venziavoltar

Documento em revisão jurídica

Esta é uma versão preliminar (DRAFT V1) antes da revisão pelo nosso advogado. O texto definitivo será publicado em breve. Em caso de dúvidas: juridico@venzia.com.br.

legal

Acordo de Processamento de Dados

Data Processing Agreement (DPA) entre Venzia e o Cliente.

Atualizado em 28 de abril de 2026

1. Definições

  • "Cliente" ou "Controlador": a empresa que contrata os serviços da Venzia.
  • "Venzia" ou "Operador": a empresa que opera a plataforma.
  • "Dados Pessoais": qualquer informação relacionada a pessoa natural identificada ou identificável processada pela Plataforma a serviço do Cliente.
  • "Subprocessadores": terceiros que processam Dados Pessoais a serviço da Venzia (ex: OpenAI, Anthropic, Vercel).
  • "LGPD": Lei nº 13.709/2018.

2. Escopo e finalidade

Este DPA se aplica ao tratamento de Dados Pessoais realizado pela Venzia a serviço do Cliente, no contexto da prestação dos serviços de análise de reuniões comerciais via inteligência artificial.

O Cliente é o Controlador dos Dados Pessoais e a Venzia atua como Operador, seguindo as instruções documentadas do Cliente — incluindo aquelas refletidas nas configurações da Plataforma.

3. Natureza dos dados tratados

Os Dados Pessoais tratados podem incluir:

  • De usuários da plataforma: nome, email, papel, log de acesso;
  • De contatos do CRM mencionados em reuniões: nome, cargo, empresa, opiniões expressas;
  • De participantes de reuniões: conteúdo verbal, eventualmente menções pessoais.

4. Finalidades do tratamento

  • Transcrição de áudio em texto;
  • Análise estruturada por IA (BANT, sentimento, próximos passos, etc);
  • Sincronização com CRM do Cliente (Ploomes, HubSpot, Pipedrive);
  • Armazenamento, backup e disponibilização para acesso pelos usuários autorizados;
  • Notificações e suporte ao Cliente.

A Venzia NÃO usa os Dados Pessoais para finalidades próprias além das listadas acima.

5. Obrigações da Venzia (Operador)

A Venzia se compromete a:

  • Tratar os Dados Pessoais apenas conforme as instruções do Cliente;
  • Garantir que pessoal autorizado a acessar os dados esteja sujeito a confidencialidade;
  • Implementar medidas técnicas e organizacionais apropriadas para proteger os dados (ver Anexo A);
  • Auxiliar o Cliente no atendimento de solicitações de titulares (Art. 18, LGPD);
  • Notificar o Cliente em até 24 horas sobre qualquer incidente de segurança que envolva os Dados Pessoais;
  • Excluir ou devolver os Dados Pessoais ao final do contrato, conforme escolha do Cliente;
  • Disponibilizar informações necessárias para o Cliente demonstrar conformidade com a LGPD;
  • Permitir auditorias razoáveis pelo Cliente, com aviso prévio de 30 dias.

6. Subprocessadores autorizados

O Cliente autoriza a Venzia a usar os seguintes Subprocessadores no tratamento dos Dados Pessoais:

  • OpenAI — transcrição (Whisper API). EUA. Política "no training" sobre dados via API.
  • Anthropic — análise por IA (Claude API). EUA. Política "no training" sobre dados via API.
  • Vercel — hospedagem da aplicação. Região GRU1 (São Paulo) quando disponível.
  • Neon — banco de dados Postgres. AWS São Paulo (sa-east-1).
  • Clerk — autenticação. EUA.
  • Resend — emails transacionais. EUA.
  • Sentry — monitoramento de erros. UE/EUA. Configurado para NÃO receber conteúdo de reuniões.

A Venzia notificará o Cliente com 30 dias de antecedência sobre adição ou substituição de Subprocessadores. O Cliente pode objetar — caso não chegue a um acordo, o Cliente pode rescindir o contrato sem multa.

7. Transferência internacional

Como alguns Subprocessadores operam fora do Brasil, pode haver transferência internacional de dados. A Venzia garante que essas transferências são feitas sob bases legais válidas — incluindo cláusulas contratuais padrão e DPAs específicos com cada Subprocessador.

8. Direitos dos titulares

A Venzia auxilia o Cliente no atendimento dos direitos de titulares previstos no Art. 18 da LGPD. Solicitações enviadas diretamente pra Venzia por titulares de dados serão encaminhadas ao Cliente quando o Cliente for o Controlador.

9. Segurança da informação

Ver Anexo A — Medidas Técnicas e Organizacionais.

10. Notificação de incidentes

Em caso de incidente de segurança que afete Dados Pessoais, a Venzia notificará o Cliente em até 24 horas após a detecção, fornecendo:

  • Descrição da natureza do incidente;
  • Categorias e número aproximado de titulares afetados;
  • Possíveis consequências;
  • Medidas tomadas ou propostas para mitigar.

11. Retenção e exclusão

Ao final do contrato, o Cliente pode escolher entre exportar os dados em formato estruturado (JSON/CSV) ou solicitar exclusão imediata. Independente da escolha, a Venzia exclui todos os dados (incluindo backups) em até 90 dias após o término, salvo retenção legal mínima.

12. Vigência

Este DPA tem vigência idêntica ao contrato principal de prestação de serviços e permanece em vigor enquanto a Venzia tratar Dados Pessoais a serviço do Cliente.

Anexo A — Medidas Técnicas e Organizacionais

Criptografia

  • Em trânsito: TLS 1.2+ obrigatório em todos os endpoints;
  • Em repouso: AES-256 nos dados do Postgres e backups.

Controle de acesso

  • Multi-tenant com isolamento estrito (workspaces não veem dados uns dos outros);
  • Autenticação via Clerk com MFA disponível;
  • Acesso a banco de produção restrito a engenheiros autorizados via VPN + chave;
  • Logs de auditoria de toda ação administrativa.

Backup e recuperação

  • Backups automáticos diários do Postgres;
  • Retenção de 30 dias;
  • Procedimento de restauração documentado e testado.

Logs e monitoramento

  • Sentry para erros de aplicação (sem dados de reunião);
  • Vercel Analytics para tráfego;
  • Tabela `reuniao_eventos` para auditoria de ações dos usuários.

Resposta a incidentes

  • Plano documentado com responsáveis claros;
  • Notificação ao Cliente em até 24h e à ANPD conforme exigido pela LGPD;
  • Análise pós-incidente para evitar recorrência.

Para solicitar a assinatura formal deste DPA com sua empresa, escreva para dpa@venzia.com.br.