DPA - ACORDO DE TRATAMENTO DE DADOS

1.1. Instruções do Controlador. O Cliente deve fornecer instruções claras e documentadas sobre o tratamento de dados pessoais, incluindo:

• Finalidades específicas do tratamento
• Categorias de dados pessoais envolvidos
• Categorias de titulares de dados
• Medidas de segurança aplicáveis
• Prazos de retenção dos dados

1.2. Conformidade. A Easebot compromete-se a seguir rigorosamente as instruções fornecidas pelo Cliente.

2.1. Obrigação de sigilo. A Easebot e seus funcionários, prestadores de serviços e subcontratados comprometem-se a:

• Manter confidencialidade absoluta sobre os dados pessoais
• Não utilizar os dados para finalidades distintas das acordadas
• Não divulgar informações a terceiros não autorizados
• Proteger documentos e sistemas de acesso

2.2. Duração. A obrigação de confidencialidade permanece mesmo após o término do contrato.

3.1. Medidas técnicas e organizacionais. A Easebot implementa e mantém:

• Criptografia de dados em trânsito e em repouso
• Controles de acesso baseados em princípio do menor privilégio
• Segregação de ambientes e dados
• Monitoramento e logging de atividades
• Backup seguro e recuperação de dados
• Testes regulares de segurança

3.2. Atualização das medidas. As medidas de segurança são regularmente revisadas e atualizadas conforme evolução das ameaças.

4.1. Subprocessadores. A Easebot pode utilizar subprocessadores para prestação dos serviços, desde que:

• Sejam previamente aprovados pelo Cliente
• Assinem acordos de confidencialidade equivalentes
• Implementem medidas de segurança adequadas
• Sejam listados em nossa página de subprocessadores

4.2. Responsabilidade. A Easebot mantém responsabilidade total pelo cumprimento deste DPA, mesmo com subprocessadores.

5.1. Exercício de direitos. A Easebot compromete-se a:

• Facilitar o exercício dos direitos dos titulares de dados
• Fornecer informações necessárias para atendimento de solicitações
• Implementar medidas técnicas para correção, eliminação ou anonimização
• Manter registros das ações tomadas

5.2. Prazo de resposta. Solicitações de titulares devem ser atendidas no prazo máximo de 15 dias úteis.

6.1. Incidentes de segurança. Em caso de violação de dados pessoais, a Easebot deve:

• Notificar o Cliente imediatamente (máximo 24 horas)
• Fornecer detalhes do incidente e dados afetados
• Descrever medidas tomadas para contenção
• Propor ações de mitigação
• Cooperar com investigações e auditorias

6.2. Comunicação com autoridades. Quando necessário, a Easebot cooperará com a ANPD e outras autoridades competentes.

7.1. Ao término do contrato. A Easebot deve:

• Retornar todos os dados pessoais ao Cliente
• Eliminar permanentemente cópias e backups
• Fornecer certificado de eliminação
• Manter apenas dados necessários para obrigações legais

7.2. Prazo. O retorno/eliminação deve ocorrer no prazo máximo de 30 dias após o término.

8.1. Direito de auditoria. O Cliente pode solicitar auditorias para verificar conformidade, desde que:

• Sejam realizadas com 30 dias de antecedência
• Não interfiram nas operações normais
• Respeitem acordos de confidencialidade
• Sejam custeadas pelo Cliente

8.2. Certificações. A Easebot mantém certificações de segurança e pode fornecer relatórios de auditoria independente.

10.1. Vigência. Este DPA tem vigência concomitante ao contrato principal de prestação de serviços.

10.2. Alterações. Modificações devem ser acordadas por escrito entre as partes.

10.3. Legislação aplicável. Este DPA é regido pela Lei Geral de Proteção de Dados (Lei 13.709/2018) e demais normas aplicáveis.