Conteúdo template inicial pré-revisão jurídica. Os termos finais devem ser revisados por advogado especializado em LGPD + SaaS antes de produção. Última revisão: 25 de maio de 2026.

Documento legal

Acordo de Tratamento de Dados (DPA)

Acordo entre o Contratante (Controlador) e a Lume (Operador) pra tratamento de dados pessoais conforme LGPD.

1. Definições

  • Controlador: o Contratante do Serviço Lume, pessoa jurídica que define os propósitos e meios de tratamento dos dados pessoais inseridos na Plataforma (especialmente dados de leads e clientes finais);
  • Operador: Lume, prestador do Serviço que realiza o tratamento dos dados pessoais em nome e por conta do Controlador;
  • Titular: pessoa natural a quem se referem os dados pessoais — tipicamente leads e clientes finais do Controlador;
  • Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I LGPD;
  • Sub-operador: terceiro contratado pela Lume pra executar parte do tratamento (Supabase, Vercel, etc.);
  • Incidente de Segurança: evento que possa acarretar risco ou dano relevante aos titulares (art. 48 LGPD).

2. Escopo do tratamento

A Lume tratará dados pessoais exclusivamente pra prestação do Serviço contratado, incluindo:

  • Recepção e envio de mensagens via WhatsApp Business API;
  • Armazenamento de conversas, leads, anexos (áudio, imagem, PDF);
  • Processamento por modelos de IA pra gerar respostas e classificações;
  • Disponibilização de painel de gestão (CRM, cockpit, analytics) aos usuários do Controlador;
  • Backups, logs operacionais e métricas necessárias pro funcionamento do Serviço.

Categorias de titulares: clientes, leads, prospects e funcionários do Controlador.

Categorias de dados: identificadores (telefone, nome, e-mail), conteúdo de comunicação (mensagens texto/áudio/imagem/documento), metadados de interação (timestamps, status de entrega), dados gerados pela IA (classificações, tags, score de funil).

Duração: enquanto vigente o contrato de prestação do Serviço, com obrigações remanescentes conforme cláusulas 10 e 11 abaixo.

3. Instruções do Controlador

A Lume tratará dados pessoais apenas conforme as instruções documentadas do Controlador. As configurações realizadas pelo Controlador na Plataforma (personas de IA, blocked terms, retenção, permissões de equipe, integrações ativadas) constituem instruções formais.

A Lume informará o Controlador caso entenda que uma instrução viola a LGPD ou outra norma aplicável.

4. Sub-operadores autorizados

O Controlador autoriza expressamente a contratação dos seguintes sub-operadores:

  • Supabase Inc. — banco de dados PostgreSQL + Auth + Storage;
  • Vercel Inc. — hospedagem da aplicação web;
  • Railway Corp. — hospedagem do serviço de IA;
  • Upstash / Railway — Redis (buffer e checkpointer);
  • Google LLC (Google Cloud / Vertex AI) — modelo de IA Gemini (provedor primário);
  • OpenAI, L.L.C. — classificador, transcrição (Whisper) e Vision;
  • Anthropic PBC — provedor de IA fallback;
  • Meta Platforms Inc. — canal WhatsApp Business Platform;
  • Stripe Inc. — processamento de pagamentos;
  • Langfuse GmbH — observabilidade (metadata operacional dos traces de IA).

Cada sub-operador tem contrato escrito que impõe obrigações de proteção de dados equivalentes às deste DPA.

Notificação de novos sub-operadores: a Lume notificará o Controlador por e-mail com no mínimo 30 dias de antecedência antes de contratar novo sub-operador relevante. Caso o Controlador se oponha em 15 dias, poderá rescindir o contrato sem multa.

5. Confidencialidade

A Lume garante que toda pessoa autorizada a tratar dados pessoais sob este DPA:

  • Está sujeita a obrigação contratual de confidencialidade;
  • Recebeu treinamento sobre proteção de dados e LGPD;
  • Acessa dados apenas no necessário pra desempenhar suas funções (princípio do menor privilégio);
  • Tem acessos auditados via audit_events.

6. Medidas de segurança

A Lume implementa medidas técnicas e organizacionais adequadas pra proteger os dados pessoais, conforme detalhado em /security, incluindo:

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256);
  • Isolamento multi-tenant via RLS no PostgreSQL;
  • Autenticação forte e controle de acesso baseado em roles;
  • Audit trail completo de ações sensíveis;
  • Backups regulares e testes de restauração;
  • Resposta a incidentes documentada e equipe de plantão.

7. Notificação de incidentes

A Lume notificará o Controlador, por e-mail ao owner da conta, em até 72 (setenta e duas) horas contadas da ciência de qualquer Incidente de Segurança que afete dados do Controlador, incluindo:

  • Descrição da natureza do incidente;
  • Categorias e número aproximado de titulares afetados;
  • Consequências prováveis;
  • Medidas de mitigação adotadas e propostas.

A Lume cooperará razoavelmente com o Controlador no cumprimento das obrigações de comunicação à ANPD e aos titulares, quando aplicável.

8. Direitos dos titulares

O Controlador é o responsável primário por atender aos direitos dos titulares (acesso, correção, eliminação, portabilidade). A Lume:

  • Disponibiliza, na Plataforma, funcionalidades pro Controlador exercer esses direitos diretamente (exportação, exclusão, edição);
  • Atenderá razoavelmente, em até 15 dias úteis, solicitações de assistência do Controlador;
  • Encaminhará ao Controlador eventuais solicitações recebidas diretamente de titulares, sem responder em nome dele.

9. Auditoria

O Controlador pode auditar o cumprimento deste DPA pela Lume 1 (uma) vez por ano civil, mediante aviso prévio de 30 dias e em horário comercial, sem prejuízo do funcionamento normal do Serviço. Auditorias adicionais podem ocorrer em caso de incidente confirmado ou exigência regulatória.

Alternativamente, a Lume pode fornecer relatórios de auditoria de terceiros (SOC 2, ISO 27001) quando disponíveis em substituição à auditoria presencial.

10. Retenção, devolução e exclusão

Ao término do contrato, a Lume:

  • Disponibiliza, por 30 dias, funcionalidade de exportação completa dos dados em formato estruturado (JSON/CSV);
  • Após esse período, exclui ou anonimiza os dados em até 60 dias, ressalvada retenção legal obrigatória (audit, fiscal — até 5 anos);
  • Mediante solicitação do Controlador, fornece certificado de eliminação.

11. Responsabilidade

Cada parte responde por danos causados em razão de descumprimento das suas obrigações sob a LGPD e este DPA, nos limites do art. 42 e seguintes da LGPD e da cláusula de limitação de responsabilidade prevista nos Termos de Uso.

12. Transferência internacional

O Controlador autoriza transferência internacional aos sub-operadores listados na cláusula 4 que processam dados fora do Brasil. Tais transferências baseiam-se em garantias contratuais adequadas (cláusulas contratuais padrão) e na própria autorização do Controlador, conforme art. 33 LGPD.

13. Vigência e disposições gerais

Este DPA vigora pelo prazo do contrato principal de prestação do Serviço, com obrigações remanescentes de confidencialidade, segurança, exclusão e cooperação em incidentes sobrevivendo conforme aplicável.

Conflitos entre este DPA e os Termos de Uso resolvem-se a favor deste DPA quando relativos a tratamento de dados pessoais.

14. Contato

Questões sobre este DPA: dpo@lumesell.com.

Última atualização: 25 de maio de 2026
← Voltar pra Lumelegal@lumesell.com