Acordo de Tratamento de Dados (DPA)
Spec360° | Brand Contratante ↔ Devon Studio
Versão: v2026.05.30 Vigência a partir de: 30 de maio de 2026 Base legal: Lei nº 13.709/2018 (LGPD), arts. 5º, 6º, 37, 39 e 41
Preâmbulo
Este Acordo de Tratamento de Dados (Data Processing Agreement — "DPA") rege a relação entre:
OPERADORA Devon Studio — Tesscol Comércio, Importação e Exportação Ltda. CNPJ: 09.662.114/0001-71 E-mail DPO: [email protected]
E
CONTROLADORA
A Brand contratante (pessoa jurídica representada pelo Usuário com perfil master_brand que aceita este DPA, doravante "Brand").
Este DPA integra e complementa o Termo de Uso e a Política de Privacidade do Spec360°. Em caso de conflito, prevalecem as disposições deste DPA quanto ao tratamento de dados de Especificadores.
1. Definições (LGPD Art. 5º)
| Termo | Definição |
|---|---|
| Dados Pessoais | Informação relacionada a pessoa natural identificada ou identificável (Especificadores cadastrados na Plataforma) |
| Titular | Pessoa natural a quem se referem os dados — neste DPA, os Especificadores |
| Controladora (Brand) | Quem decide finalidades e meios essenciais do tratamento |
| Operadora (Devon Studio) | Quem realiza o tratamento em nome da Controladora, conforme suas instruções |
| Tratamento | Toda operação realizada com dados pessoais (coleta, armazenamento, classificação, etc.) |
| Sub-operadora | Terceiro contratado pela Operadora para realizar parte do tratamento |
| Incidente de Segurança | Evento que possa acarretar risco ou dano relevante aos titulares |
2. Papéis e Responsabilidades
2.1. A Brand atua como CONTROLADORA dos dados dos Especificadores e responde por:
a) Definir as finalidades do tratamento (relacionamento comercial, gestão de eventos, campanhas); b) Garantir base legal válida (art. 7º da LGPD) para cada operação; c) Coletar consentimento dos titulares quando essa for a base legal escolhida; d) Atender às requisições dos titulares (direitos do art. 18 da LGPD); e) Assegurar a veracidade e atualização dos dados inseridos; f) Comunicar à ANPD eventuais incidentes que envolvam riscos relevantes.
2.2. A Devon Studio atua como OPERADORA e responde por:
a) Tratar os dados exclusivamente conforme instruções documentadas da Controladora; b) Disponibilizar medidas técnicas e administrativas de segurança proporcionais ao risco; c) Auxiliar a Controladora no atendimento aos direitos dos titulares; d) Notificar a Controladora sobre incidentes de segurança; e) Manter registros das operações de tratamento (art. 37 da LGPD); f) Eliminar ou devolver os dados ao final da relação contratual.
2.3. A Devon Studio não acessa nem trata os dados dos Especificadores para finalidades próprias. O acesso técnico ocorre apenas para:
a) Garantir o funcionamento e manutenção da Plataforma; b) Atender solicitações da Controladora; c) Cumprir obrigações legais ou ordens judiciais.
3. Objeto e Escopo do Tratamento
3.1. Categorias de dados tratados
| Categoria | Exemplos |
|---|---|
| Identificação | Nome, sobrenome, e-mail, telefone/WhatsApp, foto de perfil |
| Profissional | CAU/CREA, cargo, empresa, segmento, especialidade |
| Localização | CEP, endereço, cidade, UF |
| Comportamentais | Interações, presenças em eventos, especificações realizadas |
| Consentimentos | Aceites LGPD, opt-ins por canal, datas e versões |
3.2. Não são tratados dados pessoais sensíveis (art. 5º, II da LGPD).
3.3. Operações de tratamento realizadas
Coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, utilização, divulgação interna entre PDVs vinculados, alinhamento, combinação, restrição, eliminação ou destruição.
3.4. Finalidades autorizadas
a) Gestão de relacionamento comercial entre Brand e Especificadores; b) Gestão de eventos presenciais e digitais; c) Comunicação direta com Especificadores (via Brevo ou outro canal contratado); d) Geração de relatórios e indicadores para a Brand; e) Cumprimento de obrigações legais e regulatórias.
4. Sub-operadoras Autorizadas
4.1. A Brand autoriza a Devon Studio a contratar as seguintes sub-operadoras:
| Sub-operadora | Finalidade | Localização |
|---|---|---|
| Hostinger | Hospedagem de servidores | Brasil |
| Cloudflare | CDN e proteção contra ataques | Global (proxy reverso) |
| Brevo | Envio de e-mail/WhatsApp marketing (opcional) | UE |
| Stripe | Processamento de pagamentos da Brand | EUA |
4.2. A Devon Studio assegura que as sub-operadoras observem nível de proteção equivalente ao previsto neste DPA.
4.3. Alterações na lista de sub-operadoras serão comunicadas com antecedência mínima de 30 dias, podendo a Brand opor-se motivadamente.
4.4. Para sub-operadoras localizadas fora do Brasil, a Devon Studio adota as garantias de transferência internacional previstas no art. 33 da LGPD (cláusulas-padrão, certificações, etc.).
5. Segurança da Informação (LGPD Art. 46)
A Devon Studio implementa, no mínimo:
5.1. Medidas técnicas
- Criptografia em trânsito (TLS 1.2+)
- Hash de senhas (bcrypt com salt)
- Backups regulares com retenção mínima de 30 dias
- Logs de auditoria de operações sensíveis
- Controle de acesso baseado em perfis (RBAC)
- Proteção contra SQL Injection e XSS
- Firewall de aplicação (Cloudflare WAF)
- Monitoramento de tentativas de acesso indevido
5.2. Medidas administrativas
- Política de senhas fortes
- Acesso restrito de funcionários ao banco de dados (princípio do menor privilégio)
- Termos de confidencialidade com colaboradores e prestadores
- Treinamento periódico em LGPD
- Revisão anual destas medidas
6. Direitos dos Titulares (LGPD Art. 18)
6.1. A responsabilidade primária pelo atendimento aos direitos dos Especificadores é da Brand (Controladora).
6.2. A Devon Studio auxilia a Brand fornecendo:
a) Funcionalidades de exportação de dados (portabilidade); b) Funcionalidades de edição e exclusão de cadastros (correção e eliminação); c) Logs de aceites LGPD (transparência); d) Exclusão completa mediante solicitação documentada da Brand; e) Atendimento direto ao titular quando a solicitação for encaminhada à Devon Studio, em até 15 dias úteis (com ciência da Brand).
7. Incidentes de Segurança (LGPD Art. 48)
7.1. A Devon Studio notificará a Brand em até 48 horas após tomar ciência de incidente de segurança que envolva dados dos Especificadores, fornecendo:
a) Descrição da natureza do incidente; b) Categorias e quantidade aproximada de dados afetados; c) Medidas adotadas para mitigação; d) Riscos identificados aos titulares.
7.2. Caberá à Brand, na qualidade de Controladora, decidir sobre comunicação à ANPD e aos titulares, com suporte da Devon Studio.
8. Auditoria e Demonstração de Conformidade
8.1. A Devon Studio disponibilizará à Brand, mediante solicitação razoável e com 15 dias de antecedência:
a) Relatórios de logs de auditoria; b) Evidências de medidas de segurança implementadas; c) Lista atualizada de sub-operadoras; d) Histórico de incidentes ocorridos no período.
8.2. Auditoria presencial poderá ser realizada uma vez por ano, mediante agendamento prévio, sob compromisso de confidencialidade, com escopo restrito ao tratamento de dados da Brand solicitante.
9. Retenção e Eliminação dos Dados
9.1. Os dados dos Especificadores serão mantidos enquanto vigente o contrato entre a Brand e a Devon Studio.
9.2. Após o término do contrato, a Brand terá:
| Prazo | Disponibilidade |
|---|---|
| 30 dias | Acesso para exportação completa dos dados |
| 12 meses | Dados mantidos em modo arquivado (sem acesso operacional) — para fins de cumprimento de obrigação legal, exercício de direitos e possíveis disputas |
| Após 12 meses | Eliminação definitiva dos dados (art. 16 da LGPD), exceto hipóteses legais de retenção (art. 16, I a IV) |
9.3. Mediante solicitação expressa da Brand, a Devon Studio fornecerá declaração formal de eliminação.
10. Vigência e Rescisão
10.1. Este DPA entra em vigor na data do aceite eletrônico pelo master_brand da Brand e permanece vigente enquanto perdurar a relação contratual com o Spec360°.
10.2. As obrigações de segurança, confidencialidade e eliminação subsistem após o término contratual pelos prazos previstos na legislação aplicável.
11. Responsabilidade
11.1. Cada parte responderá pelos danos causados por atos próprios em violação à LGPD ou a este DPA, observados os arts. 42 a 45 da LGPD.
11.2. Responsabilidade solidária ocorrerá apenas nas hipóteses do art. 42, §1º da LGPD.
11.3. A responsabilidade total da Devon Studio neste DPA limita-se aos valores pagos pela Brand nos 12 meses anteriores ao evento que originou a responsabilização, ressalvados dolo ou culpa grave.
12. Confidencialidade
12.1. A Devon Studio compromete-se a manter estrito sigilo sobre os dados dos Especificadores, estendendo essa obrigação a todos os colaboradores e sub-operadoras.
12.2. A obrigação de confidencialidade subsiste por prazo indeterminado após o término deste DPA.
13. Disposições Finais
13.1. Comunicações oficiais entre as partes serão realizadas pelos e-mails:
- Devon Studio: [email protected]
- Brand: e-mail do master_brand cadastrado na Plataforma
13.2. Alterações neste DPA decorrentes de mudanças legislativas serão comunicadas com 30 dias de antecedência, exigindo novo aceite expresso pelo master_brand.
13.3. O histórico de versões está disponível em https://spec360.app/compliance.
14. Foro e Lei Aplicável
Este DPA é regido pelas leis da República Federativa do Brasil, em especial a Lei nº 13.709/2018 (LGPD).
Fica eleito o foro da Comarca de Nova Lima/MG para dirimir controvérsias decorrentes deste DPA, com expressa renúncia a qualquer outro.
Devon Studio | Tesscol Comércio, Importação e Exportação Ltda. Encarregado pelo Tratamento de Dados (DPO): [email protected]
Aceite eletrônico: este DPA foi aceito pelo Usuário com perfil master_brand da Brand contratante, com registro de IP, user-agent, data/hora e versão em brand_termos_aceite, constituindo prova válida da manifestação de vontade da Brand.