Simple Agent← Trust Center
Legal

Data Processing Agreement (DPA)

Versão efetiva: 2026-05-14 · Última atualização: 2026-05-14

Este DPA é um template padrão alinhado à LGPD e ao GDPR. Não constitui aconselhamento jurídico. Clientes que necessitem de DPA assinado devem contatar legal@simple-agent.me.

1. Definições

Controlador — a entidade (cliente do Simple Agent) que determina os propósitos e os meios do tratamento de Dados Pessoais.

Operador / Processador — Simple Agent Tecnologia Ltda., que trata Dados Pessoais em nome e sob instrução do Controlador.

Titular dos Dados / Data Subject — a pessoa natural a quem os Dados Pessoais se referem.

Dados Pessoais — qualquer informação relacionada a pessoa natural identificada ou identificável, conforme definido pela LGPD (Art. 5º, I) e pelo GDPR (Art. 4º, §1).

Tratamento / Processing — qualquer operação realizada com Dados Pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

2. Objeto e Duração do Tratamento

O Operador trata Dados Pessoais exclusivamente para fornecer os serviços contratados pelo Controlador por meio da plataforma Simple Agent — incluindo treinamento de agentes de IA, armazenamento de histórico de conversas e operação de widgets de chat.

O tratamento persiste pelo período de vigência do contrato de serviço. Após rescisão ou cancelamento, os dados são retidos por 30 (trinta) dias para fins de recuperação e, em seguida, eliminados de forma irreversível, salvo obrigação legal de retenção superior.

3. Natureza e Finalidade do Tratamento

O tratamento é realizado por meios automatizados e compreende as seguintes finalidades:

  • Operação dos agentes de IA configurados pelo Controlador.
  • Armazenamento e recuperação de histórico de conversas.
  • Geração de embeddings para recuperação semântica (RAG).
  • Emissão de respostas via modelos de linguagem de terceiros.
  • Registro de logs de auditoria e observabilidade.
  • Suporte técnico e resolução de incidentes.

4. Tipos de Dados e Categorias de Titulares

Dados tratados:

  • Dados de identificação (nome, e-mail) dos usuários finais do Controlador.
  • Conteúdo de conversas (mensagens enviadas ao agente de IA).
  • Metadados de sessão (IP, user-agent, timestamps).
  • Documentos e arquivos carregados pelo Controlador para treinamento.

Categorias de titulares: clientes, leads e usuários finais da plataforma do Controlador.

O Controlador é responsável por não transmitir ao Simple Agent dados de categorias sensíveis (Art. 5º, II LGPD / Art. 9 GDPR) sem prévia contratação do módulo HIPAA-ready e assinatura de BAA específico.

5. Obrigações do Operador

O Operador se compromete a:

  • Tratar Dados Pessoais apenas segundo instruções documentadas do Controlador, salvo obrigação legal em contrário.
  • Implementar e manter medidas técnicas e organizacionais adequadas (AES-256-GCM at rest, TLS 1.3 in transit, isolamento de tenant).
  • Garantir que pessoas com acesso aos dados estejam vinculadas a obrigações de confidencialidade.
  • Envolver suboperadores apenas conforme listado na cláusula 9 deste DPA e mediante garantias equivalentes.
  • Assistir o Controlador no atendimento a direitos dos titulares (acesso, correção, exclusão, portabilidade) no prazo de 5 dias úteis após solicitação.
  • Notificar o Controlador dentro de 72 horas após tomar ciência de incidente de segurança envolvendo Dados Pessoais.
  • Eliminar ou devolver todos os Dados Pessoais ao término do contrato, conforme escolha do Controlador, dentro de 30 dias.

6. Transferências Internacionais

Dados Pessoais podem ser transferidos e tratados em servidores localizados nos Estados Unidos e na União Europeia por nossos subprocessadores (veja cláusula 9).

Para transferências de titulares europeus, o Simple Agent adota as Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia (Decisão 2021/914). O Controlador pode solicitar cópia dos SCCs vigentes via legal@simple-agent.me.

Para titulares brasileiros, as transferências internacionais são realizadas com base em garantias adequadas conforme Art. 33, II e VIII da LGPD.

7. Direitos de Auditoria

O Controlador tem direito a realizar auditorias ou solicitar relatórios de auditoria independentes das medidas de segurança do Operador, com aviso prévio de 30 dias e não mais de uma vez por ano calendário.

O relatório do pentest anual estará disponível sob NDA mediante solicitação formal.

8. Devolução e Eliminação de Dados

Ao término da relação contratual, o Controlador pode exportar seus dados via painel em até 30 dias após o cancelamento. Após esse período, todos os Dados Pessoais são eliminados de forma irreversível dos sistemas do Operador e de seus subprocessadores, exceto quando a retenção for exigida por lei.

9. Suboperadores / Sub-processadores

Lista completa e atualizada disponível em /trust#subprocessors.

O Controlador será notificado com 10 dias de antecedência de qualquer adição ou substituição de suboperador. Caso o Controlador se oponha, pode rescindir o contrato sem penalidade.

10. Responsabilidade

A responsabilidade do Operador por violações deste DPA está limitada ao valor pago pelo Controlador nos 12 meses anteriores ao evento, conforme permitido pela legislação aplicável.

O Controlador é responsável por garantir que a base legal para o tratamento de Dados Pessoais foi identificada e documentada antes de transmiti-los ao Simple Agent.

Precisa de um DPA assinado?

Clientes Enterprise podem solicitar DPA com assinatura eletrônica via legal@simple-agent.me. Tempo de retorno: 2 dias úteis.