Tratamento de Dados
Este Adendo de Tratamento de Dados (doravante "Adendo") é parte integrante dos Termos de Uso firmados entre ABGS Play Serviços digitais (CNPJ 00.000.000/0001-00, "ABGS" — Operadora) e o CONTRATANTE (Controlador), nos termos do art. 39 da Lei n.º 13.709/2018 (LGPD). Em caso de conflito entre este Adendo e os Termos de Uso, este Adendo prevalece para matérias de proteção de dados.
1. Objeto
Este Adendo rege o tratamento de dados pessoais realizado pela ABGS na condição de Operadora, por conta e sob instrução do CONTRATANTE (Controlador), no contexto da prestação dos serviços da Plataforma ABGS Play.
2. Papéis das Partes
- CONTRATANTE (Controlador — art. 5º, VI, LGPD): determina as finalidades e os meios do tratamento dos dados pessoais de seus contatos finais. É responsável pela legalidade da coleta, pelo opt-in dos titulares e pelo conteúdo das mensagens disparadas.
- ABGS (Operadora — art. 5º, VII, LGPD): realiza o tratamento de dados pessoais em nome do CONTRATANTE, conforme suas instruções documentadas neste Adendo e nas funcionalidades disponibilizadas pela Plataforma. A ABGS não utiliza os dados dos contatos finais do CONTRATANTE para fins próprios.
3. Natureza, Duração e Tipos de Dados
- Duração: enquanto vigorar o contrato de prestação de serviços entre as partes;
- Tipos de dados pessoais tratados: nome, número de telefone (WhatsApp), tags/segmentos, histórico de mensagens enviadas, variáveis personalizadas cadastradas pelo CONTRATANTE;
- Categorias de titulares: contatos finais do CONTRATANTE — pessoas físicas que recebem ou podem receber mensagens via WhatsApp através da Plataforma;
- Natureza do tratamento: armazenamento, organização, segmentação, agendamento e envio de mensagens, geração de logs de auditoria.
4. Instruções do Controlador
A ABGS trata os dados dos contatos finais exclusivamente conforme as funcionalidades contratadas e as instruções implícitas no uso da Plataforma, sem extrapolar os limites aqui definidos. Instruções adicionais do CONTRATANTE que impliquem novos tratamentos ou finalidades diversas devem ser formalizadas por escrito. A ABGS notificará o CONTRATANTE se, em sua opinião, uma instrução violar a LGPD ou normativa aplicável.
5. Obrigações da ABGS (Operadora)
- Tratar os dados exclusivamente conforme as instruções do CONTRATANTE e este Adendo;
- Garantir que as pessoas autorizadas a tratar os dados tenham assumido compromisso de confidencialidade;
- Implementar e manter as medidas de segurança descritas na Cláusula 7;
- Notificar o CONTRATANTE em prazo razoável após tomar conhecimento de incidente de segurança que afete os dados de seus contatos;
- Prestar assistência ao CONTRATANTE para cumprimento de solicitações de titulares (art. 18 LGPD), na medida do tecnicamente possível;
- Eliminar ou devolver os dados ao CONTRATANTE ao término da relação contratual, conforme opção do CONTRATANTE, observados prazos legais.
6. Obrigações do CONTRATANTE (Controlador)
- Garantir que possui base legal adequada (especialmente consentimento documentado, art. 7º, I, LGPD) para cadastrar e enviar mensagens aos contatos finais;
- Garantir que os titulares foram informados sobre o tratamento de seus dados para envio de mensagens via WhatsApp;
- Não instruir a ABGS a realizar tratamentos ilegais ou contrários às políticas da Meta Platforms, Inc.;
- Manter seus dados de acesso (login/senha) em sigilo, responsabilizando-se por acessos realizados com suas credenciais;
- Notificar a ABGS imediatamente caso identifique suspeita de incidente de segurança relacionado à conta.
7. Medidas de Segurança
A ABGS implementa as seguintes medidas técnicas e organizacionais:
- Comunicação criptografada em trânsito (TLS 1.2+);
- Senhas armazenadas com algoritmo bcrypt (sem armazenamento em texto claro);
- Autenticação em dois fatores (2FA) disponível para todos os usuários;
- Isolamento multi-tenant por banco de dados — dados de tenants distintos são logicamente separados e não acessíveis entre si;
- Controle de acesso baseado em perfis (RBAC) com segregação entre usuários operacionais e super-administradores;
- Logs de auditoria para ações críticas (criação, edição, exclusão);
- Backups regulares com política de retenção controlada;
- Monitoramento de tentativas de acesso indevido (rate limiting, honeypot).
8. Suboperadores
A ABGS utiliza os seguintes suboperadores (subcontratados) para prestação dos serviços. O CONTRATANTE autoriza expressamente a subcontratação dos serviços abaixo. Eventuais alterações nessa lista serão comunicadas com 30 dias de antecedência.
- Evolution API — intermediação técnica do envio de mensagens WhatsApp;
- Asaas Pagamentos S.A. — processamento de pagamentos e cobranças;
- Provedor de hospedagem — infraestrutura de servidores e armazenamento.
Todos os suboperadores são contratualmente obrigados a adotar medidas de segurança compatíveis com os requisitos desta cláusula e da LGPD.
9. Riscos Operacionais — Banimento do Número WhatsApp
O CONTRATANTE, na qualidade de Controlador, é integralmente responsável pelo uso adequado dos dados de seus contatos finais, incluindo a obtenção de consentimento válido para o envio de mensagens via WhatsApp. O não cumprimento das políticas da Meta Platforms, Inc. pode resultar no banimento do número de WhatsApp do CONTRATANTE.
⚠️ A ABGS é Operadora — não Controladora dos seus contatos
- A responsabilidade pelo opt-in (consentimento) de cada contato final é exclusivamente do CONTRATANTE;
- A ABGS não verifica, valida nem é responsável pela legalidade da lista de contatos importada ou cadastrada pelo CONTRATANTE;
- Banimentos de número impostos pela Meta são consequência do comportamento do CONTRATANTE e não geram direito a reembolso, indenização ou desconto perante a ABGS;
- A ABGS opera sobre a Evolution API (API não-oficial da Meta), o que eleva o risco operacional de banimento comparado à API oficial.
✅ Boas práticas para reduzir risco de banimento
- Aqueça o número progressivamente antes de grandes disparos;
- Use apenas contatos com opt-in documentado (formulário, conversa prévia, checkbox);
- Personalize as mensagens com variáveis ({nome}, {empresa}) para evitar conteúdo idêntico em massa;
- Respeite janelas de horário comercial para disparos;
- Ofereça opt-out claro em todas as mensagens comerciais;
- Monitore taxa de bloqueio — acima de 2% é sinal de alerta;
- Mantenha número secundário aquecido como contingência;
- Para alto volume, avalie migração para a API oficial da Meta (WhatsApp Business Platform).
10. Auditoria
O CONTRATANTE poderá solicitar, com antecedência mínima de 30 dias e mediante justificativa, relatório de conformidade anual relativo às medidas de segurança adotadas pela ABGS. Auditorias presenciais ou inspeções in loco poderão ser realizadas mediante acordo prévio e assinatura de Acordo de Confidencialidade (NDA), com custos operacionais a cargo do CONTRATANTE.
11. Eliminação e Devolução de Dados
Ao término do contrato, a ABGS disponibilizará ao CONTRATANTE, por até 30 dias, mecanismo de exportação de seus dados (contatos, histórico de disparos). Após esse prazo, todos os dados do CONTRATANTE serão eliminados de forma segura, exceto os que devam ser retidos por obrigação legal (logs de acesso pelo prazo do Marco Civil, dados fiscais pelo prazo tributário). A eliminação será confirmada por notificação por e-mail.
12. Notificação de Incidentes
A ABGS notificará o CONTRATANTE em prazo razoável após tomar conhecimento de incidente de segurança confirmado que afete dados dos contatos finais do CONTRATANTE. A notificação incluirá: (i) natureza do incidente; (ii) dados e titulares afetados; (iii) medidas adotadas para mitigação; e (iv) recomendações ao CONTRATANTE. A ABGS não se responsabiliza por incidentes causados por credenciais comprometidas do próprio CONTRATANTE.
13. Foro e Lei Aplicável
Este Adendo é regido pelas leis da República Federativa do Brasil, especialmente a LGPD (Lei n.º 13.709/2018). O foro competente é o da Comarca de São Paulo/SP, com renúncia a qualquer outro.
Dúvidas sobre este Adendo? Entre em contato: dpo@agendagora.com.br