CMMS com IA
Integrações
Casos de sucesso
Blog
Recursos
Ferramentas e calculadoras práticas
Recursos gratuitos para fazer download
Guias e conceitos de manutenção
Webinars ao vivo e gravações
Conceitos técnicos e aplicados à manutenção
Última atualização: 14 de Julho de 2026.
Para os fins deste DPA, aplicam-se as definições estabelecidas na LGPD (Lei nº 13.709/2018). Além disso, os seguintes termos são definidos:
Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável ("Titular dos Dados"), incluindo, sem limitação, nomes, endereços de e-mail, números de telefone, dados de localização, identificadores online ou quaisquer outros dados que permitam identificação direta ou indireta.
Tratamento: Qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, restrição, apagamento ou destruição.
Controlador: A pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento.
Operador: A pessoa natural ou jurídica, de direito público ou privado, que trata Dados Pessoais em nome do Controlador.
Suboperador: Qualquer terceiro autorizado pelo Operador a realizar atividades de Tratamento em seu nome, sujeito a obrigações equivalentes às estabelecidas neste DPA.
Violação de Segurança: Qualquer incidente de segurança com dados pessoais (art. 48 da LGPD) que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a Dados Pessoais transmitidos, armazenados ou de outra forma tratados.
Transferência Internacional: Qualquer transferência de Dados Pessoais para país estrangeiro ou organismo internacional, fora do território nacional, nos termos do Capítulo V da LGPD.
Medidas Técnicas e Administrativas: Medidas implementadas para garantir um nível de segurança adequado em relação ao risco, incluindo pseudonimização e criptografia de Dados Pessoais, garantia contínua de confidencialidade, integridade, disponibilidade e resiliência dos sistemas de tratamento, capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil após um incidente físico ou técnico, e um processo para testar e avaliar regularmente a eficácia de tais medidas.
Anexos: Os documentos apensados a este DPA, que dele fazem parte integrante: Anexo I (Descrição do Tratamento), Anexo II (Medidas de Segurança), Anexo III (Lista de Suboperadores) e Anexo IV (Procedimento de Notificação de Violação de Segurança).
O objeto deste DPA é regular o Tratamento de Dados Pessoais realizado pela Fracttal, na qualidade de Operador, em nome do Cliente, em conexão com os serviços SaaS descritos no Contrato Principal.
O Tratamento deverá ser estritamente limitado ao necessário para a execução dos referidos serviços, de acordo com as instruções documentadas do Cliente e a descrição constante no Anexo I.
Este DPA entrará em vigor na data de sua celebração e permanecerá em vigor pelo período de duração do Contrato Principal e por qualquer período subsequente durante o qual a Fracttal trate Dados Pessoais em nome do Cliente, incluindo qualquer período de retenção legalmente exigido.
Com a rescisão do Contrato Principal, este DPA continuará a ser aplicável até a devolução ou destruição completa dos Dados Pessoais, em conformidade com a Cláusula 10.
A Fracttal, na qualidade de Operador, compromete-se a:
Tratar os Dados Pessoais exclusivamente de acordo com as instruções documentadas e por escrito do Cliente, inclusive no que diz respeito a Transferências Internacionais. Caso a Fracttal considere que uma instrução infringe a Lei de Proteção de Dados, deverá notificar o Cliente imediatamente por escrito e poderá suspender o Tratamento até receber confirmação ou modificação da instrução.
Não utilizar, divulgar ou transferir Dados Pessoais para fins distintos dos estabelecidos neste DPA ou no Contrato Principal, nem para fins comerciais, publicitários ou quaisquer outros fins próprios.
Garantir que todo o pessoal autorizado a acessar Dados Pessoais esteja vinculado a obrigações contratuais de confidencialidade perpétuas ou equivalentes e receba treinamentos regulares de proteção de dados.
Implementar e manter Medidas Técnicas e Administrativas adequadas, conforme detalhado no Anexo II, para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais, em conformidade com o Artigo 46 da LGPD.
Auxiliar o Cliente, a custo razoável, no cumprimento de suas obrigações nos termos da Lei de Proteção de Dados, incluindo:
◦ Responder a solicitações de direitos dos Titulares dos Dados (acesso, retificação, apagamento, restrição, portabilidade e oposição) dentro dos prazos máximos aplicáveis a contar do recebimento da solicitação pela Fracttal.
◦ Realizando Relatórios de Impacto à Proteção de Dados Pessoais (RIPD, art. 38 da LGPD) e consultas prévias à ANPD, fornecendo todas as informações necessárias.
Notificar o Cliente sem demora injustificada — e em qualquer caso dentro de 48 horas após tomar conhecimento — de qualquer Violação de Segurança, por meio do procedimento estabelecido no Anexo IV, em prazo que permita ao Cliente cumprir o dever de comunicação à ANPD e aos titulares em até 3 (três) dias úteis (art. 48 da LGPD e Resolução CD/ANPD nº 15/2024). A notificação deverá incluir, no mínimo: descrição da violação, categorias e número aproximado de Titulares dos Dados afetados, prováveis consequências e medidas tomadas ou propostas para mitigar os efeitos.
Manter um registro atualizado de todas as atividades de Tratamento realizadas em nome do Cliente, nos termos do Artigo 37 da LGPD, e disponibilizá-lo ao Cliente ou às ANPD mediante solicitação.
Não comunicar Dados Pessoais a terceiros sem autorização prévia e expressa por escrito do Cliente, exceto quando exigido por lei, caso em que a Fracttal deverá notificar o Cliente com antecedência quando possível.
Cooperar com o Cliente em qualquer investigação ou processo relacionado à Lei de Proteção de Dados.
A Fracttal poderá subcontratar partes do Tratamento a Suboperadores, desde que
A lista atualizada de Suboperadores consta no Anexo III. A Fracttal será responsável perante o Cliente por qualquer falha de um Suboperador como se fosse falha própria.
Em caso de objeção do Cliente a um Suboperador, a Fracttal abster-se-á de utilizá-lo ou, se isso impossibilitar a prestação do serviço, as Partes negociarão de boa-fé uma solução alternativa.
a) A Fracttal não realizará Transferências Internacionais de Dados Pessoais sem o consentimento prévio e por escrito do Cliente, e somente quando um nível adequado de proteção for garantido nos termos do Capítulo V da LGPD.
b) Quando forem necessárias Transferências Internacionais, a Fracttal implementará mecanismos como:
c) Atualmente, os Dados Pessoais estão hospedados em servidores AWS na União Europeia (Paris, França e Países Baixos), transferência amparada pela decisão de adequação mútua entre o Brasil e a União Europeia (Resolução CD/ANPD nº 32/2026). Qualquer mudança de localização exigirá aviso prévio ao Cliente com pelo menos 60 dias de antecedência e autorização expressa por escrito.
d) A Fracttal fornecerá ao Cliente uma cópia dos acordos de Transferência Internacional aplicáveis mediante solicitação.
a) O Fracttal One pode disponibilizar conectores baseados no protocolo aberto MCP (Model Context Protocol) que permitem ao Cliente integrar, por sua escolha e iniciativa, assistentes de inteligência artificial de terceiros (por exemplo, Claude, ChatGPT ou Gemini), contratados e custeados pelo próprio Cliente, para consultar dados e executar ações no Fracttal One.
b) Ao ativar tais conectores, o Cliente atua como Controlador e é o único responsável por: (i) a decisão de ativação e a finalidade do tratamento; (ii) a base legal (art. 7º da LGPD) e a minimização dos dados acessados; (iii) a relação contratual e o acordo de tratamento de dados com o provedor da IA externa, que atua como operador do Cliente, e não como Suboperador da Fracttal; (iv) a transferência internacional de dados, quando o provedor da IA externa estiver sediado no exterior (art. 33 da LGPD); e (v) a informação aos titulares.
c) A Fracttal atua exclusivamente como Operadora, limitando-se a expor a interface MCP, autenticar cada sessão e respeitar as permissões já configuradas pelo Cliente na plataforma. A Fracttal não controla, não armazena e não responde pelo tratamento realizado pelo provedor de IA externa escolhido pelo Cliente.
d) As ações executáveis por meio dos conectores observam o nível de autonomia definido pelo Cliente; ações críticas (por exemplo, envios, compras e alterações de cronograma) exigem aprovação humana prévia. A Fracttal mantém registro das sessões e ações realizadas por meio do conector, nos termos do art. 37 da LGPD.
e) O Cliente isenta e indeniza a Fracttal por quaisquer reclamações, sanções ou danos decorrentes da ativação, da configuração ou do uso dos conectores de IA externa e da sua relação com o respectivo provedor.
f) Esta cláusula não se aplica ao “Fracttal AI”, funcionalidade nativa executada em ambiente da própria Fracttal (Amazon Bedrock/AWS) com dados anonimizados, na qual a Fracttal atua como Operadora e responde por seus Suboperadores nos termos deste DPA.
A Fracttal implementará e manterá um Sistema de Gestão de Segurança da Informação (SGSI) certificado pela ISO/IEC 27001:2022, incluindo como mínimo as medidas detalhadas no Anexo II. Essas medidas serão revisadas anualmente e atualizadas conforme necessário para fazer frente a novos riscos.
A Fracttal realizará avaliações de risco periódicas, testes de penetração independentes pelo menos uma vez por ano e auditorias internas trimestrais. Qualquer alteração significativa nas medidas de segurança será notificada ao Cliente com antecedência.
O Cliente, na qualidade de Controlador, compromete-se a:
a) O Cliente poderá auditar o cumprimento deste DPA pela Fracttal, ou designar um auditor independente, com pelo menos 45 dias de aviso prévio por escrito, durante o horário comercial e sem interferir indevidamente nas operações da Fracttal.
b) A Fracttal cooperará fornecendo:
c) As auditorias serão limitadas a uma por ano civil, salvo se houver motivos razoáveis para suspeitar de descumprimento. O Cliente arcará com os custos da auditoria, exceto se for identificado descumprimento significativo, caso em que a Fracttal reembolsará os custos razoáveis.
d) Todas as informações obtidas durante a auditoria estarão sujeitas a obrigações de confidencialidade.
a) Após a rescisão do Contrato Principal ou deste DPA, a Fracttal deverá, mediante escolha por escrito do Cliente, devolver ou destruir todos os Dados Pessoais e cópias dos mesmos no prazo máximo de 30 dias.
b) A devolução será realizada em formato padrão (ex.: CSV, JSON) por meio de canais seguros (ex.: SFTP com criptografia).
c) Em caso de destruição, a Fracttal fornecerá um certificado de destruição confidencial confirmando que os dados são irrecuperáveis, em conformidade com normas como a EN 15713:2009.
d) A Fracttal poderá reter Dados Pessoais quando exigido por lei, notificando o Cliente e limitando o Tratamento ao estritamente necessário.
a) Cada Parte será responsável por suas próprias violações deste DPA e da Lei de Proteção de Dados.
b) A Fracttal indenizará o Cliente por quaisquer danos, prejuízos, sanções administrativas ou judiciais decorrentes de violação própria ou de seus Suboperadores, incluindo, sem limitação: multas de ANPD, indenizações a Titulares dos Dados, custos de defesa jurídica (honorários advocatícios, peritos, etc.) e custos de mitigação.
c) A responsabilidade total da Fracttal nos termos deste DPA não excederá o total de honorários pagos ou devidos pelo Cliente à Fracttal sob o Contrato Principal durante os doze (12) meses imediatamente anteriores ao evento que deu origem à reclamação ("Valor Anual do Contrato"), exceto em casos de dolo ou culpa grave. Este limite reflete uma alocação razoável de riscos entre as Partes e não limita a responsabilidade por Violações de Segurança causadas por negligência da própria Fracttal em relação a multas regulatórias impostas diretamente ao Cliente, que serão avaliadas caso a caso.
d) O Cliente indenizará a Fracttal por violações decorrentes de instruções ilegais ou imprecisas fornecidas pelo Cliente.
Este DPA é regido pelas leis do Brasil. Qualquer litígio decorrente dele será submetido exclusivamente ao foro da Comarca de São Paulo, com renúncia expressa de qualquer outro, por mais privilegiado que seja.
a) Qualquer aditamento a este DPA exigirá o acordo por escrito de ambas as Partes.
b) As notificações serão enviadas por e-mail com confirmação de recebimento ou meio equivalente para os endereços de contato informados pelo Cliente à Fracttal, e serão consideradas recebidas dentro de 48 horas.
Este DPA, juntamente com seus Anexos, constitui o acordo integral entre as Partes sobre o tema do Tratamento de Dados Pessoais. Se qualquer disposição for declarada inválida, as demais permanecerão em vigor.
Esta é a versão vigente e publicamente disponível do Acordo de Processamento de Dados (DPA) da Fracttal. Este DPA aplica-se a todo Cliente cujo Contrato Principal e/ou Proposta Comercial faça referência a este documento, dispensando-se a assinatura individual deste instrumento, e é mantido e publicado sob responsabilidade da Fracttal do Brasil Serviços de Tecnologia Ltda.
|
Campo |
Detalhes |
|
Categorias de Dados Pessoais |
Nomes, endereços de e-mail, números de telefone, dados de funcionários de manutenção, dados de localização, identificadores online e quaisquer outros dados carregados pelo Cliente na plataforma. [Especificar.] |
|
Categorias de Titulares dos Dados |
Funcionários do Cliente, técnicos de manutenção, usuários da plataforma e quaisquer outros indivíduos cujos dados o Cliente carregue. [Especificar.] |
|
Finalidades do Tratamento |
Prestação de serviços SaaS de CMMS/EAM, incluindo gestão de ativos, gestão de ordens de serviço, notificações e análises de sistema. |
|
Operações de Tratamento |
Coleta, armazenamento, recuperação, modificação e apagamento. |
|
Período de Retenção |
Pelo período de duração do Contrato Principal. Após a rescisão, os Dados Pessoais serão retidos por um máximo de trinta (30) dias para fins de devolução ou destruição nos termos da Cláusula 10, salvo se um período de retenção mais longo for exigido por lei. |
|
Dados Pessoais Sensíveis (art. 11 da LGPD) |
Nenhuma prevista. Se aplicável, é necessária autorização escrita específica. |
|
Medida |
Detalhes |
|
Criptografia |
Dados em trânsito: TLS 1.3. Dados em repouso: AES-256. |
|
Controles de Acesso |
Controle de Acesso Baseado em Funções (RBAC), Autenticação Multifator (MFA), princípio do menor privilégio. |
|
Monitoramento |
Registros de acesso 24/7, sistemas de detecção de intrusão (IDS/IPS). |
|
Backups |
Backups diários; restauração testada trimestralmente. |
|
Testes de Penetração |
Testes de penetração independentes anuais por terceiros certificados; exercícios de simulação de incidentes. |
|
Treinamento |
Treinamento anual de proteção de dados para todos os funcionários com acesso a Dados Pessoais. |
|
Certificação |
SGSI certificado pela ISO/IEC 27001:2022. Relatórios SOC 2 Tipo II disponíveis mediante solicitação. |
|
Pseudonimização |
Aplicada onde for tecnicamente viável e proporcional ao risco. |
|
Resposta a Incidentes |
Plano documentado de resposta a incidentes; equipe de resposta a violações em prontidão 24/7. |
Os seguintes suboperadores são autorizados a partir da data deste DPA.
|
Suboperador |
Serviço |
Localização |
Mecanismo de Transferência |
|
Amazon Web Services (AWS) |
Hospedagem em Nuvem e Infraestrutura |
UE — Paris (eu-west-3) e Países Baixos |
Decisão de adequação da ANPD — UE (Res. CD/ANPD nº 32/2026) |
|
HubSpot, Inc. |
CRM e Automação de Marketing |
EUA |
Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024) |
|
Twilio Inc. |
Mensagens e Notificações |
EUA |
Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024) |
|
Zendesk, Inc. |
Suporte ao Cliente |
EUA |
Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024) |
|
WhatsApp (Meta Platforms) |
Notificações |
EUA |
Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024) |
|
OpenAI, L.L.C. |
Inteligência Artificial / Funcionalidades de IA |
EUA |
Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024) |
NOTA: O Cliente reconhece e concede autorização geral para os suboperadores listados acima. Qualquer suboperador novo ou substituto será notificado com 30 dias de antecedência.
Funcionalidades de IA: os dados pessoais são anonimizados de forma irreversível, nos termos do art. 5º, III, e do art. 12 da LGPD, antes de qualquer processamento por suboperadores de inteligência artificial, conforme a Cláusula 12 (Fracttal AI) do Contrato Principal. Tais suboperadores não utilizam os dados para treinamento de modelos.
|
Fase |
Prazo |
Ação |
|
Detecção e Avaliação |
< 24 horas após o conhecimento |
A Equipe de Segurança da Fracttal identifica, classifica e avalia o escopo e o impacto da violação. |
|
Notificação Inicial ao Cliente |
< 48 horas após o conhecimento |
Aviso preliminar por escrito via e-mail ao contato designado do Cliente, incluindo: descrição da violação, categorias de dados afetados, avaliação inicial do risco e medidas provisórias adotadas. |
|
Relatório Completo do Incidente |
< 72 horas após o conhecimento |
Relatório detalhado incluindo: análise da causa raiz, escopo completo dos dados afetados, número de Titulares dos Dados impactados, medidas definitivas de mitigação e plano de remediação. |
|
Cooperação Regulatória |
Conforme aplicável |
A Fracttal auxilia o Cliente na notificação da autoridade nacional competente (ANPD) e dos Titulares dos Dados afetados, quando exigido pela LGPD (Artigos 48 e 49). |
|
Revisão Pós-Incidente |
Dentro de 30 dias |
A Fracttal fornece um relatório pós-incidente com lições aprendidas e medidas preventivas implementadas. |
Contato designado da Fracttal para proteção de dados e notificações de violações: privacidade@fracttal.com. Contato de segurança designado do Cliente para notificações de violações: o indicado pelo Cliente à Fracttal no âmbito do Contrato Principal ou da respectiva Proposta Comercial.