⚖️ Este é o DPA Base da Zatara Tecnologia, aplicável a todos os seus produtos.
Cada produto possui um Adendo de DPA específico que complementa este documento
com as particularidades do nicho — dados coletados, prazo de retenção, base legal e reguladores específicos.
O Adendo prevalece sobre o DPA Base nos pontos que especificar.
Zatara Tecnologia — DPA Base
Cláusulas comuns a todos os produtos do Sistema Zatara
Adendo: Zatara Voto
Partes deste Acordo
Operadora de Dados (a mesma para todos os produtos)
Zatara Tecnologia
Desenvolvedora e operadora do Sistema Zatara e de todos os produtos sob o guarda-chuva Zatara.
Site: zatarategonologia.com.br | E-mail: privacidade@zatarategonologia.com.br
Controlador de Dados
Contratante — identificado no Adendo do produto contratado
Pessoa física ou jurídica que contratou um produto da Zatara Tecnologia e é responsável
legal perante os titulares dos dados e perante os órgãos reguladores aplicáveis ao seu nicho.
Cláusula 1 — Objeto e Estrutura do Acordo
Este DPA Base regula o tratamento de dados pessoais realizado pela Zatara Tecnologia
(Operadora) em nome do Contratante (Controlador), no âmbito de qualquer produto
da plataforma Sistema Zatara.
O acordo é composto por dois instrumentos complementares:
- DPA Base (este documento): cláusulas comuns a todos os produtos — infraestrutura,
segurança, obrigações gerais, suboperadores fixos, protocolo de incidentes e assinatura eletrônica.
- Adendo de DPA do produto: cláusulas específicas do nicho contratado — dados
tratados, prazo de retenção, base legal, reguladores e legislação específica.
Em caso de conflito entre o DPA Base e o Adendo, o Adendo prevalece nos pontos
em que for mais específico. O DPA Base prevalece em tudo o que o Adendo não tratar.
Para fins deste acordo, adotam-se as definições do art. 5º da LGPD. Os termos "Controlador",
"Operador", "Titular" e "Tratamento" têm o sentido ali definido.
Cláusula 2 — Papel e Obrigações da Operadora
A Zatara Tecnologia atua exclusivamente como operadora de dados (art. 5º, VII da LGPD)
em todos os seus produtos. A Operadora compromete-se a:
- Processar dados pessoais exclusivamente para as finalidades definidas pelo Controlador no contrato de serviço e no Adendo do produto;
- Não utilizar os dados para fins próprios, publicitários, comerciais ou não previstos neste DPA;
- Não compartilhar dados com terceiros não listados na Cláusula 5 ou não autorizados pelo Controlador;
- Manter sigilo absoluto sobre os dados processados, inclusive após o término do contrato;
- Garantir que colaboradores com acesso aos dados estejam sujeitos a obrigações de confidencialidade;
- Comunicar ao Controlador qualquer instrução que, na avaliação da Operadora, viole a LGPD ou norma aplicável.
Cláusula 3 — Obrigações do Controlador
O Controlador, como responsável legal perante os titulares e os órgãos reguladores, compromete-se a:
- Garantir que os titulares foram devidamente informados sobre o tratamento antes de fornecerem seus dados;
- Garantir que os consentimentos coletados são válidos, livres, informados e inequívocos (art. 8º da LGPD);
- Atender às requisições dos titulares sobre seus dados nos prazos legais;
- Notificar a Operadora imediatamente caso receba requisição de titular ou autoridade que afete dados processados pela plataforma;
- Usar a plataforma exclusivamente para as finalidades previstas neste DPA e no contrato de serviço;
- Exportar seus dados antes de encerrar o contrato, quando necessário para cumprimento de obrigações legais.
Cláusula 4 — Direitos do Controlador sobre os Dados
- Exportação: solicitar exportação completa dos dados em formato CSV ou JSON a qualquer momento durante a vigência do contrato. Prazo de entrega: 10 dias úteis.
- Auditoria: solicitar relatório de operações de tratamento realizadas pela Operadora. Prazo: 15 dias úteis.
- Correção: solicitar correção de dados incorretos via painel ou por solicitação formal.
- Eliminação antecipada: solicitar eliminação de dados antes do prazo previsto no Adendo, desde que o Controlador assuma formalmente a responsabilidade pelo cumprimento de eventuais obrigações legais de retenção perante os reguladores do seu nicho.
Cláusula 5 — Suboperadores Fixos (comuns a todos os produtos)
O Controlador autoriza a Operadora a utilizar os seguintes suboperadores de infraestrutura,
presentes em todos os produtos da Zatara Tecnologia:
| Suboperador | Função | Localização dos dados | Observação |
|---|
| Supabase |
Banco de dados relacional, autenticação, armazenamento |
Brasil — São Paulo (sa-east-1) |
Dados pessoais armazenados em território brasileiro. Sem transferência internacional. |
| Cloudflare |
Hospedagem, CDN, proteção DDoS, entrega de páginas estáticas |
EUA / Global (CDN) |
CDN não armazena dados pessoais — roteia tráfego. Cláusulas contratuais padrão aplicáveis ao tráfego em trânsito. |
Suboperadores adicionais específicos de cada produto (integrações, notificações push, etc.) estão
listados no Adendo do produto correspondente. A Operadora notificará o Controlador com
antecedência mínima de 30 dias antes de adicionar ou substituir qualquer suboperador.
Cláusula 6 — Medidas de Segurança (infraestrutura comum)
A Operadora aplica as seguintes medidas em todos os produtos, independentemente do nicho:
| Medida | Descrição |
|---|
| Criptografia em trânsito | HTTPS com TLS em todas as comunicações |
| Autenticação | Hash de senha PBKDF2 com salt aleatório para acesso ao painel |
| Isolamento de dados | Row-Level Security (RLS) — impede acesso cruzado entre clientes |
| Rate limiting | Limite de requisições por IP nas APIs |
| Auditoria de acessos | Registro de logins, falhas e alterações em audit_logs |
| Registro de consentimento | Texto do consentimento, IP, user-agent e timestamp por envio (audit_consents) |
| Sanitização de entrada | Validação e limite de tamanho em todos os campos |
Cláusula 7 — Protocolo de Incidentes de Segurança
Em caso de incidente que possa causar risco ou dano relevante aos titulares (art. 48 da LGPD):
- Operadora → Controlador: notificação em até 72 horas da ciência do incidente, contendo: tipo de dado afetado, estimativa de titulares impactados, medidas adotadas e em andamento.
- Controlador → ANPD e Titulares: o Controlador é o responsável legal pela comunicação à ANPD e aos titulares afetados (art. 48 da LGPD). O prazo e os reguladores específicos constam no Adendo do produto.
- A Operadora prestará assistência técnica completa à investigação e fornecerá os logs de auditoria disponíveis.
Cláusula 8 — Assistência da Operadora ao Controlador
A Operadora assistirá o Controlador em:
- Atendimento de requisições de titulares que envolvam dados técnicos armazenados pela Operadora;
- Fornecimento de informações para Relatório de Impacto à Proteção de Dados (RIPD);
- Requisições de autoridades reguladoras que envolvam dados processados pela plataforma;
- Realização de auditoria de segurança quando solicitada formalmente pelo Controlador.
Cláusula 9 — Vigência e Sobrevivência
Este DPA Base entra em vigor na data de assinatura do contrato de serviço e permanece vigente
até a eliminação completa dos dados conforme o prazo definido no Adendo do produto contratado.
As obrigações de confidencialidade (Cláusula 2) e de retenção mínima
(Adendo) sobrevivem ao término do contrato pelo período necessário ao cumprimento das obrigações legais.
Cláusula 10 — Assinatura Eletrônica e Aceitação
Este DPA Base, em conjunto com o Adendo do produto contratado, é parte integrante e
indissociável do Contrato de Serviço, constituindo seu Anexo I — DPA.
A aceitação do Contrato de Serviço implica aceitação simultânea e integral deste DPA Base e do
Adendo correspondente.
A assinatura é realizada de forma eletrônica no ato da contratação, nos termos
da Lei nº 14.063/2020 e do Marco Civil da Internet (Lei nº 12.965/2014).
O sistema registra automaticamente no ato do aceite:
- Nome completo e CPF/CNPJ do Contratante;
- Data e hora exata (timestamp UTC);
- Endereço IP do dispositivo;
- Versão do Contrato de Serviço, do DPA Base e do Adendo aceitos;
- Hash SHA-256 dos documentos aceitos — garantia de integridade e imutabilidade.
Estrutura documental do Contrato de Serviço Zatara:
Contrato Principal +
Anexo I — DPA Base (este) + Adendo do produto +
Anexo II — Termos de Uso +
Anexo III — Política de Privacidade
Cláusula 11 — Legislação Aplicável
Este DPA Base é regido pela legislação brasileira, em especial:
- Lei nº 13.709/2018 — LGPD (arts. 5º, 7º, 8º, 16, 39, 46 e 48);
- Lei nº 12.965/2014 — Marco Civil da Internet;
- Lei nº 14.063/2020 — Assinaturas Eletrônicas.
A legislação específica de cada nicho (TSE, CFM, MAPA, etc.) consta no Adendo do produto.
Foro eleito: comarca de domicílio da Zatara Tecnologia.
Encarregado de Proteção de Dados (DPO)
Nos termos do art. 41 da LGPD, a Zatara Tecnologia designou como Encarregada de Proteção de Dados:
Alessandra Depieri Viegas Abudi
Encarregada de Proteção de Dados — Zatara Tecnologia
Titulares de dados podem contatar a Encarregada para exercer os direitos previstos no art. 18 da LGPD,
solicitar informações sobre o tratamento de seus dados ou registrar reclamações.
Prazo de resposta: 15 dias úteis.