Acordo de Processamento de Dados (DPA)

Última atualização: 14 de Julho de 2026.

Definições

Para os fins deste DPA, aplicam-se as definições estabelecidas na LGPD (Lei nº 13.709/2018). Além disso, os seguintes termos são definidos:

 

Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável ("Titular dos Dados"), incluindo, sem limitação, nomes, endereços de e-mail, números de telefone, dados de localização, identificadores online ou quaisquer outros dados que permitam identificação direta ou indireta.

 

Tratamento: Qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, restrição, apagamento ou destruição.

 

Controlador: A pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento.

 

Operador: A pessoa natural ou jurídica, de direito público ou privado, que trata Dados Pessoais em nome do Controlador.

 

Suboperador: Qualquer terceiro autorizado pelo Operador a realizar atividades de Tratamento em seu nome, sujeito a obrigações equivalentes às estabelecidas neste DPA.

 

Violação de Segurança: Qualquer incidente de segurança com dados pessoais (art. 48 da LGPD) que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a Dados Pessoais transmitidos, armazenados ou de outra forma tratados.

 

Transferência Internacional: Qualquer transferência de Dados Pessoais para país estrangeiro ou organismo internacional, fora do território nacional, nos termos do Capítulo V da LGPD.

 

Medidas Técnicas e Administrativas: Medidas implementadas para garantir um nível de segurança adequado em relação ao risco, incluindo pseudonimização e criptografia de Dados Pessoais, garantia contínua de confidencialidade, integridade, disponibilidade e resiliência dos sistemas de tratamento, capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil após um incidente físico ou técnico, e um processo para testar e avaliar regularmente a eficácia de tais medidas.

 

Anexos: Os documentos apensados a este DPA, que dele fazem parte integrante: Anexo I (Descrição do Tratamento), Anexo II (Medidas de Segurança), Anexo III (Lista de Suboperadores) e Anexo IV (Procedimento de Notificação de Violação de Segurança).

Objeto

O objeto deste DPA é regular o Tratamento de Dados Pessoais realizado pela Fracttal, na qualidade de Operador, em nome do Cliente, em conexão com os serviços SaaS descritos no Contrato Principal.

 

O Tratamento deverá ser estritamente limitado ao necessário para a execução dos referidos serviços, de acordo com as instruções documentadas do Cliente e a descrição constante no Anexo I.

Duração

Este DPA entrará em vigor na data de sua celebração e permanecerá em vigor pelo período de duração do Contrato Principal e por qualquer período subsequente durante o qual a Fracttal trate Dados Pessoais em nome do Cliente, incluindo qualquer período de retenção legalmente exigido.

 

Com a rescisão do Contrato Principal, este DPA continuará a ser aplicável até a devolução ou destruição completa dos Dados Pessoais, em conformidade com a Cláusula 10.

Obrigações do Operador (Fracttal)

A Fracttal, na qualidade de Operador, compromete-se a:

 

  1. Tratar os Dados Pessoais exclusivamente de acordo com as instruções documentadas e por escrito do Cliente, inclusive no que diz respeito a Transferências Internacionais. Caso a Fracttal considere que uma instrução infringe a Lei de Proteção de Dados, deverá notificar o Cliente imediatamente por escrito e poderá suspender o Tratamento até receber confirmação ou modificação da instrução.

  2. Não utilizar, divulgar ou transferir Dados Pessoais para fins distintos dos estabelecidos neste DPA ou no Contrato Principal, nem para fins comerciais, publicitários ou quaisquer outros fins próprios.

  3. Garantir que todo o pessoal autorizado a acessar Dados Pessoais esteja vinculado a obrigações contratuais de confidencialidade perpétuas ou equivalentes e receba treinamentos regulares de proteção de dados.

  4. Implementar e manter Medidas Técnicas e Administrativas adequadas, conforme detalhado no Anexo II, para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais, em conformidade com o Artigo 46 da LGPD.

  5. Auxiliar o Cliente, a custo razoável, no cumprimento de suas obrigações nos termos da Lei de Proteção de Dados, incluindo:
    ◦ Responder a solicitações de direitos dos Titulares dos Dados (acesso, retificação, apagamento, restrição, portabilidade e oposição) dentro dos prazos máximos aplicáveis a contar do recebimento da solicitação pela Fracttal.
    ◦ Realizando Relatórios de Impacto à Proteção de Dados Pessoais (RIPD, art. 38 da LGPD) e consultas prévias à ANPD, fornecendo todas as informações necessárias.

  6. Notificar o Cliente sem demora injustificada — e em qualquer caso dentro de 48 horas após tomar conhecimento — de qualquer Violação de Segurança, por meio do procedimento estabelecido no Anexo IV, em prazo que permita ao Cliente cumprir o dever de comunicação à ANPD e aos titulares em até 3 (três) dias úteis (art. 48 da LGPD e Resolução CD/ANPD nº 15/2024). A notificação deverá incluir, no mínimo: descrição da violação, categorias e número aproximado de Titulares dos Dados afetados, prováveis consequências e medidas tomadas ou propostas para mitigar os efeitos.

  7. Manter um registro atualizado de todas as atividades de Tratamento realizadas em nome do Cliente, nos termos do Artigo 37 da LGPD, e disponibilizá-lo ao Cliente ou às ANPD mediante solicitação.

  8. Não comunicar Dados Pessoais a terceiros sem autorização prévia e expressa por escrito do Cliente, exceto quando exigido por lei, caso em que a Fracttal deverá notificar o Cliente com antecedência quando possível.

  9. Cooperar com o Cliente em qualquer investigação ou processo relacionado à Lei de Proteção de Dados.

Suboperadores

A Fracttal poderá subcontratar partes do Tratamento a Suboperadores, desde que

 

  • Obtenha autorização prévia e por escrito do Cliente, seja específica ou geral. Em caso de autorização geral, a Fracttal deverá informar o Cliente sobre quaisquer alterações previstas nos Suboperadores com pelo menos 30 dias de antecedência, permitindo ao Cliente apresentar objeções fundamentadas em matéria de proteção de dados.
  • Imponha a cada Suboperador, mediante acordo por escrito, obrigações equivalentes ou mais rigorosas às estabelecidas neste DPA, incluindo responsabilidade solidária pelo descumprimento.

A lista atualizada de Suboperadores consta no Anexo III. A Fracttal será responsável perante o Cliente por qualquer falha de um Suboperador como se fosse falha própria.

 

Em caso de objeção do Cliente a um Suboperador, a Fracttal abster-se-á de utilizá-lo ou, se isso impossibilitar a prestação do serviço, as Partes negociarão de boa-fé uma solução alternativa.

Transferências Internacionais de Dados

a) A Fracttal não realizará Transferências Internacionais de Dados Pessoais sem o consentimento prévio e por escrito do Cliente, e somente quando um nível adequado de proteção for garantido nos termos do Capítulo V da LGPD.

 

b) Quando forem necessárias Transferências Internacionais, a Fracttal implementará mecanismos como:

 

  • Cláusulas-padrão contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024).
  • Normas corporativas globais aprovadas pela ANPD.
  • Selos, certificados e códigos de conduta reconhecidos pela ANPD.
  • Decisão de adequação da ANPD (por exemplo, União Europeia — Resolução CD/ANPD nº 32/2026).

c) Atualmente, os Dados Pessoais estão hospedados em servidores AWS na União Europeia (Paris, França e Países Baixos), transferência amparada pela decisão de adequação mútua entre o Brasil e a União Europeia (Resolução CD/ANPD nº 32/2026). Qualquer mudança de localização exigirá aviso prévio ao Cliente com pelo menos 60 dias de antecedência e autorização expressa por escrito.

 

d) A Fracttal fornecerá ao Cliente uma cópia dos acordos de Transferência Internacional aplicáveis mediante solicitação.

Conectores e Integrações de IA Externa do Cliente (MCP)

a) O Fracttal One pode disponibilizar conectores baseados no protocolo aberto MCP (Model Context Protocol) que permitem ao Cliente integrar, por sua escolha e iniciativa, assistentes de inteligência artificial de terceiros (por exemplo, Claude, ChatGPT ou Gemini), contratados e custeados pelo próprio Cliente, para consultar dados e executar ações no Fracttal One.

 

b) Ao ativar tais conectores, o Cliente atua como Controlador e é o único responsável por: (i) a decisão de ativação e a finalidade do tratamento; (ii) a base legal (art. 7º da LGPD) e a minimização dos dados acessados; (iii) a relação contratual e o acordo de tratamento de dados com o provedor da IA externa, que atua como operador do Cliente, e não como Suboperador da Fracttal; (iv) a transferência internacional de dados, quando o provedor da IA externa estiver sediado no exterior (art. 33 da LGPD); e (v) a informação aos titulares.

 

c) A Fracttal atua exclusivamente como Operadora, limitando-se a expor a interface MCP, autenticar cada sessão e respeitar as permissões já configuradas pelo Cliente na plataforma. A Fracttal não controla, não armazena e não responde pelo tratamento realizado pelo provedor de IA externa escolhido pelo Cliente.

 

d) As ações executáveis por meio dos conectores observam o nível de autonomia definido pelo Cliente; ações críticas (por exemplo, envios, compras e alterações de cronograma) exigem aprovação humana prévia. A Fracttal mantém registro das sessões e ações realizadas por meio do conector, nos termos do art. 37 da LGPD.

 

e) O Cliente isenta e indeniza a Fracttal por quaisquer reclamações, sanções ou danos decorrentes da ativação, da configuração ou do uso dos conectores de IA externa e da sua relação com o respectivo provedor.

 

f) Esta cláusula não se aplica ao “Fracttal AI”, funcionalidade nativa executada em ambiente da própria Fracttal (Amazon Bedrock/AWS) com dados anonimizados, na qual a Fracttal atua como Operadora e responde por seus Suboperadores nos termos deste DPA.

Medidas de Segurança

A Fracttal implementará e manterá um Sistema de Gestão de Segurança da Informação (SGSI) certificado pela ISO/IEC 27001:2022, incluindo como mínimo as medidas detalhadas no Anexo II. Essas medidas serão revisadas anualmente e atualizadas conforme necessário para fazer frente a novos riscos.

 

A Fracttal realizará avaliações de risco periódicas, testes de penetração independentes pelo menos uma vez por ano e auditorias internas trimestrais. Qualquer alteração significativa nas medidas de segurança será notificada ao Cliente com antecedência.

Obrigações do Controlador (Cliente)

O Cliente, na qualidade de Controlador, compromete-se a:

 

  1. Fornecer à Fracttal instruções claras, documentadas e legais para o Tratamento, incluindo quaisquer atualizações necessárias.
  2. Garantir que o Tratamento de Dados Pessoais seja lícito, leal e transparente, e baseado em uma base jurídica adequada nos termos do Artigo 7º da LGPD.
  3. Informar adequadamente os Titulares dos Dados sobre o Tratamento, incluindo a identidade da Fracttal como Operador.
  4. Realizar, quando aplicável, Relatórios de Impacto à Proteção de Dados Pessoais (RIPD, art. 38 da LGPD) antes de fornecer Dados Pessoais à Fracttal.
  5. Não instruir Tratamento que contrarie a Lei de Proteção de Dados, assumindo responsabilidade exclusiva por tais instruções.
  6. Supervisionar o cumprimento da Fracttal por meio de auditorias, conforme a Cláusula 9.
  7. Cumprir suas obrigações de notificação de Violações de Segurança às ANPD e aos Titulares dos Dados afetados.

Auditorias e Avaliações

a) O Cliente poderá auditar o cumprimento deste DPA pela Fracttal, ou designar um auditor independente, com pelo menos 45 dias de aviso prévio por escrito, durante o horário comercial e sem interferir indevidamente nas operações da Fracttal.

 

b) A Fracttal cooperará fornecendo:

  • Acesso às instalações, sistemas e documentação relevantes.
  • Relatórios de auditoria de terceiros (ex.: SOC 2 Tipo II).
  • Evidências de conformidade com as obrigações.

c) As auditorias serão limitadas a uma por ano civil, salvo se houver motivos razoáveis para suspeitar de descumprimento. O Cliente arcará com os custos da auditoria, exceto se for identificado descumprimento significativo, caso em que a Fracttal reembolsará os custos razoáveis.

 

d) Todas as informações obtidas durante a auditoria estarão sujeitas a obrigações de confidencialidade.

Rescisão e Devolução de Dados

a) Após a rescisão do Contrato Principal ou deste DPA, a Fracttal deverá, mediante escolha por escrito do Cliente, devolver ou destruir todos os Dados Pessoais e cópias dos mesmos no prazo máximo de 30 dias.

 

b) A devolução será realizada em formato padrão (ex.: CSV, JSON) por meio de canais seguros (ex.: SFTP com criptografia).

 

c) Em caso de destruição, a Fracttal fornecerá um certificado de destruição confidencial confirmando que os dados são irrecuperáveis, em conformidade com normas como a EN 15713:2009.

 

d) A Fracttal poderá reter Dados Pessoais quando exigido por lei, notificando o Cliente e limitando o Tratamento ao estritamente necessário.

Responsabilidade e Indenização

a) Cada Parte será responsável por suas próprias violações deste DPA e da Lei de Proteção de Dados.

 

b) A Fracttal indenizará o Cliente por quaisquer danos, prejuízos, sanções administrativas ou judiciais decorrentes de violação própria ou de seus Suboperadores, incluindo, sem limitação: multas de ANPD, indenizações a Titulares dos Dados, custos de defesa jurídica (honorários advocatícios, peritos, etc.) e custos de mitigação.

 

c) A responsabilidade total da Fracttal nos termos deste DPA não excederá o total de honorários pagos ou devidos pelo Cliente à Fracttal sob o Contrato Principal durante os doze (12) meses imediatamente anteriores ao evento que deu origem à reclamação ("Valor Anual do Contrato"), exceto em casos de dolo ou culpa grave. Este limite reflete uma alocação razoável de riscos entre as Partes e não limita a responsabilidade por Violações de Segurança causadas por negligência da própria Fracttal em relação a multas regulatórias impostas diretamente ao Cliente, que serão avaliadas caso a caso.

 

d) O Cliente indenizará a Fracttal por violações decorrentes de instruções ilegais ou imprecisas fornecidas pelo Cliente.

Lei Aplicável e Jurisdição

Este DPA é regido pelas leis do Brasil. Qualquer litígio decorrente dele será submetido exclusivamente ao foro da Comarca de São Paulo, com renúncia expressa de qualquer outro, por mais privilegiado que seja.

Aditamentos e notificações

a) Qualquer aditamento a este DPA exigirá o acordo por escrito de ambas as Partes.

 

b) As notificações serão enviadas por e-mail com confirmação de recebimento ou meio equivalente para os endereços de contato informados pelo Cliente à Fracttal, e serão consideradas recebidas dentro de 48 horas.

Acordo integral e divisibilidade

Este DPA, juntamente com seus Anexos, constitui o acordo integral entre as Partes sobre o tema do Tratamento de Dados Pessoais. Se qualquer disposição for declarada inválida, as demais permanecerão em vigor.

Vigência e publicação

Esta é a versão vigente e publicamente disponível do Acordo de Processamento de Dados (DPA) da Fracttal. Este DPA aplica-se a todo Cliente cujo Contrato Principal e/ou Proposta Comercial faça referência a este documento, dispensando-se a assinatura individual deste instrumento, e é mantido e publicado sob responsabilidade da Fracttal do Brasil Serviços de Tecnologia Ltda.

Anexo I — Descrição do tratamento

Campo

Detalhes

Categorias de Dados Pessoais

Nomes, endereços de e-mail, números de telefone, dados de funcionários de manutenção, dados de localização, identificadores online e quaisquer outros dados carregados pelo Cliente na plataforma. [Especificar.]

Categorias de Titulares dos Dados

Funcionários do Cliente, técnicos de manutenção, usuários da plataforma e quaisquer outros indivíduos cujos dados o Cliente carregue. [Especificar.]

Finalidades do Tratamento

Prestação de serviços SaaS de CMMS/EAM, incluindo gestão de ativos, gestão de ordens de serviço, notificações e análises de sistema.

Operações de Tratamento

Coleta, armazenamento, recuperação, modificação e apagamento.

Período de Retenção

Pelo período de duração do Contrato Principal. Após a rescisão, os Dados Pessoais serão retidos por um máximo de trinta (30) dias para fins de devolução ou destruição nos termos da Cláusula 10, salvo se um período de retenção mais longo for exigido por lei.

Dados Pessoais Sensíveis (art. 11 da LGPD)

Nenhuma prevista. Se aplicável, é necessária autorização escrita específica.

Anexo II — Medidas de segurança

Medida

Detalhes

Criptografia

Dados em trânsito: TLS 1.3. Dados em repouso: AES-256.

Controles de Acesso

Controle de Acesso Baseado em Funções (RBAC), Autenticação Multifator (MFA), princípio do menor privilégio.

Monitoramento

Registros de acesso 24/7, sistemas de detecção de intrusão (IDS/IPS).

Backups

Backups diários; restauração testada trimestralmente.

Testes de Penetração

Testes de penetração independentes anuais por terceiros certificados; exercícios de simulação de incidentes.

Treinamento

Treinamento anual de proteção de dados para todos os funcionários com acesso a Dados Pessoais.

Certificação

SGSI certificado pela ISO/IEC 27001:2022. Relatórios SOC 2 Tipo II disponíveis mediante solicitação.

Pseudonimização

Aplicada onde for tecnicamente viável e proporcional ao risco.

Resposta a Incidentes

Plano documentado de resposta a incidentes; equipe de resposta a violações em prontidão 24/7.

Anexo III — Lista de Suboperadores

Os seguintes suboperadores são autorizados a partir da data deste DPA.

 

Suboperador

Serviço

Localização

Mecanismo de Transferência

Amazon Web Services (AWS)

Hospedagem em Nuvem e Infraestrutura

UE — Paris (eu-west-3) e Países Baixos

Decisão de adequação da ANPD — UE (Res. CD/ANPD nº 32/2026)

HubSpot, Inc.

CRM e Automação de Marketing

EUA

Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024)

Twilio Inc.

Mensagens e Notificações

EUA

Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024)

Zendesk, Inc.

Suporte ao Cliente

EUA

Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024)

WhatsApp (Meta Platforms)

Notificações

EUA

Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024)

OpenAI, L.L.C.

Inteligência Artificial / Funcionalidades de IA

EUA

Cláusulas-padrão contratuais da ANPD (Res. CD/ANPD nº 19/2024)

 

NOTA: O Cliente reconhece e concede autorização geral para os suboperadores listados acima. Qualquer suboperador novo ou substituto será notificado com 30 dias de antecedência.

Funcionalidades de IA: os dados pessoais são anonimizados de forma irreversível, nos termos do art. 5º, III, e do art. 12 da LGPD, antes de qualquer processamento por suboperadores de inteligência artificial, conforme a Cláusula 12 (Fracttal AI) do Contrato Principal. Tais suboperadores não utilizam os dados para treinamento de modelos.

Anexo IV — Procedimento de notificação de violação de segurança

Fase

Prazo

Ação

Detecção e Avaliação

< 24 horas após o conhecimento

A Equipe de Segurança da Fracttal identifica, classifica e avalia o escopo e o impacto da violação.

Notificação Inicial ao Cliente

< 48 horas após o conhecimento

Aviso preliminar por escrito via e-mail ao contato designado do Cliente, incluindo: descrição da violação, categorias de dados afetados, avaliação inicial do risco e medidas provisórias adotadas.

Relatório Completo do Incidente

< 72 horas após o conhecimento

Relatório detalhado incluindo: análise da causa raiz, escopo completo dos dados afetados, número de Titulares dos Dados impactados, medidas definitivas de mitigação e plano de remediação.

Cooperação Regulatória

Conforme aplicável

A Fracttal auxilia o Cliente na notificação da autoridade nacional competente (ANPD) e dos Titulares dos Dados afetados, quando exigido pela LGPD (Artigos 48 e 49).

Revisão Pós-Incidente

Dentro de 30 dias

A Fracttal fornece um relatório pós-incidente com lições aprendidas e medidas preventivas implementadas.

 

Contato designado da Fracttal para proteção de dados e notificações de violações: privacidade@fracttal.com. Contato de segurança designado do Cliente para notificações de violações: o indicado pelo Cliente à Fracttal no âmbito do Contrato Principal ou da respectiva Proposta Comercial.