Legal · B2B

Acordo de Tratamento de Dados

Data Processing Agreement (DPA) · Última atualização: junho 2026

Versão inicial de trabalho · revisão legal formal programada antes do lançamento comercial. Este documento não substitui a firma do contrato principal de serviços.

⚠️ Esta é uma tradução de referência. A versão em espanhol é legalmente vinculativa. Ver versão em espanhol →

Este DPA regula as responsabilidades da RAXAR como encarregada do tratamento quando tratamos dados pessoais por conta dos nossos clientes (controladores) no marco dos serviços contratados. Cumpre GDPR (UE 2016/679), Lei Orgânica 3/2018 (LOPDGDD) e normativa europeia sobre transferências internacionais.

1. Partes e Âmbito

Este Acordo de Tratamento de Dados ("DPA") regula as obrigações da RAXAR como encarregada do tratamento quando prestamos serviços a um cliente ("Responsável") que, no curso normal da contratação, nos instrui para tratar dados pessoais de terceiros (funcionários, clientes finais, prospects) em seu nome. — Responsável pelo tratamento: o cliente que contrata os serviços RAXAR. — Encarregado do tratamento: SOLUTIONS RAXAR, S.L. (marca «RAXAR») · NIF B88688205 · C/ Cardenal Parrado, 3, Esc. 2, 18013 Granada (Espanha). — Objeto do tratamento: execução dos serviços SaaS contratados (automações, dashboards, agentes autônomos, integrações, treinamento, consultoria estratégica). Este DPA se integra automaticamente no contrato principal firmado com o cliente. Prevalece sobre qualquer condição contraditória do contrato principal no relativo à proteção de dados.

2. Natureza e Finalidade do Tratamento

RAXAR tratará os dados pessoais do Responsável exclusivamente para as finalidades descritas no contrato de serviços: — Prestação dos serviços SaaS contratados (processamento de leads, triagem de emails, scoring de candidatos, análise de documentos, monitoramento de sistemas, etc.). — Execução das automações e workflows configurados pelo cliente ou sob suas instruções. — Armazenamento, processamento e devolução dos resultados ao cliente via plataforma RAXAR e canais integrados. — Suporte técnico e resolução de incidentes (quando o cliente solicite expressamente). RAXAR não utilizará os dados do Responsável para fins próprios (treinamento de modelos, benchmarking comercial, cessão a terceiros, perfilação cruzada entre clientes). O isolamento multi-tenant se aplica em nível de banco de dados via Row Level Security (RLS) e identificação por client_id em todas as operações.

3. Categorias de Interessados e Dados

Conforme o serviço contratado, os dados pessoais tratados podem incluir: — Dados de contato — nome, email, telefone, empresa, cargo. — Dados profissionais — CV, experiência, formação (no caso de Gestão de Talento). — Comunicações — emails recebidos/enviados, conversas de chat (no caso de Caixa Inteligente/Chat de Suporte IA). — Dados financeiros operacionais — faturas, pedidos, documentos contábeis (no caso de Cobrança Inteligente e Inteligência Documental). — Dados técnicos — logs, métricas de uso, identificadores de sessão (para monitoramento e análise). O Responsável garante ter obtido as bases legais adequadas para que a RAXAR possa tratar estes dados em seu nome.

4. Obrigações do Encarregado (RAXAR)

RAXAR se compromete a: — Tratar os dados pessoais unicamente seguindo instruções documentadas do Responsável. — Garantir que o pessoal autorizado para tratar os dados esteja sujeito a deveres de confidencialidade vinculantes. — Aplicar medidas técnicas e organizacionais apropriadas conforme art. 32 GDPR (ver seção 6). — Assistir o Responsável no cumprimento de suas obrigações GDPR, incluindo: · Atenção a direitos dos interessados (acesso, retificação, apagamento, portabilidade, limitação, oposição) em prazo máximo de 15 dias corridos desde a solicitação. · Avaliações de impacto (DPIA) relativas aos tratamentos realizados pela RAXAR. · Notificação de brechas de segurança (sem atraso indevido, nunca além de 48 horas desde conhecimento). — Permitir auditorias razoáveis pelo Responsável ou auditor externo designado, com notificação prévia de 30 dias corridos. — Devolver ou suprimir os dados pessoais ao finalizar a prestação dos serviços, conforme instruções do Responsável (ver seção 8).

5. Sub-Encarregados do Tratamento

RAXAR utiliza os seguintes sub-encarregados do tratamento para prestar os serviços contratados. O cliente dá seu consentimento geral ao sub-encarrego com a firma do contrato; qualquer mudança substancial será notificada com 30 dias de antecedência para permitir objeção motivada. — Hostinger International Ltd. (Chipre) — Hosting VPS (servidores UE). — Anthropic PBC (EUA) — Processamento NLP para ARIA e agentes. Transferência protegida via Cláusulas Contratuais Padrão (SCCs 2021/914). — Groq Inc. (EUA) — Processamento NLP de alta velocidade. SCCs aplicáveis. — PostHog Inc. (EU Cloud) — Analytics de produto. Servidores UE. — Stripe Payments Europe Ltd. (Irlanda) — Processamento de pagamentos (só dados de faturamento B2B, sem acesso a dados de interessados do cliente). — Sanity.io (Noruega / EEE) — Gestão de conteúdo público (sem dados pessoais do cliente). A lista completa e atualizada é o Anexo III. Notificações de mudanças são enviadas ao email de contato registrado do Responsável com 30 dias de antecedência.

6. Medidas de Segurança (art. 32 GDPR)

RAXAR aplica as seguintes medidas técnicas e organizacionais, revisadas periodicamente: Técnicas: — Criptografia em trânsito (TLS 1.3) para todas comunicações entre cliente, dashboard e backend. — Criptografia em repouso para dados sensíveis (AES-256) na camada de banco. — Isolamento multi-tenant via Row Level Security (RLS) em PostgreSQL com 140+ políticas ativas no schema de produção. — Autenticação multifator (2FA) obrigatória para acesso administrativo à plataforma. — Rotação periódica de credenciais e tokens de acesso (trimestral mínimo; incidente → imediata). — Logging centralizado, monitoramento em tempo real (Uptime Kuma, GlitchTip) e guardrails em todas chamadas a sistemas de IA. — Backups automáticos diários com retenção offsite em localização geograficamente separada. — Sandboxing e validação estrita (allowlist) para qualquer execução de código gerado por IA. Organizacionais: — Princípio de mínimo privilégio e RBAC granular (4 papéis: superadmin, admin, team, client). — Compromisso de confidencialidade assinado por todo pessoal com acesso a dados. — Política documentada de resposta a incidentes com RTO/RPO definidos. — Treinamento em GDPR e segurança para a equipe. — Revisão anual de provedores e sub-encarregados.

7. Transferências Internacionais

Quando um serviço requer transferir dados para um país fora do Espaço Econômico Europeu (EEE), RAXAR garante: — Transferência para países com decisão de adequação da Comissão Europeia, ou — Cláusulas Contratuais Padrão (SCCs 2021/914) em vigor, complementadas com medidas adicionais requeridas após sentença Schrems II (C-311/18), ou — Normas Corporativas Vinculantes (BCRs) aplicáveis do sub-encarregado. Os sub-encarregados atuais com transferência internacional são Anthropic e Groq (EUA), ambos com SCCs firmados. Se o cliente objetar motivadamente uma transferência específica, RAXAR oferecerá alternativas disponíveis (ex. roteamento a modelos locais na torre RAXAR via privacy_mode) ou, se não fosse possível manter o serviço sem tal transferência, extinção do serviço afetado.

8. Retenção e Devolução / Supressão

Durante a vigência do contrato, RAXAR conservará os dados pelo tempo estritamente necessário para prestação dos serviços, conforme instruções do Responsável. Ao finalizar o contrato (por qualquer causa), o Responsável dispõe de 30 dias corridos para escolher: — Devolução dos dados em formato estruturado (CSV, JSON, SQL dump), ou — Supressão certificada de todos os dados tratados, incluindo cópias de backup. Transcorridos os 30 dias sem instrução, RAXAR procederá por default à supressão certificada. Os backups offsite são purgados segundo ciclo estabelecido (retenção máxima: 90 dias pós-supressão). RAXAR emitirá certificado de supressão sob solicitação. RAXAR poderá conservar os dados estritamente necessários para cumprir obrigações legais próprias (faturamento fiscal, defesa de reclamações) pelo mínimo tempo legalmente exigido.

9. Notificação de Brechas de Segurança

Se RAXAR tiver conhecimento de violação da segurança dos dados pessoais tratados por conta do Responsável (nos termos do art. 4.12 GDPR), notificará o Responsável sem atraso indevido e, em todo caso, dentro das 48 horas seguintes ao conhecimento. A notificação incluirá, na medida disponível: — Natureza da violação e categorias / volume aproximado de interessados e dados afetados. — Consequências prováveis e medidas adotadas ou propostas para mitigar efeitos. — Dados de contato do Responsável de Segurança da RAXAR. — Estado da investigação e plano de notificação a interessados e autoridades, se aplicar. RAXAR manterá registro interno de brechas à disposição do Responsável ou autoridades de controle.

10. Direitos dos Interessados

RAXAR assistirá o Responsável na atenção de solicitações dos interessados (direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição) via: — Canal dedicado para transmissão de solicitações: privacidad@raxar.es. — Ferramentas self-service na plataforma RAXAR quando o volume justifique. — Resposta técnica dentro de 15 dias corridos desde recepção da solicitação do Responsável, para permitir responder ao interessado dentro do prazo legal de 30 dias. O Responsável é o único legitimado para responder diretamente ao interessado; RAXAR não contatará o interessado por iniciativa própria salvo instrução explícita.

11. Vigência, Lei Aplicável e Resolução

Este DPA entra em vigor com a firma do contrato principal de serviços e permanece vigente enquanto durar tal contrato + período de retenção posterior (seção 8). Rege-se pela legislação espanhola e europeia aplicável em matéria de proteção de dados (GDPR, LOPDGDD). Para qualquer controvérsia relacionada a este DPA, as partes se submetem com renúncia expressa a qualquer outro foro aos Juízos e Tribunais da cidade de Algeciras (Espanha), salvo que a normativa aplicável ao Responsável ou aos interessados imponha outro foro obrigatório. Qualquer modificação deste DPA requererá acordo por escrito. RAXAR poderá atualizar a lista de sub-encarregados e as medidas de segurança conforme procedimentos descritos nas seções 5 e 6, comunicando ao Responsável com a antecedência prevista.

12. Avaliação de Impacto (DPIA)

RAXAR põe à disposição do Responsável, sob solicitação, a seguinte documentação para assistir na realização da Data Protection Impact Assessment (DPIA · Art. 35 GDPR): — Ficha técnica dos tratamentos realizados pelos nossos sistemas. — Diagrama de fluxos de dados e sub-encarregados intervenientes. — Avaliação de riscos e medidas de mitigação aplicadas (dos nossos templates internos). — Registro de atividades de tratamento (RAT · Art. 30) relativo aos serviços contratados. Solicitações a privacidad@raxar.es · resposta em 15 dias corridos.

13. Contato

Para qualquer questão relacionada a este DPA ou à proteção de dados pessoais na RAXAR: — Email dedicado: privacidad@raxar.es — Contato geral: hello@raxar.es — Contato legal: legal@raxar.es — Responsável designado (DPO): RAXAR não está legalmente obrigada a designar DPO (Art. 37 GDPR). Canal dedicado privacidad@raxar.es gerenciado pela equipe de direção com responsabilidade formal em proteção de dados. A autoridade de controle competente na Espanha é a Agência Espanhola de Proteção de Dados (AEPD, www.aepd.es). Interessados afetados por tratamentos realizados pela RAXAR como encarregada podem apresentar reclamação ante AEPD ou autoridade competente de sua residência.

Anexo I · Detalhes do Tratamento

Objeto: prestação de serviços SaaS de automação e inteligência artificial segundo contrato principal. Duração: enquanto estiver em vigor o contrato de serviços + período de retenção pós-terminação definido na seção 8. Natureza do tratamento: coleta, estruturação, armazenamento, consulta, uso, comunicação (ao próprio Responsável), conservação, supressão ou destruição de dados pessoais. Finalidade específica: prestação das funcionalidades do produto contratado (ex. triagem automática de emails, scoring de leads, etc.). Tipo de dados pessoais: dados de contato, profissionais, comunicações, dados financeiros operacionais e dados técnicos segundo serviço (detalhado na seção 3). Categorias de interessados: funcionários, clientes, prospects, candidatos e qualquer outra pessoa física cujos dados o Responsável introduza ou autorize processamento na plataforma RAXAR.

Anexo II · Medidas Técnicas e Organizacionais (TOMs)

Medidas implementadas pela RAXAR conforme Art. 32 GDPR: A. Pseudonimização e criptografia de dados pessoais: — Criptografia em trânsito TLS 1.3. — Criptografia em repouso AES-256 para dados sensíveis. — Pseudonimização lógica via tenant_id em todas as tabelas operacionais. B. Confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas: — RLS (Row Level Security) com 140+ políticas ativas. — 2FA obrigatório para administradores. — Backups diários automáticos com verificação de integridade. — Arquitetura resiliente com containers auto-healing e monitoramento 24/7. C. Capacidade de restaurar disponibilidade e acesso aos dados de forma rápida em caso de incidente: — RPO objetivo: 24 horas. — RTO objetivo: 4 horas para serviços críticos · 8h para não críticos. — Runbooks de resposta a incidentes documentados. D. Processo de verificação, avaliação e valoração regulares da eficácia: — Auditorias técnicas trimestrais. — Testes de disaster recovery semestrais. — Revisão anual de provedores e sub-encarregados. — Logs centralizados com retenção 90 dias para forensics.

Anexo III · Sub-Encarregados Autorizados

Lista atualizada de sub-encarregados com acesso potencial a dados pessoais do Responsável. A lista vigente mantém-se em raxar.es/dpa/subprocesadores e notifica-se por email ao Responsável qualquer mudança substancial com 30 dias de antecedência. Infraestrutura: — Hostinger International Ltd. (Chipre · servidores UE · ISO 27001) · hosting VPS. Modelos IA (transferência internacional · SCCs 2021/914): — Anthropic PBC (EUA) · processamento NLP geral. — Groq Inc. (EUA) · processamento NLP rápido. — OpenAI (EUA) · uso ocasional segundo configuração do Responsável. Analytics e observabilidade: — PostHog Inc. (EU Cloud) · analytics de produto agregado anonimizado. — GlitchTip (self-hosted na nossa infraestrutura UE) · error tracking técnico. Comunicação e email: — Infraestrutura self-hosted Stalwart (UE · sem sub-encarregado externo de email). Pagamentos: — Stripe Payments Europe Ltd. (Irlanda · UE) · processamento de pagamentos (dados de faturamento B2B do Responsável · sem dados de interessados). CMS conteúdo público: — Sanity.io (Noruega · EEE) · sem dados pessoais do Responsável. O Responsável pode objetar motivadamente qualquer sub-encarregado em prazo de 30 dias corridos desde a notificação. Se não fosse possível manter o serviço afetado sem esse sub-encarregado, as partes acordarão solução razoável (alternativa técnica, exclusão do serviço afetado, ou resolução parcial sem penalidade).

Política de Privacidade →·Termos e Condições →·Aviso Legal

RAXARDel Caos al Éxito

Cargando ecosistema

Legal · B2B

Acordo de Tratamento de Dados

Data Processing Agreement (DPA) · Última atualização: junho 2026

Versão inicial de trabalho · revisão legal formal programada antes do lançamento comercial. Este documento não substitui a firma do contrato principal de serviços.

⚠️ Esta é uma tradução de referência. A versão em espanhol é legalmente vinculativa. Ver versão em espanhol →