Acordo de Tratamento de Dados (DPA)

1. Definições e papéis das partes

Os termos dado pessoal, titular, controlador, operador, suboperador, tratamento e incidente têm o significado da LGPD. Conforme a natureza do dado, a Volion Flux atua como:

• Operadora — quanto aos dados pessoais que o Contratante carrega ou consulta sobre as suas operações de comércio exterior, tratados em nome e conforme as instruções documentadas do Contratante, que é o Controlador desses dados.
• Controladora — quanto aos dados de cadastro, cobrança e uso da conta, cujas bases legais constam da Política de Privacidade.

2. Descrição do tratamento

• Categorias de titulares: usuários do Contratante e, quando aplicável, terceiros cujos dados constem das operações de comércio exterior carregadas pelo Contratante.
• Categorias de dados: dados cadastrais e de contato; dados de operações de comércio exterior (NCM, valores, parceiros comerciais, dados de DU-E/DUIMP/Siscomex) na medida em que contenham dados pessoais.
• Finalidade: viabilizar as funcionalidades de inteligência comercial, simulações e relatórios contratados.
• Duração: pelo prazo do Contrato, observada a Cláusula 8 deste DPA.

3. Instruções documentadas

A Volion Flux trata os dados pessoais somente conforme as instruções lícitas e documentadas do Controlador — representadas pelo Contrato, pela Política de Privacidade, por este DPA e pelo uso das funcionalidades da Plataforma —, abstendo-se de utilizá-los para finalidade própria. Caso uma instrução pareça violar a LGPD, a Volion Flux informará o Controlador em até 3 (três) dias úteis da identificação, antes de executá-la (Art. 39 da LGPD).

4. Confidencialidade e equipe

As pessoas autorizadas a tratar os dados pessoais estão sujeitas a dever de confidencialidade, com acesso limitado ao necessário ao desempenho de suas funções.

5. Medidas de segurança

A Volion Flux adota medidas técnicas e administrativas aptas a proteger os dados pessoais (arts. 46 a 48 da LGPD): criptografia em trânsito (TLS 1.3 ou superior) e em repouso; controle de acesso e autenticação; segregação lógica por organização; registro de operações (logs); e rotinas de backup. O nível de segurança é mantido durante toda a vigência do Contrato.

6. Subprocessadores

O Contratante autoriza a Volion Flux a contratar os subprocessadores abaixo, todos sob acordos de tratamento de dados com obrigações equivalentes às deste DPA. A Volion Flux permanece responsável perante o Contratante pela atuação de seus subprocessadores.

Alterações na lista de subprocessadores são comunicadas com antecedência mínima de 30 (trinta) dias, facultado ao Contratante opor-se por motivo fundamentado de proteção de dados.

7. Comunicação de incidentes

Ao tomar conhecimento de incidente de segurança que afete dados pessoais tratados em nome do Contratante, a Volion Flux o comunicará sem demora injustificada e, em todo caso, em até 48 (quarenta e oito) horas, com as informações disponíveis, de modo a permitir que o Controlador cumpra o prazo de 3 (três) dias úteis de comunicação à ANPD e aos titulares (Resolução CD/ANPD nº 15/2024), cooperando na investigação e na mitigação.

8. Direitos do titular

A Volion Flux auxiliará o Controlador, por meios técnicos razoáveis, a atender às requisições dos titulares (arts. 18 e 20 da LGPD), repassando-lhe, sem demora, as requisições recebidas diretamente.

9. Eliminação ou devolução ao término

Encerrado o Contrato, a Volion Flux eliminará ou devolverá os dados pessoais tratados em nome do Controlador, à escolha deste, em formato legível por máquina, salvo guarda obrigatória por lei (por exemplo, registros financeiros e fiscais por 5 anos).

10. Responsabilidade

Cada parte responde por suas próprias violações à LGPD. A Volion Flux reconhece a possibilidade de responsabilidade solidária (Art. 42, §1º) quando descumprir as obrigações de operador ou deixar de seguir as instruções lícitas do Controlador. Os limites de responsabilidade do Contrato de Prestação de Serviços aplicam-se subsidiariamente.

11. Transferência internacional

Eventuais transferências internacionais de dados a subprocessadores no exterior observam as hipóteses do Art. 33 da LGPD, com salvaguardas adequadas. Para destinos sem decisão de adequação (por exemplo, Stripe e AWS SES nos Estados Unidos), o mecanismo aplicável são as cláusulas-padrão contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024); transferências para a União Europeia (por exemplo, PostHog) beneficiam-se da decisão de adequação da ANPD (Resolução CD/ANPD nº 32/2026). A Volion Flux mantém esforços para que esses mecanismos estejam refletidos nos instrumentos firmados com cada subprocessador.

12. Modo Consultor (plano sob medida, instância dedicada)

O Modo Consultor é um plano avulso, contratado mediante contato direto (sem autoatendimento), em que uma consultoria atende os seus próprios clientes finais. Nesse modelo, o sistema opera em instância dedicada na infraestrutura do contratante, que provê e é responsável pelos próprios bancos de dados e figura como controlador dos dados de seus clientes finais. À Volion Flux/Expertzy cabe fornecer o software e configurá-lo para operar corretamente no ambiente do contratante.

Como o tratamento ocorre na infraestrutura do contratante, a Volion Flux atua como fornecedora de software e serviços de configuração; na medida em que, para a configuração ou o suporte, acesse dados pessoais sob controle do contratante, atua como operadora, tratando-os apenas conforme as instruções documentadas do controlador. As condições específicas de cada contratação são consolidadas em adendo próprio. Previamente à ativação, a Volion Flux realizará Relatório de Impacto à Proteção de Dados Pessoais (RIPD), nos termos do Art. 38 da LGPD, submetido ao Encarregado (DPO) para revisão.

13. Vigência e alterações

Este DPA vigora enquanto durar o Contrato. Alterações são comunicadas com antecedência mínima de 30 (trinta) dias. O Encarregado pelo Tratamento de Dados (DPO) pode ser contatado em contato@expertzy.com.br (assunto "Encarregado/LGPD").

Pendência de conformidade: o nome do Encarregado (DPO) será publicado conforme o Art. 41, §1º da LGPD e a Resolução CD/ANPD nº 18/2024. Até lá, o canal de contato acima permanece ativo.