Este DPA é incorporado por referência e integra o Contrato (Order Form + Termos Gerais). O aceite dos Termos Gerais constitui aceite deste DPA, sem assinatura em separado. Em matéria de tratamento de dados pessoais, este DPA prevalece sobre os Termos Gerais. Fornecedor: VISIO SERVIÇOS DE TECNOLOGIA LTDA., CNPJ 46.173.861/0001-72 (“Visio”).
1. Definições
1.1 “Legislação de Proteção de Dados Aplicável” significa a LGPD (Lei 13.709/2018) e, quando aplicável, o GDPR e outras leis de proteção de dados que incidam sobre o tratamento.
1.2 “Controlador”, “Operador”, “Dados Pessoais”, “Tratamento”, “Titular” e “Incidente de Segurança com Dados Pessoais” têm os significados atribuídos pela LGPD (e pelo GDPR quando aplicável).
1.3 “Dados Pessoais do Cliente” significa os Dados Pessoais contidos nos Dados do Cliente que a Visio trata em nome do Cliente. “Suboperador” significa um terceiro contratado pela Visio para tratar Dados Pessoais do Cliente.
2. Papéis e Instruções
2.1 O Cliente é o Controlador e a Visio é o Operador. A Visio trata os Dados Pessoais do Cliente apenas conforme as instruções documentadas do Cliente, que consistem nos Termos Gerais, no Order Form, neste DPA e na configuração que o Cliente define no Serviço.
2.2 A Visio trata os Dados Pessoais do Cliente apenas para prestar e dar suporte aos Serviços e conforme descrito no Anexo I (natureza e finalidade, tipos de dados, categorias de Titulares, duração).
2.3 A Visio informa o Cliente caso, em sua opinião, uma instrução infrinja a Legislação de Proteção de Dados Aplicável.
3. Obrigações da Visio
3.1 Confidencialidade. A Visio assegura que o pessoal autorizado a tratar Dados Pessoais do Cliente esteja vinculado a obrigações de confidencialidade.
3.2 Segurança. A Visio mantém as medidas técnicas e organizacionais do Anexo II.
3.3 Assistência. Considerando a natureza do tratamento, a Visio assiste o Cliente, por medidas apropriadas, em: responder a requisições de Titulares; segurança, notificação de incidentes e relatórios de impacto à proteção de dados; e questionamentos da ANPD ou de outra autoridade.
4. Suboperadores
4.1 O Cliente concede autorização geral para que a Visio contrate os Suboperadores listados no Anexo I.
4.2 A Visio notifica o Cliente sobre qualquer pretendida inclusão ou substituição de Suboperador e permite que o Cliente objete por motivos razoáveis de proteção de dados no prazo de trinta (30) dias.
4.3 A Visio impõe a cada Suboperador obrigações de proteção de dados comparáveis às deste DPA e permanece responsável pelos atos e omissões do Suboperador.
5. Incidente de Segurança com Dados Pessoais
5.1 A Visio notifica o Cliente sobre um Incidente de Segurança com Dados Pessoais que afete os Dados Pessoais do Cliente sem demora indevida após tomar conhecimento dele. O prazo de notificação alinha-se às expectativas da LGPD/ANPD e do Artigo 33 do GDPR (meta: dentro de setenta e duas (72) horas à autoridade, quando o Cliente for o Controlador responsável pelo reporte).
5.2 Níveis internos de cliente: a Visio utiliza uma triagem interna (alerta inicial em até duas (2) horas da confirmação, avaliação qualificada em até oito (8) horas) antes da notificação ao Cliente prevista em 5.1.
5.3 A notificação descreve, na medida do conhecido, a natureza do incidente, as categorias e o número aproximado de Titulares e de registros, as consequências prováveis e as medidas tomadas ou propostas.
6. Transferência Internacional
6.1 Quando Dados Pessoais do Cliente forem transferidos para fora do Brasil (por exemplo, aos Suboperadores do Anexo I), a Visio apoia-se em mecanismo de transferência permitido pela Legislação de Proteção de Dados Aplicável e aplica salvaguardas apropriadas.
7. Dados de Categoria Especial (LGPD Art. 11)
7.1 Algumas Ferramentas podem tratar Dados Pessoais sensíveis (por exemplo, dados de saúde como códigos CID-10, identificadores nacionais, voz ou geolocalização). O Cliente é responsável por ter base legal para tais dados. As Ferramentas que tratam dados sensíveis são contratadas apenas sob as salvaguardas adicionais deste DPA, e o limite ampliado de responsabilidade dos Termos Gerais 9.4 aplica-se a violações que afetem esses dados.
8. Direitos dos Titulares
8.1 A Visio fornece ao Cliente os meios, dentro do Serviço ou mediante solicitação, para acessar, corrigir, excluir, portar ou restringir Dados Pessoais do Cliente, de modo que o Cliente possa atender às requisições dos Titulares.
9. Devolução e Exclusão
9.1 Com a rescisão, a Visio exclui ou devolve os Dados Pessoais do Cliente conforme os Termos Gerais 11.6, exceto quando a retenção for exigida por lei.
9.2 A exclusão não se estende a dados agregados ou desidentificados, nem a parâmetros de modelo de IA/ML já derivados de dados agregados ou desidentificados, conforme os Termos Gerais 14.3.
10. Auditorias
10.1 A Visio disponibiliza as informações razoavelmente necessárias para demonstrar conformidade com este DPA e, mediante aviso prévio razoável e sujeito a confidencialidade, permite auditorias limitadas em escopo, frequência e duração ao que for proporcional.
11. Adendo de Franquia / Múltiplos Controladores
11.1 Em um arranjo de franquia ou de grupo contratado por meio de um único CNPJ matriz (Termos Gerais), cada entidade-loja é a Controladora de seus próprios dados de loja, e a entidade matriz contratante financia e administra os Serviços.
11.2 Paridade de dados: cada loja acessa seus próprios dados. Os dados compartilhados com o franqueador ou com a entidade matriz limitam-se a métricas agregadas; vídeo bruto, dados pessoais e detalhes identificáveis por loja não são divulgados ao franqueador ou à entidade matriz, salvo se essa entidade for, ela própria, Controladora desses dados ou se a loja correspondente autorizar.
11.3 Limite de agregação: agregados entre lojas usam um tamanho mínimo de grupo (k-anonimato, k >= 5) de modo que uma loja ou pessoa individual não possa ser reidentificada.
11.4 Protocolo de requisição legítima: requisições de dados de outra entidade seguem um protocolo documentado e são atendidas apenas com base legal.
12. Disposições Gerais
12.1 Este DPA prevalece sobre os Termos Gerais em matéria de dados pessoais. É regido pelas leis do Brasil, com foro em São Carlos/SP. Subsiste enquanto a Visio tratar Dados Pessoais do Cliente.
Anexo I — Detalhes do Tratamento e Suboperadores
Natureza e finalidade: prestação das Ferramentas e Serviços contratados. Tipos de dados: conforme enviados pelo Cliente (por exemplo, registros financeiros e operacionais, documentos, dados de colaboradores e de lojas e, quando a Ferramenta exigir, dados sensíveis nos termos da Seção 7). Titulares: os colaboradores e representantes do Cliente e, quando aplicável, seus clientes. Duração: o prazo do Contrato.
| Suboperador | Finalidade | Usado por | Transferência |
|---|---|---|---|
| Pluggy | Open Finance / conexão de dados bancários | Visio DRE | pode transferir internacionalmente |
| OpenAI | Processamento de IA/LLM | Recursos de IA nas Ferramentas | internacional |
| Google Drive | armazenamento de documentos / NF-e | Visio Inventory | internacional |
| Google Calendar | agendamento / reservas | Visio R&S | internacional |
| iFood | integração de pedidos e vendas | Visio Command Center | Brasil |
| Provedor de speech-to-text | transcrição de voz | Visio Journal, Visio R&S | conforme aplicável |
Anexo II — Medidas de Segurança
A Visio mantém medidas técnicas e organizacionais de segurança apropriadas ao risco do tratamento. Este Anexo afirma apenas medidas que a Visio efetivamente mantém; não declara qualquer controle que a Visio ainda não possua.
Medidas que a Visio mantém:
- Controle de acesso e isolamento entre clientes (tenant isolation), incluindo segurança em nível de linha (RLS) para que cada loja acesse apenas seus próprios dados.
- Criptografia dos Dados do Cliente em trânsito e em repouso.
- Registro (logging) e monitoramento do acesso a Dados Pessoais do Cliente.
- Backups regulares dos Dados do Cliente.
- Controle de mudanças para alterações em produção.
A Visio segue formalizando e fortalecendo seu programa de segurança. Controles adicionais (por exemplo, testes de intrusão independentes, SLAs formais de remediação baseados em CVSS e recuperação point-in-time) estão em implementação e serão refletidos aqui somente quando estiverem em vigor.