Acordo de Tratamento de Dados.

Caify: marca operada por GMS Tech, CNPJ 60.079.474/0001-00, Curitiba/PR — adiante denominada Operadora nos termos do art. 5º, VII, da LGPD.

Contratante: pessoa jurídica ou natural cliente que aceitou os Termos de Uso e contratou a licença do software Caify — adiante denominado Controlador nos termos do art. 5º, VI, da LGPD, no que tange aos dados pessoais dos consumidores finais por ele coletados.

Este DPA tem por objeto regulamentar o tratamento de dados pessoais realizado pela Operadora, em nome e por instrução do Controlador, no contexto do uso do software Caify, incluindo: receber pedidos, processar pagamentos via PSP, armazenar histórico, gerar relatórios, emitir comunicações transacionais e demais atividades inerentes à operação da loja virtual.

A vigência deste DPA acompanha a vigência dos Termos de Uso e dos demais instrumentos contratuais entre as partes, encerrando-se automaticamente com a desativação da conta do Contratante, observados os prazos de retenção legalmente exigidos.

3.1 Categorias de titulares

• Consumidores finais (alunos e compradores das lojas);
• Pessoas indicadas pelo Controlador como administradoras adicionais;
• Eventuais embaixadores ou afiliados cadastrados pelo Controlador.

3.2 Categorias de dados tratados pela Operadora em nome do Controlador

• Identificação: nome civil, e-mail, telefone, CPF (quando exigido pela operação);
• Endereço: rua, número, complemento, bairro, cidade, UF, CEP — quando aplicável a entrega ou retirada;
• Histórico transacional: pedidos, valores, status, métodos de pagamento utilizados, datas;
• Preferências e configurações: tamanho, variantes escolhidas, opções de envio;
• Comunicações: e-mails transacionais enviados, abertura opcional de cupons.

3.3 Dados que a Caify NÃO trata como operadora

• Dados de cartão de crédito, CVV, senhas bancárias — esses dados são tratados exclusivamente pelo PSP regulamentado pelo BACEN (Mercado Pago), que atua como controlador independente desses dados;
• Dados pessoais sensíveis (art. 5º, II, da LGPD) — a Caify não trata, em nome do Controlador, dados sensíveis no fluxo padrão da loja.

A Operadora trata os dados pessoais exclusivamente conforme as instruções documentadas do Controlador, materializadas:

• Nos parâmetros e configurações que o Controlador define no painel administrativo (campos coletados, finalidades, integrações ativas);
• Neste DPA e nos Termos de Uso;
• Em eventuais instruções específicas comunicadas por escrito à Operadora pelo Controlador.

A Operadora informará imediatamente o Controlador caso entenda que uma instrução viola a LGPD ou outras normas aplicáveis.

A Operadora compromete-se a:

• Tratar os dados pessoais exclusivamente para as finalidades indicadas pelo Controlador e por este DPA;
• Adotar medidas técnicas e administrativas adequadas para proteger os dados contra acesso não autorizado, perda, alteração ou destruição (art. 46 da LGPD);
• Garantir confidencialidade dos colaboradores e prestadores que tenham acesso aos dados;
• Assistir o Controlador no atendimento a solicitações de titulares de direitos previstos no art. 18 da LGPD, dentro dos prazos legais;
• Notificar o Controlador, em até 48 horas da confirmação do incidente, sobre eventual evento de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 da LGPD);
• Manter registros das operações de tratamento realizadas (art. 37 da LGPD);
• Cooperar com a ANPD em ações de fiscalização e prestação de informações;
• Eliminar ou devolver os dados ao Controlador ao término do tratamento, observados os prazos legais de retenção.

O Controlador compromete-se a:

• Definir bases legais válidas (art. 7º ou 11 da LGPD) para o tratamento dos dados que solicita à Operadora;
• Obter consentimento dos titulares quando esta for a base legal aplicável, inclusive em relação a dados de crianças e adolescentes (art. 14 da LGPD);
• Publicar sua própria Política de Privacidade aos consumidores finais, explicando as finalidades, bases legais e direitos dos titulares — a Caify oferece um modelo padrão no painel administrativo como ponto de partida, que o Controlador é livre para adaptar;
• Responder, em primeira instância, aos titulares quanto a pedidos de exercício de direitos do art. 18 da LGPD, contando com o suporte técnico da Operadora;
• Indicar Encarregado pelo Tratamento de Dados (DPO) próprio quando seu volume de tratamento ou natureza da operação tornarem essa indicação necessária;
• Garantir que os administradores adicionais por ele indicados conhecem e respeitam suas obrigações sob a LGPD.

O Controlador autoriza expressamente a Operadora a contratar os seguintes suboperadores para a prestação do serviço:

A Operadora garante que cada suboperador esteja contratualmente obrigado a adotar nível de proteção equivalente ao deste DPA. Mudanças relevantes na lista de suboperadores são comunicadas ao Controlador com 30 dias de antecedência, podendo este se opor por escrito dentro deste prazo.

As transferências internacionais de dados realizadas pela Operadora seguem as hipóteses do art. 33 da LGPD, em particular:

• Transferências para países com grau adequado de proteção (a partir de decisão da ANPD ou regulamento próprio);
• Cláusulas contratuais específicas (Standard Contractual Clauses) com suboperadores localizados em jurisdição sem decisão de adequação;
• Garantias adicionais (criptografia, controle de acesso, registro de tratamento) sempre que aplicáveis.

A Operadora adota, sem prejuízo de evolução conforme estado da arte e risco do tratamento:

• Criptografia em trânsito (TLS 1.2+) em todas as conexões;
• Criptografia em repouso para dados sensíveis e backups;
• Controle de acesso por função (princípio do menor privilégio) e separação de ambientes (dev, staging, produção);
• Autenticação sem senha para clientes finais e autenticação multifator (MFA/TOTP) opcional para administradores;
• Trilha de auditoria imutável de todas as ações administrativas;
• Backups periódicos com criptografia e teste de restauração;
• Política de gestão de vulnerabilidades e patches;
• Treinamento periódico da equipe em proteção de dados.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 da LGPD), a Operadora compromete-se a:

• Notificar o Controlador em até 48 horas da confirmação do incidente, com descrição da natureza, dados afetados, número estimado de titulares e medidas adotadas;
• Cooperar com o Controlador no atendimento aos titulares e na comunicação à ANPD, quando aplicável;
• Manter registro detalhado do incidente para fins de auditoria e prestação de contas.

O Controlador poderá, mediante aviso prévio razoável e em horário comercial, solicitar à Operadora informações que demonstrem o cumprimento das obrigações deste DPA, incluindo:

• Relatório de avaliação de impacto (RIPD) quando aplicável (art. 38);
• Certificações de segurança da informação (quando obtidas);
• Relatórios de auditoria de terceiros (SOC 2, ISO 27001) quando disponíveis;
• Comprovação das medidas de segurança adotadas.

Ao término do contrato (rescisão, desativação da conta ou cancelamento), a Operadora, conforme preferência do Controlador comunicada por escrito:

• Devolverá ao Controlador, em formato estruturado e de uso comum (CSV ou JSON), todos os dados pessoais sob sua guarda; e/ou
• Eliminará de forma irreversível os dados pessoais e suas cópias, exceto aqueles cuja retenção seja exigida por obrigação legal ou regulatória (registros fiscais por 5 anos, logs de acesso por 6 meses).

A confirmação por escrito da devolução ou eliminação será fornecida ao Controlador em até 30 dias do término.

A responsabilidade entre as partes pelo descumprimento das obrigações previstas na LGPD observará o disposto no art. 42 da LGPD, respondendo a Operadora solidariamente com o Controlador quando descumprir obrigações da LGPD ou quando agir em desacordo com instruções lícitas do Controlador.

Encarregado pelo Tratamento de Dados (DPO) — Caify:

• E-mail: privacidade@caify.shop
• Prazo de resposta: até 15 dias úteis

Para solicitações relacionadas a este DPA, comunicações de incidente ou coordenação operacional, utilize o canal acima.

Este DPA é aceito automaticamente pelo Controlador ao aceitar os Termos de Uso da Caify, ficando registrado em sistema (data, hora, IP, versão do documento). Alterações materiais serão comunicadas ao Controlador com pelo menos 30 dias de antecedência e exigirão aceite expresso quando a mudança ampliar significativamente o tratamento de dados.

Este DPA é regido pela Lei nº 13.709/2018 (LGPD) e pelas demais normas aplicáveis no Brasil. Fica eleito o foro da Comarca de Curitiba/PR para dirimir quaisquer controvérsias.