Preâmbulo
Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Uso do TriboCRM e estabelece os termos e condições sob os quais a Única Soluções Financeiras e Educacionais Eireli ("Operadora" ou "TriboCRM") trata dados pessoais em nome do Cliente ("Controladora"), em conformidade com a LGPD (Lei 13.709/2018).
Este DPA entra em vigor automaticamente quando o Cliente aceita os Termos de Uso e permanece vigente durante toda a relação contratual.
1. Definições
Controladora: o Cliente do TriboCRM que determina as finalidades e os meios do tratamento dos dados pessoais de seus leads, contatos e clientes.
Operadora: a Única Soluções Financeiras e Educacionais Eireli, que trata dados pessoais em nome e sob as instruções da Controladora.
Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável inserida na plataforma TriboCRM.
Tratamento: coleta, armazenamento, consulta, uso, transmissão, modificação e exclusão de dados pessoais.
Incidente de Segurança: acesso não autorizado, destruição, perda, alteração ou divulgação indevida de dados pessoais.
ANPD: Autoridade Nacional de Proteção de Dados.
Suboperador: terceiro contratado pela Operadora para tratar dados pessoais em nome da Controladora, conforme Anexo II.
2. Objeto e Escopo do Tratamento
2.1 Objeto
A Operadora trata dados pessoais exclusivamente para viabilizar a prestação dos serviços de CRM contratados, conforme detalhado no Anexo I.
2.2 Natureza do tratamento
Armazenamento, consulta, uso para funcionalidades do sistema (automações, relatórios, notificações), transmissão para suboperadores autorizados e exclusão ao final da relação contratual.
2.3 Finalidade
Exclusivamente a prestação dos serviços de CRM. A Operadora não usa os dados da Controladora para fins próprios, publicitários ou de desenvolvimento de produtos, exceto de forma completamente anonimizada e agregada.
2.4 Duração
Durante toda a vigência do contrato + prazos de retenção pós-encerramento conforme seção 9.
2.5 Tipos de dados pessoais tratados
Conforme inseridos pela Controladora: nome, e-mail, telefone, WhatsApp, CPF, CNPJ, endereço, histórico de negociações e interações de leads e clientes da Controladora.
2.6 Categorias de titulares
Leads, prospects e clientes da Controladora; colaboradores da Controladora que usam a plataforma.
3. Obrigações da Operadora (TriboCRM)
3.1 Tratar dados pessoais apenas conforme instruções documentadas da Controladora (configurações da plataforma e este DPA).
3.2 Garantir que toda a equipe autorizada a tratar os dados esteja sujeita a obrigações de confidencialidade.
3.3 Implementar e manter as medidas de segurança descritas na seção 6.
3.4 Não tratar os dados para finalidades além das necessárias à prestação do serviço.
3.5 Notificar a Controladora sobre incidentes de segurança que afetem seus dados, conforme seção 7.
3.6 Apoiar a Controladora no atendimento às solicitações de direitos dos titulares, conforme seção 8.
3.7 Disponibilizar informações necessárias para demonstrar o cumprimento das obrigações deste DPA, conforme seção 10.
3.8 Ao final da relação contratual, excluir ou devolver os dados, conforme seção 9.
3.9 Usar suboperadores apenas conforme autorizado pela seção 5.
4. Obrigações da Controladora (Cliente)
4.1 Garantir base legal adequada para tratar os dados pessoais de seus leads que insere na plataforma, em conformidade com a LGPD.
4.2 Garantir que os titulares foram adequadamente informados sobre o tratamento de seus dados e o uso de um provedor de CRM.
4.3 Inserir na plataforma apenas dados precisos, necessários e proporcionais às finalidades.
4.4 Ser a principal responsável pelo atendimento às solicitações de direitos dos titulares dos dados que inseriu na plataforma.
4.5 Notificar a Operadora prontamente em caso de identificar uso indevido ou suspeita de incidente de segurança.
4.6 Garantir que os Usuários da plataforma compreendam suas responsabilidades no tratamento de dados pessoais.
5. Suboperadores
5.1 Autorização geral
A Controladora autoriza expressamente, mediante aceitação dos Termos de Uso e deste DPA, o uso dos suboperadores listados no Anexo II.
5.2 Notificação de novos suboperadores
Antes de contratar novos suboperadores com acesso a dados pessoais da Controladora, a Operadora notificará a Controladora com 30 dias de antecedência. A Controladora pode se opor com justificativa razoável.
5.3 Responsabilidade
A Operadora mantém contratos com todos os suboperadores com obrigações equivalentes às deste DPA e permanece responsável pelo cumprimento dessas obrigações.
6. Medidas de Segurança
Medidas técnicas
| Medida | Descrição |
|---|---|
| Criptografia em trânsito | TLS 1.3 em todas as conexões |
| Criptografia em repouso | AES-256 para tokens OAuth2 e dados sensíveis |
| Hash de senhas | bcrypt com salt único por usuário |
| Isolamento de dados | Row Level Security — impossível cruzar dados entre tenants |
| Controle de acesso | JWT com expiração + 2FA para Super Admin |
| Proteção contra ataques | Rate limiting, Helmet.js, sanitização de inputs |
| Monitoramento | Sentry para erros em produção, logs de acesso |
| Backups | Diários automáticos + export semanal criptografado |
Medidas organizacionais
| Medida | Descrição |
|---|---|
| Acesso restrito | Princípio do menor privilégio para equipe interna |
| Logs de auditoria | Registro de todas as ações sensíveis |
| Treinamento | Equipe treinada em segurança e LGPD |
| Revisão periódica | Anual ou após qualquer incidente significativo |
| Gestão de incidentes | Plano de resposta documentado |
7. Incidentes de Segurança
7.1 Detecção e contenção
Ao identificar incidente que afete dados pessoais, a Operadora tomará medidas imediatas de contenção e investigação.
7.2 Notificação à Controladora
A Operadora notificará a Controladora em até 72 horas após a confirmação do incidente, por e-mail para o contato cadastrado, informando:
- Natureza do incidente
- Categorias e volume aproximado de dados afetados
- Possíveis consequências
- Medidas tomadas ou propostas para remediar
7.3 Notificação à ANPD
A Operadora apoiará a Controladora na notificação à ANPD, quando exigida pela LGPD.
7.4 Investigação e remediação
Após o incidente, a Operadora conduzirá investigação completa e implementará melhorias para prevenir recorrências.
8. Direitos dos Titulares
8.1 Responsabilidade primária
A Controladora é a responsável primária pelo atendimento às solicitações de direitos dos titulares dos dados que inseriu na plataforma.
8.2 Apoio da Operadora
Quando a Controladora precisar de acesso a dados para atender direitos de titulares, a Operadora fornecerá esse acesso em até 10 dias úteis mediante solicitação por e-mail para privacidade@tribocrm.com.br.
8.3 Solicitações diretas
Se um titular entrar em contato diretamente com a Operadora exercendo direitos sobre dados inseridos por um Cliente, a Operadora redirecionará a solicitação ao Cliente responsável (Controladora).
9. Exclusão e Devolução de Dados
9.1 Ao encerrar o contrato
A Controladora pode solicitar a exportação de todos os dados em formato Excel/CSV antes do encerramento (disponível em Configurações → Exportar Dados).
9.2 Após o encerramento
| Prazo | Ação |
|---|---|
| D+0 ao D+90 | Dados preservados — período de retenção pós-encerramento |
| D+90 | Dados de leads e usuários excluídos permanentemente |
| 5 anos | Dados financeiros e fiscais retidos por obrigação legal |
| 6 meses | Logs de segurança e acesso excluídos |
9.3 Exclusão antecipada
A Controladora pode solicitar exclusão antecipada por e-mail para privacidade@tribocrm.com.br. A Operadora confirmará a exclusão em até 15 dias úteis, exceto os dados com retenção obrigatória por lei.
10. Auditorias e Comprovações
10.1 Informações
A Operadora disponibilizará informações razoáveis para demonstrar o cumprimento deste DPA, mediante solicitação com antecedência mínima de 30 dias.
10.2 Auditorias
A Controladora poderá, com aviso prévio de 30 dias e no máximo 1 vez por ano, realizar ou contratar auditoria razoável das práticas de tratamento de dados da Operadora, às expensas da Controladora. A auditoria não pode perturbar as operações normais da Operadora.
10.3 Certificações
A Operadora pode satisfazer solicitações de auditoria fornecendo relatórios de auditoria de terceiros (ex: certificações ISO ou SOC2, quando disponíveis).
11. Transferência Internacional de Dados
11.1 Suboperadores nos EUA
Alguns suboperadores listados no Anexo II estão localizados nos EUA (Supabase, Vercel, Railway, Resend, Sentry).
11.2 Garantias
As transferências são realizadas com base em:
- Cláusulas contratuais padrão aprovadas pela ANPD ou equivalentes internacionais
- Certificações e/ou programas de conformidade dos suboperadores
11.3 Dados sensíveis
O TriboCRM não é desenvolvido para armazenar dados sensíveis (conforme art. 5º, II da LGPD). A Controladora é responsável por não inserir dados sensíveis sem base legal adequada.
12. Responsabilidade
12.1 Operadora
Responde por danos decorrentes do descumprimento de suas obrigações específicas previstas neste DPA ou da LGPD, nos limites dos Termos de Uso.
12.2 Controladora
Responde por danos decorrentes do tratamento que realizar, incluindo inserção de dados sem base legal, não atendimento a direitos dos titulares ou uso da plataforma em desconformidade com a legislação.
12.3 Responsabilidade solidária
Quando ambas as partes tiverem contribuído para o dano, respondem solidariamente conforme o art. 42 da LGPD.
13. Vigência e Rescisão
Este DPA entra em vigor na data de aceitação dos Termos de Uso e permanece vigente enquanto durar o contrato de prestação de serviços. É rescindido automaticamente com o encerramento do contrato, permanecendo vigentes as obrigações de confidencialidade e de exclusão de dados.
14. Disposições Gerais
Lei aplicável: LGPD (Lei 13.709/2018) e demais normas aplicáveis da legislação brasileira.
Prevalência: Em caso de conflito entre este DPA e os Termos de Uso no que se refere ao tratamento de dados pessoais, prevalece este DPA.
Alterações: este DPA pode ser alterado pela Operadora mediante notificação com 30 dias de antecedência. O uso continuado da plataforma após o prazo constitui aceitação.
Contato DPO: privacidade@tribocrm.com.br
15. Anexo I — Descrição das Atividades de Tratamento
| Elemento | Descrição |
|---|---|
| Finalidade | Prestação de serviços de CRM: armazenamento, organização e gestão de leads, histórico de interações, automações, relatórios e demais funcionalidades do TriboCRM |
| Natureza | Armazenamento, consulta, uso para funcionalidades, transmissão a suboperadores, exclusão |
| Categorias de dados | Nome, e-mail, telefone, WhatsApp, CPF, CNPJ, endereço, histórico de negociações e interações |
| Categorias especiais | Não tratados intencionalmente — a Controladora é responsável por não inserir dados sensíveis sem base legal |
| Categorias de titulares | Leads, prospects e clientes da Controladora; colaboradores da Controladora como Usuários da plataforma |
| Duração | Vigência do contrato + prazos da seção 9 |
| Local | Brasil (Supabase São Paulo) e EUA (demais suboperadores — ver Anexo II) |
16. Anexo II — Lista de Suboperadores
| Suboperador | Finalidade | País | Site |
|---|---|---|---|
| Supabase, Inc. | Banco de dados PostgreSQL e armazenamento | Brasil / EUA | supabase.com |
| Vercel, Inc. | Hospedagem do frontend (React) | EUA | vercel.com |
| Railway, Inc. | Hospedagem do backend (Node.js) | EUA | railway.app |
| Banco Efi (Efí Bank) | Processamento de pagamentos (PIX, boleto, cartão) | Brasil | sejaefi.com.br |
| Google LLC | Integrações Gmail e Google Calendar (OAuth2) | EUA | google.com |
| Resend, Inc. | Envio de e-mails transacionais do sistema | EUA | resend.com |
| Sentry, Inc. | Monitoramento de erros em produção (dados técnicos anonimizados) | EUA | sentry.io |
Esta lista pode ser atualizada pela Operadora com notificação prévia de 30 dias à Controladora, conforme seção 5.2.
Última atualização: Abril de 2026