[!NOTE]
Este DPA complementa os Termos e Condições da Summya e se aplica quando o cliente processa dados pessoais de cidadãos da UE/EEE, Reino Unido, Brasil ou outras jurisdições que exijam um acordo formal de processamento de dados.
1. Definições
Para os efeitos deste Acordo:
"Controlador": A entidade cliente que determina as finalidades e os meios do tratamento dos Dados Pessoais.
"Operador": Summya S.A.S., que trata os Dados Pessoais em nome do Controlador.
"Suboperador": Qualquer terceiro contratado pela Summya para auxiliar no tratamento dos Dados Pessoais.
"Dados Pessoais": Qualquer informação relativa a uma pessoa natural identificada ou identificável.
"Incidente de Segurança": Toda violação de segurança que acarrete destruição, perda, alteração ou divulgação não autorizada de Dados Pessoais.
2. Objeto e escopo do tratamento
A Summya trata os Dados Pessoais exclusivamente:
De acordo com as instruções documentadas do Controlador.
Na medida necessária para prestar os serviços contratados.
Em conformidade com a regulamentação aplicável de proteção de dados.
O Controlador garante que possui base legal válida para a transferência de Dados Pessoais à Summya para tratamento.
3. Obrigações da Summya como Operador
A Summya compromete-se a:
Tratar os Dados Pessoais somente conforme as instruções documentadas do Controlador.
Garantir que o pessoal autorizado a tratar os Dados Pessoais esteja sujeito a obrigações de confidencialidade.
Implementar medidas técnicas e organizacionais apropriadas conforme o Artigo 32 do GDPR.
Respeitar as condições para recorrer a outro Operador (suboperador).
Auxiliar o Controlador, na medida do possível, a responder a solicitações de exercício de direitos.
Auxiliar o Controlador a garantir o cumprimento das obrigações de segurança, notificação de violações e avaliações de impacto.
Suprimir ou devolver todos os Dados Pessoais ao Controlador após a finalização da prestação dos serviços, conforme escolha do Controlador.
Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações do Operador.
4. Suboperadores autorizados
O Controlador autoriza o uso dos seguintes Suboperadores. A Summya notificará com antecedência razoável qualquer alteração nesta lista:
| Suboperador | País | Serviço |
|-------------|------|---------|
| Google Cloud (GCP) | EUA / Global | Infraestrutura cloud, computação, armazenamento |
| Firebase / Google | EUA | Autenticação, banco de dados em tempo real |
| Stripe, Inc. | EUA | Processamento de pagamentos |
| Anthropic / OpenAI | EUA | Modelos de IA (processamento de prompts) |
| PostHog, Inc. | EUA / UE | Analítica de produto |
Todos os Suboperadores estão sujeitos a obrigações de proteção de dados equivalentes às estabelecidas neste DPA.
5. Transferências internacionais
As transferências internacionais de Dados Pessoais fora do EEE, Reino Unido ou Brasil serão realizadas sob mecanismos de transferência apropriados, incluindo:
Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia.
Decisões de adequação emitidas pelas autoridades competentes.
Garantias adicionais implementadas por Suboperadores certificados.
6. Medidas de segurança técnicas e organizacionais
A Summya implementa as seguintes medidas de segurança:
6.1 Medidas técnicas
Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
Controle de acesso baseado em funções (RBAC) com princípio de mínimo privilégio.
Autenticação multifator (MFA) para acessos críticos.
Segmentação de redes e ambientes (produção, staging, desenvolvimento).
Monitoramento contínuo, alertas e registros de auditoria.
Gestão centralizada de segredos (Google Secret Manager).
6.2 Medidas organizacionais
Políticas internas de segurança da informação.
Formação periódica do pessoal em proteção de dados.
Processo de gestão de incidentes e resposta a violações.
Avaliações periódicas de risco e testes de penetração.
7. Notificação de incidentes de segurança
Em caso de Incidente de Segurança que afete os Dados Pessoais do Controlador:
A Summya notificará o Controlador sem demora indevida e, em todo caso, dentro de 72 horas após tomar conhecimento do incidente (quando aplicável GDPR/LGPD).
A notificação incluirá: descrição da natureza do incidente, categorias e número aproximado de titulares e registros afetados, consequências prováveis e medidas adotadas ou propostas.
8. Exercício de direitos dos titulares
A Summya auxiliará o Controlador, por meio de medidas técnicas e organizacionais apropriadas, a responder às solicitações de exercício de direitos dos titulares (acesso, retificação, supressão, portabilidade, oposição, limitação do tratamento).
9. Auditorias e verificações
O Controlador tem direito a:
Solicitar informações para verificar o cumprimento deste DPA.
Realizar ou contratar auditorias, com aviso prévio razoável e sem interromper as operações da Summya.
Revisar as certificações de segurança relevantes da Summya e de seus Suboperadores.
10. Vigência e rescisão
Este DPA entra em vigor na data de assinatura do contrato de serviços e permanece vigente durante a prestação dos mesmos. Na rescisão, a Summya devolverá ou suprimirá os Dados Pessoais no prazo de 30 dias, salvo se a lei aplicável exigir conservação por período maior.
11. Contato DPA
Para solicitações relacionadas a este DPA, o Controlador deve dirigir-se a:
Summya S.A.S. — Encarregado de Proteção de Dados
E-mail: dpo@summya.com
Formulário: /pt-BR/contacto