA
Meta Platforms IrelandWhatsApp Cloud API / Instagram DMIrlanda / EUA
Google LLCAnalytics (GA4)EUA

A SMKTY notificará o Controlador com antecedência de 15 dias sobre qualquer alteração nesta lista. O Controlador pode se opor; caso a SMKTY mantenha a mudança, o Controlador pode rescindir sem penalidade.

6. Medidas de segurança

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
  • Autenticação multifator obrigatória para acesso a sistemas de produção;
  • Controle de acesso por princípio de menor privilégio com revisão trimestral;
  • Logs de acesso e auditoria com retenção de 12 meses;
  • Backup criptografado diário com testes trimestrais;
  • SLA de patch para vulnerabilidades críticas em 72h.

7. Notificação de incidentes

Em caso de incidente que afete Dados Pessoais, a SMKTY notificará o Controlador em até 72 horas após ciência, incluindo: natureza do incidente, categorias e volume estimado de titulares afetados, consequências prováveis e medidas adotadas.

O Controlador é responsável por notificar a ANPD e os titulares afetados nos prazos da LGPD.

8. Transferências internacionais

Alguns subprocessadores (seção 5) estão sediados fora do Brasil. Essas transferências se baseiam em cláusulas contratuais padrão, certificações de adequação do país destinatário ou consentimento dos titulares, conforme aplicável (LGPD Art. 33).

9. Auditoria

O Controlador pode, com aviso prévio de 30 dias, solicitar auditoria das práticas de proteção de dados da SMKTY, limitada uma vez por período contratual de 12 meses, conduzida por auditor independente acordado entre as partes e às custas do Controlador.

10. Vigência e rescisão

Este DPA entra em vigor na data de assinatura do contrato Enterprise e permanece válido pelo mesmo prazo. Ao término, a SMKTY excluirá todos os Dados Pessoais do Controlador em até 90 dias, salvo obrigação legal de retenção, com confirmação por escrito.

11. Assinar o DPA

Para formalizar o DPA ou tirar dúvidas:

E-mail: contato@smkty.com.br

WhatsApp: +55 11 93065-6305

Solicitações respondidas em até 5 dias úteis para clientes Enterprise qualificados.