Adendo de processamento de dados (DPA)

1. Objeto e natureza do tratamento

1.1. Papéis. O Usuário atua como Controlador dos dados pessoais de seus clientes finais, e a ROUZ LTDA (Nozhub) atua como Operadora, processando dados em nome e sob as instruções do Controlador.

1.2. Escopo. O tratamento compreende a coleta, processamento de IA, armazenamento e organização de dados dos clientes finais do Controlador através das funcionalidades da plataforma (widget, chat link, Instagram, etc.), incluindo o registro de consentimento do visitante (metadados de aceite: data, hora, IP e User-Agent) e o conteúdo das interações.

2. Obrigações da Nozhub (Operadora)

2.1. Tratamento restrito. Tratar os dados pessoais apenas para fornecer os serviços contratados, conforme as instruções do Controlador e estes Termos.

2.2. Confidencialidade. Garantir que todos os colaboradores autorizados a processar os dados estejam sujeitos a compromissos de confidencialidade.

2.3. Segurança. Implementar as medidas técnicas descritas na Política de Privacidade (Criptografia AES-256, SSL/TLS, Isolamento Lógico e RLS).

2.4. Sub-processadores. O Controlador autoriza a Nozhub a utilizar sub-processadores (OpenAI, Anthropic, Google, Supabase, Vercel) para a execução do serviço, mantendo os níveis de proteção exigidos pela LGPD.

2.5. Vedação de treinamento global. A Operadora (Nozhub) compromete-se a não utilizar, e a garantir que seus sub-processadores de IA não utilizem, os Dados Pessoais do Controlador para treinar, melhorar ou desenvolver modelos de inteligência artificial de uso geral ou de terceiros, restringindo o uso estritamente ao escopo deste contrato. O conhecimento é restrito à instância de IA do próprio Controlador.

2.6. Registro de consentimento. A Operadora registra automaticamente metadados de consentimento (data/hora, endereço IP, User-Agent e identificador de sessão) quando o visitante aceita os termos exibidos no widget ou chat link. Estes registros são armazenados como prova de aceite em nome do Controlador e mantidos durante a vigência da conta.

3. Obrigações do Usuário (Controlador)

3.1. Licitude. Garantir que possui base legal (consentimento, legítimo interesse ou outra base prevista na LGPD) para coletar e processar os dados de seus clientes finais através da plataforma. O mecanismo de aceite fornecido automaticamente pela Nozhub no widget e chat link constitui ferramenta auxiliar para obtenção de consentimento; a adequação e suficiência da base legal é de responsabilidade exclusiva do Controlador.

3.2. Transparência. Informar aos seus clientes finais sobre o uso de inteligência artificial e a coleta de dados para fins de atendimento e triagem.

3.3. Direitos dos titulares. Atender às solicitações de acesso, correção ou exclusão de seus próprios clientes utilizando as ferramentas de gestão disponíveis na Nozhub.

4. Procedimento em caso de incidentes de segurança

4.1. Definição. Considera-se incidente de segurança qualquer acesso não autorizado, destruição, perda, alteração ou comunicação indevida de dados pessoais tratados na plataforma.

4.2. Fluxo de resposta. Em caso de confirmação de incidente, a Nozhub adotará:

• Contenção: medidas imediatas para isolar a vulnerabilidade.
• Notificação: comunicar o Controlador em até 48 (quarenta e oito) horas após a confirmação do incidente, informando a natureza dos dados afetados e as medidas de mitigação adotadas.
• Colaboração: auxiliar o Controlador no fornecimento de informações para eventual comunicação à Autoridade Nacional de Proteção de Dados (ANPD).

5. Exclusão e retenção

5.1. Término do tratamento. Após o cancelamento da conta e o período de quarentena de 30 dias (destinado à recuperação de dados pelo cliente), a Nozhub excluirá permanentemente todos os dados de treinamento e registros de interações, salvo se houver obrigação legal de retenção.