1. Partes e definições
Este DPA é celebrado entre Benaia.ai ("Operadora") e o cliente contratante ("Controladora"), e regula o tratamento de dados pessoais realizado pela Operadora em nome da Controladora no âmbito do contrato principal de prestação de serviços.
2. Objeto e finalidade do processamento
A Operadora processará dados pessoais exclusivamente para prover as funcionalidades de governança, classificação de risco, documentação e auditoria de sistemas de IA, conforme instruções documentadas da Controladora.
3. Tipos de dados pessoais processados
- Dados de identificação (nome, e-mail corporativo, cargo)
- Metadados de sistemas de IA cadastrados pela Controladora
- Dados de conformidade e relatórios de auditoria
- Logs de acesso, uso e operação
4. Sub-processadores autorizados
- Supabase Inc. — banco de dados e autenticação — EUA / União Europeia
- Anthropic PBC — processamento de IA (modelos Claude) — EUA
- Resend Inc. — emails transacionais — EUA
- Vercel Inc. — infraestrutura e CDN — EUA / União Europeia
- Sentry — monitoramento de erros — EUA
Mudanças na lista de sub-processadores serão comunicadas com 30 dias de antecedência.
5. Transferências internacionais de dados
Transferências internacionais são realizadas com base em cláusulas contratuais padrão e demais salvaguardas previstas no art. 33 da LGPD.
6. Medidas de segurança técnicas e organizacionais
- Criptografia AES-256 em repouso e TLS 1.3 em trânsito
- Controle de acesso baseado em papéis (RBAC) e segregação por organização
- Row-Level Security em todas as tabelas multi-tenant
- Backups automáticos diários com retenção de 30 dias
- Registros de auditoria imutáveis
7. Notificação de incidentes
Incidentes de segurança envolvendo dados pessoais serão comunicados à Controladora em até 72 horas após a ciência, conforme art. 48 da LGPD.
8. Direitos dos titulares
A Operadora apoia a Controladora no atendimento aos direitos previstos no art. 18 da LGPD (acesso, correção, anonimização, eliminação, portabilidade, oposição e revisão de decisões automatizadas).
9. Exclusão de dados ao término do contrato
Encerrado o contrato, todos os dados pessoais serão excluídos ou anonimizados em até 30 dias, exceto quando a retenção for exigida por obrigação legal.
10. Vigência e rescisão
Este DPA vigora enquanto durar o contrato principal e prevalece em caso de conflito sobre as disposições relativas a proteção de dados pessoais.
