Acordo de Tratamento de Dados
Resumo dos termos de tratamento entre você (Controlador) e o aferiq (Operador) sob a LGPD. O documento contratual completo, pronto pra revisão jurídica e assinatura, está disponível sob solicitação.
Operado por [RAZÃO SOCIAL] (CNPJ [CNPJ]). Última atualização: maio de 2026.
Papéis das partes
Você (cliente) é o Controlador dos dados pessoais tratados via Serviço. O aferiq atua como Operador, processando dados pessoais exclusivamente conforme suas instruções documentadas e o necessário pra prestar o Serviço. Quando subprocessadores são usados, o aferiq permanece responsável perante você pelo cumprimento.
Objeto e duração
O tratamento cobre os dados pessoais que você envia em traces (queries, contextos, respostas) e os dados de cadastro/auth necessários pra operar a conta. Dura enquanto a relação contratual estiver ativa, mais o período de retenção aplicável após o encerramento.
Natureza e finalidade
Processamento automatizado pra avaliação de qualidade de saídas de IA (detecção de alucinação, fidelidade, citação, trajetória), armazenamento de traces, geração de relatórios e alertas. Sem decisão automatizada com efeito jurídico sobre titulares.
Subprocessadores
Lista mantida e versionada na página de conformidade LGPD, com aviso prévio de 30 dias antes de adicionar novos subprocessadores. Fluxos cross-border (ex.: ClickHouse us-east-1, OpenAI) operam sob Cláusulas Contratuais Padrão (SCC) equivalentes, conforme LGPD Art. 33.
Medidas de segurança
Criptografia em trânsito (TLS) e em repouso (chaves de API com AES-256-GCM). Redação de PII (CPF/CNPJ/RG/CEP/email/telefone) ativa por padrão na SDK antes da transmissão. Controle de acesso por workspace. Auth na região de São Paulo (Supabase sa-east-1).
Direitos do titular
Apoiamos o Controlador no atendimento a solicitações LGPD Art. 18 (acesso, correção, eliminação, portabilidade) em até 15 dias úteis. Exclusão de trace específico ou workspace inteiro mediante solicitação ao DPO.
Incidentes de segurança
Notificação ao Controlador sem demora indevida após a constatação de incidente que envolva dados pessoais sob tratamento, com as informações necessárias pra que o Controlador cumpra suas obrigações de comunicação à ANPD e aos titulares.
Devolução e eliminação
Ao fim da relação, os dados pessoais são eliminados conforme a tabela de retenção, salvo obrigação legal de guarda. Exportação dos dados disponível antes da eliminação mediante solicitação.
Solicitar o DPA assinável
Times que precisam de DPA formal (com SCCs anexas) pra aprovar o aferiq com jurídico podem solicitar o documento completo pelo DPO. Respondemos em até 5 dias úteis.