Voltar ao início

LGPD Art. 39 · GDPR Art. 28

Acordo de Tratamento de Dados (DPA)

Última atualização: 5 de junho de 2026  ·  Versão 2.0

📋

Aceite automático ao contratar. Ao criar uma conta e contratar qualquer plano da Notifiquei, o Controlador declara ter lido, compreendido e concordado integralmente com este Acordo de Operação de Dados, que passa a fazer parte integrante dos Termos de Uso. O aceite é registrado com data, hora e IP no momento do cadastro.

1 Partes e definições

Este Acordo é celebrado entre:

Operador (LGPD, Art. 5º, VII)
Notifiquei
CNPJ 59.859.848/0001-13
contato@notifiquei.com.br
Controlador (LGPD, Art. 5º, VI)
O Cliente
Pessoa física ou jurídica que contrata a Notifiquei e determina as finalidades e os meios do tratamento de dados de seus seguidores e contatos no Instagram.

Para os fins deste Acordo, aplicam-se as definições da Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD): Dados Pessoais (qualquer informação relacionada a pessoa natural identificada ou identificável), Tratamento (toda operação realizada com dados pessoais), Titular (a pessoa natural a quem se referem os dados), Suboperador (terceiro que realiza tratamento sob instrução do Operador).

2 Objeto e natureza do tratamento

A Notifiquei atua como Operadora no tratamento dos dados pessoais de terceiros (seguidores, comentaristas e remetentes de mensagens diretas no Instagram) que interagem com as automações configuradas pelo Controlador (Cliente).

O tratamento realizado pela Notifiquei inclui:

  • Recepção e processamento de mensagens diretas (DMs) recebidas pelo perfil do Controlador;
  • Leitura e resposta automatizada a comentários em publicações do Controlador;
  • Processamento de interações em stories, conforme fluxos configurados pelo Controlador;
  • Armazenamento temporário de identificadores de usuário do Instagram necessários para operar as automações;
  • Geração de relatórios e estatísticas de uso para o Controlador.

A Notifiquei não determina as finalidades do tratamento — estas são definidas exclusivamente pelo Controlador ao configurar os fluxos de automação.

3 Tipos de dados e categorias de titulares

Tipo de dadoCategoria de titularOrigem
Nome de usuário do InstagramSeguidores / visitantes do perfil do ControladorAPI oficial Meta
Identificador único de usuário (PSID/IGSID)Usuários que enviaram DM ou comentaramAPI oficial Meta
Conteúdo de mensagens recebidasUsuários que iniciaram conversaAPI oficial Meta
Conteúdo de comentários públicosUsuários que comentaram em publicaçõesAPI oficial Meta
Timestamp das interaçõesTodos os anterioresAPI oficial Meta

Não são tratados dados sensíveis (Art. 5º, II da LGPD) pela Notifiquei no âmbito deste Acordo.

4 Finalidade e base legal

O tratamento realizado pela Notifiquei tem como única finalidade a execução do contrato de prestação de serviços firmado com o Controlador (Art. 7º, V da LGPD). A Notifiquei não utilizará os dados para qualquer outra finalidade, incluindo publicidade própria, treinamento de modelos de IA ou compartilhamento com terceiros não autorizados.

É responsabilidade do Controlador garantir que possui base legal adequada para coletar e processar os dados dos titulares por meio da plataforma Notifiquei, inclusive observando as políticas da Meta Platform e as diretrizes da ANPD aplicáveis.

5 Duração do tratamento

O tratamento de dados de terceiros (seguidores/contatos do Controlador) ocorre durante a vigência do contrato de serviços. Após o encerramento da conta:

  • Dados de interação (conteúdo de mensagens e comentários) são eliminados em até 30 (trinta) dias;
  • Identificadores técnicos necessários para auditoria são retidos por até 90 (noventa) dias adicionais;
  • Logs de segurança são mantidos por 6 (seis) meses, conforme exigido pelo Marco Civil da Internet.

6 Obrigações da Notifiquei (Operadora)

A Notifiquei se compromete a:

  • Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador;
  • Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a obrigações de confidencialidade;
  • Implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados (criptografia em trânsito TLS, controle de acesso por função, logs de auditoria);
  • Notificar o Controlador em até 72 (setenta e duas) horas caso tome conhecimento de incidente de segurança que envolva dados tratados neste Acordo;
  • Auxiliar o Controlador no atendimento a solicitações de titulares de dados (Art. 18 da LGPD), na medida do tecnicamente possível;
  • Auxiliar o Controlador no cumprimento de obrigações relativas à segurança, notificação de incidentes e avaliação de impacto;
  • Eliminar ou devolver os dados ao Controlador ao término dos serviços, conforme os prazos do item 5;
  • Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas neste Acordo.

7 Obrigações do Controlador (Cliente)

O Controlador se compromete a:

  • Garantir que possui base legal adequada para utilizar os dados dos titulares (seguidores/contatos) por meio da plataforma Notifiquei;
  • Utilizar a plataforma em conformidade com as políticas da Meta Platform Terms e com a LGPD;
  • Não configurar fluxos de automação para fins ilícitos, discriminatórios ou que violem direitos dos titulares;
  • Responder diretamente às solicitações de titulares de dados que exerçam seus direitos relacionados a interações ocorridas por meio da plataforma;
  • Comunicar a Notifiquei imediatamente sobre qualquer solicitação de titular ou autoridade que afete dados tratados neste Acordo;
  • Manter suas credenciais de acesso à plataforma em segurança.

8 Suboperadores

A Notifiquei utiliza os seguintes suboperadores no tratamento de dados no âmbito deste Acordo:

SuboperadorFinalidadePaís
TurbocloudServidor principal da API (VPS dedicado)Brasil
Amazon Web Services (AWS)Infraestrutura de nuvem, armazenamento de dados e serviços auxiliaresBrasil / EUA
Meta Platforms, Inc.API oficial do Instagram (origem dos dados)EUA
AbacatepayProcessamento de pagamentos (dados do Controlador)Brasil
OpenAI (openai.com)Processamento de linguagem natural (IA), transcrição de áudio via Whisper, análise de mensagensEUA
Google Cloud / Google LLCArmazenamento de mídia (imagens/vídeos), modelos de linguagem (Gemini)EUA
AnthropicModelos de linguagem (Claude) para automações de respostaEUA
ResendEnvio de e-mails transacionais (convites, redefinição de senha, alertas)EUA
SupabaseAutenticação, banco de dados e armazenamento de mídia (datacenter em São Paulo, sa-east-1)Brasil
CaktoProcessamento de pagamentos (dados do Controlador)Brasil
SentryMonitoramento de erros e desempenho da aplicaçãoEUA
Apple (APNs) / Google (FCM)Envio de notificações push para os apps móveisEUA

Autorização geral e responsabilidade (GDPR Art. 28(2) e (4)). O Controlador concede autorização geral por escrito para a contratação dos suboperadores acima. A Notifiquei impõe a cada suboperador, por contrato, as mesmas obrigações de proteção de dados deste Acordo e permanece integralmente responsável perante o Controlador pelo cumprimento dessas obrigações pelos suboperadores. A Notifiquei informará o Controlador sobre qualquer alteração relevante na lista com antecedência mínima de 15 (quinze) dias, salvo força maior; o Controlador pode se opor justificadamente por escrito para dpa@notifiquei.com.br.

9 Segurança e incidentes

A Notifiquei adota as seguintes medidas de segurança técnica e organizacional:

  • Criptografia de dados em trânsito (TLS 1.2+);
  • Controle de acesso baseado em funções (RBAC) com princípio do menor privilégio;
  • Logs de acesso e auditoria com retenção de 90 dias;
  • Testes de segurança periódicos;
  • Política interna de resposta a incidentes.

Em caso de incidente de segurança que envolva dados tratados neste Acordo, a Notifiquei notificará o Controlador em até 72 (setenta e duas) horas, com descrição da natureza do incidente, categorias e quantidade estimada de titulares afetados, e medidas adotadas ou propostas para remediar o incidente.

10 Transferência internacional de dados

O servidor principal da API da Notifiquei opera em infraestrutura localizada no Brasil (Turbocloud), e o banco de dados, autenticação e armazenamento de mídia ficam em datacenter no Brasil (Supabase, São Paulo). O tratamento pode envolver transferência para os Estados Unidos (integração com a Meta, monitoramento, push e provedores de IA) e, eventualmente, para outros países, no caso de provedores e gateways de inteligência artificial. Essas transferências contam com salvaguardas adequadas (Art. 33 da LGPD).

Transferências sob o GDPR (Capítulo V). Em 2026, a Comissão Europeia e a ANPD reconheceram a equivalência entre a LGPD e o GDPR (adequação mútua), de modo que a transferência de dados entre o Espaço Econômico Europeu e o Brasil ocorre de forma direta, sem salvaguardas adicionais. Para transferências a suboperadores localizados em países sem decisão de adequação da União Europeia (por exemplo, os Estados Unidos), a Notifiquei utiliza as Cláusulas Contratuais-Tipo (SCCs) da UE ou outro mecanismo válido do Capítulo V, e o Controlador pode solicitar a desativação dos recursos de inteligência artificial que dependam de provedores localizados fora de país com adequação.

11 Direitos dos titulares

Quando um titular de dados (seguidor/contato do Controlador) exercer seus direitos previstos no Art. 18 da LGPD perante a Notifiquei, esta redirecionará a solicitação ao Controlador no prazo de 5 (cinco) dias úteis, pois é o Controlador o responsável principal pelo atendimento.

A Notifiquei auxiliará tecnicamente o Controlador no atendimento dessas solicitações na medida do possível, sem custo adicional para solicitações de até 5 (cinco) por mês.

12 Vigência, rescisão e eliminação de dados

Este Acordo vigora durante todo o período de contratação dos serviços. O encerramento da conta pelo Controlador ou pela Notifiquei implica a rescisão automática deste Acordo, sem prejuízo das obrigações de confidencialidade e dos prazos de retenção previstos no item 5.

Mediante solicitação escrita ao e-mail dpa@notifiquei.com.br, o Controlador pode solicitar a eliminação antecipada de dados de terceiros tratados neste Acordo, desde que não haja impedimento legal.

13 Contato do Encarregado

Para questões relacionadas a este Acordo, incluindo exercício de direitos de titulares e notificações de incidentes:
Encarregado pelo Tratamento de Dados (DPO): Antonio Duarte
E-mail: dpa@notifiquei.com.br
Notifiquei — CNPJ 59.859.848/0001-13

14 Cláusulas específicas do GDPR (Art. 28)

Quando o Controlador trata, por meio da plataforma, dados pessoais de titulares localizados na União Europeia ou no Espaço Econômico Europeu, este Acordo serve também como o contrato de operador exigido pelo art. 28 do Regulamento (UE) 2016/679 (GDPR). Para esse fim, o Controlador é o controller e a Notifiquei é o processor, e aplicam-se as seguintes disposições, que prevalecem em caso de conflito com as demais cláusulas no que toca a dados sujeitos ao GDPR:

  • Instruções documentadas (Art. 28(3)(a)): a Notifiquei trata os dados apenas segundo as instruções documentadas do Controlador — que incluem estes Termos, este DPA e as automações e configurações definidas pelo Controlador na plataforma —, inclusive quanto a transferências internacionais, salvo exigência legal.
  • Confidencialidade (Art. 28(3)(b)): as pessoas autorizadas a tratar os dados estão sujeitas a dever de confidencialidade.
  • Segurança (Art. 28(3)(c) e Art. 32): medidas técnicas e organizacionais adequadas, conforme a seção 9.
  • Suboperadores (Art. 28(2) e (4)): autorização geral, imposição das mesmas obrigações e responsabilidade da Notifiquei, conforme a seção 8.
  • Assistência a direitos do titular (Art. 28(3)(e)): a Notifiquei auxilia o Controlador a responder a pedidos de exercício de direitos dos arts. 15 a 22 do GDPR (acesso, retificação, apagamento, limitação, oposição, portabilidade), na medida do tecnicamente possível.
  • Apoio a segurança, violações e DPIA (Art. 28(3)(f), Art. 33–34 e Art. 35): a Notifiquei notifica o Controlador sem demora injustificada (e em até 72 horas) ao tomar conhecimento de violação, e o auxilia em avaliações de impacto e consultas prévias.
  • Eliminação ou devolução (Art. 28(3)(g)): ao término dos serviços, os dados são eliminados ou devolvidos conforme a seção 5.
  • Auditoria (Art. 28(3)(h)): a Notifiquei disponibiliza ao Controlador as informações necessárias para demonstrar conformidade e permite auditorias/inspeções razoáveis, mediante aviso prévio e confidencialidade.
  • Transferências internacionais (Capítulo V): conforme a seção 10 (adequação Brasil–UE; SCCs para países sem adequação).

Nota: a Notifiquei é empresa estabelecida no Brasil e não designou representante na UE nos termos do art. 27 do GDPR. Titulares e autoridades da UE podem contatar diretamente o Encarregado em dpa@notifiquei.com.br.