Acordo de Tratamento de Dados (DPA)

Última atualização: 17 de junho de 2026

Minuta para validação jurídica (Diretoria da Factorya). Este documento entra em vigor automaticamente quando o cliente contrata ou utiliza a plataforma Cliq e trata dados pessoais por meio dela.

1. Objeto e Partes

Este Acordo de Tratamento de Dados Pessoais (DPA) regula o tratamento de dados pessoais realizado pelo Instituto Innvicton Ltda, inscrito no CNPJ sob o nº 23.285.285/0001-50, com sede em Itapema, SC, Brasil, operador da plataforma Cliq (umcliq.com.br), na condição de Operador, em nome e por conta do Cliente da plataforma, na condição de Controlador.

O presente DPA é parte integrante dos Termos de Uso e da Política de Privacidade do Cliq e aplica-se sempre que o Cliente, ao usar a plataforma, determinar as finalidades e os meios do tratamento de dados pessoais de seus próprios titulares (clientes finais, pacientes, leads e contatos).

2. Papéis das Partes

  • Controlador (Cliente): decide sobre as finalidades e os meios do tratamento dos dados dos seus titulares (a quem o Cliente atende). É responsável pela base legal e pela relação com esses titulares.
  • Operador (Instituto Innvicton Ltda / Cliq): trata os dados pessoais exclusivamente em nome do Controlador, seguindo suas instruções documentadas, conforme o Art. 39 da LGPD.

Em relação aos dados cadastrais do próprio Cliente (assinante), o Instituto Innvicton Ltda atua como Controlador, conforme descrito na Política de Privacidade.

3. Instruções de Tratamento

O Operador trata os dados pessoais somente para prestar os serviços contratados e de acordo com as instruções documentadas do Controlador, que incluem:

  • Operar funcionalidades de CRM, agendamento, automação de marketing e gestão de tráfego pago em nome do Cliente
  • Enviar comunicações automatizadas (lembretes, confirmações, mensagens) pelos canais autorizados pelo Cliente
  • Capturar, armazenar e disponibilizar leads e contatos gerados pelos canais do Cliente
  • Gerar conteúdo, copy e análises sob solicitação do Cliente

O Operador informará o Controlador caso entenda que uma instrução viola a LGPD ou outra norma de proteção de dados aplicável.

4. Natureza e Categorias de Dados

  • Categorias de titulares: clientes finais, pacientes, leads e contatos do Controlador.
  • Tipos de dados: nome, e-mail, telefone, mensagens trocadas, histórico de agendamentos e interações, dados de campanhas e, quando aplicável e sob consentimento específico, dados sensíveis fornecidos pelo Controlador.
  • Duração: enquanto durar a relação contratual entre as Partes, observados os prazos de retenção da Política de Privacidade.

5. Subcontratação (Suboperadores)

O Controlador autoriza o Operador a contratar suboperadores para a prestação dos serviços. O Operador mantém contrato com cada suboperador impondo obrigações de proteção de dados equivalentes às deste DPA. Os suboperadores atuais do Cliq são:

  • Meta Platforms Inc. — integração de anúncios, leads e mensagens (Marketing API e Webhooks), quando o Cliente conecta sua conta Meta
  • Asaas — processamento de cobranças e pagamentos
  • Evolution API / wuzapi — envio e recebimento de mensagens WhatsApp
  • Supabase — armazenamento estruturado de dados e autenticação
  • Anthropic (Claude API) — geração de conteúdo e copy sob solicitação
  • ElevenLabs — síntese de voz nos áudios de performance

O Operador notificará o Controlador sobre a inclusão ou substituição de suboperadores com antecedência razoável, permitindo que o Controlador se oponha por motivo legítimo relacionado à proteção de dados.

6. Segurança da Informação (Art. 46 LGPD)

O Operador adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, incluindo:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256-GCM para dados sensíveis e tokens de acesso)
  • Controle de acesso por papel (RBAC) com Row-Level Security no banco de dados
  • Autenticação multifator (MFA) para administradores
  • Registro de auditoria de acessos e ações, retido por 24 meses
  • Backups diários testados e isolados
  • Segregação lógica de dados por cliente

7. Incidentes de Segurança (Art. 48 LGPD)

Ao tomar conhecimento de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Operador comunicará o Controlador sem demora injustificada, fornecendo as informações necessárias para que o Controlador cumpra suas obrigações, incluindo a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares quando exigido. O Operador apoiará o Controlador na investigação e mitigação do incidente.

8. Direitos dos Titulares

O Operador auxiliará o Controlador, na medida do possível e por meio de medidas técnicas e organizacionais, a responder às solicitações dos titulares relativas ao exercício de seus direitos (acesso, correção, eliminação, portabilidade, oposição e revisão de decisões automatizadas), nos termos do Art. 18 da LGPD. Solicitações recebidas diretamente pelo Operador serão encaminhadas ao Controlador.

9. Eliminação e Devolução de Dados

Encerrada a prestação dos serviços, o Operador eliminará ou devolverá ao Controlador, conforme a opção do Controlador, todos os dados pessoais tratados em seu nome, excluindo as cópias, salvo quando a retenção for exigida por obrigação legal ou regulatória. O prazo máximo para conclusão da eliminação é de 30 dias corridos.

10. Auditoria

O Operador disponibilizará ao Controlador as informações necessárias para demonstrar o cumprimento das obrigações deste DPA e permitirá auditorias razoáveis, mediante aviso prévio e respeitando a confidencialidade dos demais clientes da plataforma.

11. Transferência Internacional

Alguns suboperadores (Meta, Anthropic, ElevenLabs) processam dados fora do Brasil. Tais transferências ocorrem com base em hipótese legal adequada (Art. 33 LGPD), como adequação reconhecida pela ANPD ou cláusulas contratuais padrão que garantam nível de proteção equivalente à LGPD.

12. Encarregado (DPO)

O Encarregado pelo Tratamento de Dados do Operador pode ser contatado pelo e-mail dpo@umcliq.com.br.

13. Vigência

Este DPA vigora enquanto o Operador tratar dados pessoais em nome do Controlador e prevalece sobre disposições conflitantes de outros instrumentos no que se refere à proteção de dados pessoais.

Documentos relacionados: Política de Privacidade e Termos de Uso.