Este Anexo III de Proteção de Dados (Data Processing Agreement — DPA) disciplina o tratamento de dados pessoais realizado pela Inteliax em nome do Cliente durante a execução do Contrato de Licenciamento da Solução Inteliax, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).

1. DEFINIÇÕES

Para os fins deste Anexo, aplicam-se as seguintes definições, em sintonia com a LGPD:

(a) "Dados Pessoais": informação relacionada a pessoa natural identificada ou identificável inserida na Solução Inteliax;

(b) "Dados Pessoais Sensíveis": dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde, vida sexual, genéticos ou biométricos, quando vinculados a pessoa natural;

(c) "Titular": pessoa natural a quem se referem os Dados Pessoais;

(d) "Tratamento": toda operação realizada com Dados Pessoais, incluindo coleta, acesso, classificação, armazenamento, processamento, transmissão, eliminação e extração;

(e) "Controlador": pessoa a quem competem as decisões sobre o tratamento de Dados Pessoais — em regra, o Cliente;

(f) "Operador": pessoa que realiza o tratamento em nome do Controlador — em regra, a Inteliax;

(g) "Incidente de Segurança": evento que acarrete violação de segurança, acesso não autorizado, destruição, perda, alteração ou divulgação indevida de Dados Pessoais;

(h) "Suboperadores": terceiros contratados pela Inteliax para prestação de serviços auxiliares que envolvam tratamento de Dados Pessoais.

2. PAPÉIS E RESPONSABILIDADES

O Cliente atua como Controlador dos Dados Pessoais de seus próprios clientes, usuários finais, leads e contatos comerciais inseridos na Solução Inteliax. A Inteliax atua como Operador, processando tais Dados Pessoais exclusivamente conforme instruções documentadas do Cliente e dentro dos limites deste Contrato.

Complementarmente, a Inteliax atua como Controladora em relação aos dados de cadastro do próprio Cliente (razão social, CNPJ, dados dos Usuários Administradores e contatos comerciais e financeiros), para fins de faturamento, relacionamento comercial e cumprimento de obrigações legais e regulatórias.

3. OBJETO, NATUREZA E FINALIDADE DO TRATAMENTO

3.1 Objeto

Tratamento de Dados Pessoais necessário à prestação da Solução Inteliax ao Cliente, incluindo armazenamento, acesso, indexação, transmissão entre canais omnichannel e processamento por agentes de IA e automações BPM.

3.2 Categorias de Titulares

Clientes finais, leads, prospects, usuários de atendimento, colaboradores do Cliente, beneficiários de serviços oferecidos pelo Cliente e demais pessoas naturais cujos dados o Cliente decida inserir na Solução.

3.3 Categorias de Dados Tratados

Dados cadastrais (nome, CPF/CNPJ, endereço), dados de contato (e-mail, telefone, WhatsApp), conteúdo de conversas e mensagens trocadas entre Cliente e Titulares, dados comportamentais e de navegação (via DeepTracking), dados de transações relacionadas ao negócio do Cliente, e demais dados que o Cliente decida inserir, sempre sob sua exclusiva responsabilidade.

3.4 Tratamento de Dados Pessoais Sensíveis

O Cliente somente poderá inserir Dados Pessoais Sensíveis na Solução Inteliax quando possuir base legal adequada e quando a Solução possuir recursos específicos para tal (quando contratados como add-on). O Cliente se declara integralmente responsável pela legitimidade e conformidade legal de qualquer tratamento de Dados Sensíveis realizado por meio da Solução.

3.5 Finalidade

Tratamento estritamente limitado à execução do Contrato, prestação dos serviços contratados, suporte técnico, monitoramento de segurança, auditoria e cumprimento de obrigações legais aplicáveis à Inteliax.

4. OBRIGAÇÕES DA INTELIAX COMO OPERADORA

A Inteliax se compromete a:

(a) tratar Dados Pessoais exclusivamente conforme as instruções documentadas do Cliente, ressalvadas as hipóteses de obrigação legal ou regulatória;

(b) garantir que pessoas autorizadas ao tratamento estejam vinculadas a deveres de confidencialidade;

(c) adotar medidas técnicas e organizacionais adequadas para proteger Dados Pessoais, conforme descrito na Seção 5 deste Anexo;

(d) auxiliar o Cliente, na medida do possível, no atendimento às requisições dos Titulares de direitos previstos na LGPD (acesso, correção, anonimização, portabilidade, eliminação, etc.);

(e) auxiliar o Cliente no cumprimento de suas obrigações de avaliação de impacto (RIPD) quando solicitado, sujeito a acordo específico para demandas de grande porte;

(f) notificar o Cliente sobre qualquer Incidente de Segurança nos termos da Seção 6;

(g) eliminar ou devolver ao Cliente todos os Dados Pessoais após o encerramento do Contrato, conforme Seção 9;

(h) disponibilizar informações necessárias para demonstrar conformidade com este Anexo, mediante solicitação formal.

5. MEDIDAS TÉCNICAS E ORGANIZACIONAIS DE SEGURANÇA

A Inteliax mantém as seguintes salvaguardas de segurança da informação:

5.1 Criptografia

Dados em trânsito são protegidos por TLS 1.3 ou superior. Dados em repouso são criptografados com AES-256. Credenciais e segredos são armazenados em sistema de gestão de chaves (KMS) com rotação periódica.

5.2 Controle de Acesso

Controle de acesso baseado em função (RBAC) com princípio do menor privilégio; autenticação multifator obrigatória para acesso administrativo interno; revisão trimestral de permissões; bloqueio automático após tentativas inválidas; encerramento de sessão por inatividade.

5.3 Segregação e Isolamento

Solução multi-tenant com segregação lógica de dados por Cliente. Ambientes de desenvolvimento, homologação e produção fisicamente e logicamente separados. Dados de produção não são utilizados em ambientes de teste sem anonimização.

5.4 Auditoria e Monitoramento

Logs de auditoria para acessos, alterações de configuração e operações sensíveis, retidos por período mínimo de 12 (doze) meses. Monitoramento contínuo de disponibilidade, integridade e eventos de segurança com alertas automatizados.

5.5 Infraestrutura

Hospedagem em provedores de nuvem certificados (ISO 27001, SOC 2 Tipo II), com data centers localizados em território nacional e/ou países com grau de proteção adequado conforme normas da ANPD. Redundância e failover geograficamente distribuídos para ambientes Business e Enterprise.

5.6 Testes e Avaliação

Testes de penetração (pentest) realizados ao menos anualmente por empresa especializada independente; análise de vulnerabilidades contínua e automatizada; programa de divulgação responsável (responsible disclosure) mantido ativamente.

5.7 Continuidade e Recuperação

Plano de Continuidade de Negócios (BCP) e Plano de Recuperação de Desastres (DRP) documentados, testados anualmente, com RPO e RTO conforme especificados no Anexo II (SLA).

6. GESTÃO DE INCIDENTES DE SEGURANÇA

6.1 Notificação

Havendo Incidente de Segurança envolvendo Dados Pessoais do Cliente, a Inteliax notificará o Cliente sem atraso injustificado, e em qualquer caso em prazo não superior a 48 (quarenta e oito) horas a contar do conhecimento confirmado do incidente, fornecendo informações disponíveis sobre:

(a) natureza do incidente e Dados Pessoais potencialmente afetados;

(b) categorias e volume aproximado de Titulares afetados;

(c) medidas de contenção já adotadas;

(d) avaliação preliminar de riscos e recomendações;

(e) ponto de contato para esclarecimentos adicionais.

6.2 Cooperação na Comunicação

A Inteliax cooperará razoavelmente com o Cliente na elaboração de comunicações aos Titulares afetados e à Autoridade Nacional de Proteção de Dados (ANPD), quando aplicável, sendo responsabilidade final do Cliente (Controlador) a decisão sobre a realização e o teor das comunicações.

7. SUBOPERADORES

7.1 Autorização Geral

O Cliente autoriza de forma geral a Inteliax a contratar Suboperadores para execução do Contrato, desde que tais Suboperadores estejam vinculados por contrato a obrigações de proteção de dados equivalentes às previstas neste Anexo. A lista de Suboperadores vigentes, contendo identificação, atividade desempenhada e localização do tratamento, está disponível na Conta Virtual e na Política de Privacidade publicada em www.inteliax.com.br/politica-de-privacidade.

7.2 Categorias Atuais de Suboperadores

Categorias típicas de Suboperadores incluem: (i) provedores de infraestrutura em nuvem (cloud computing); (ii) provedores de e-mail transacional e SMTP; (iii) gateways de SMS; (iv) provedores oficiais de WhatsApp Business Solution (BSP Meta); (v) provedores de Large Language Models (LLMs) para os agentes de IA; (vi) provedores de monitoramento, observabilidade e segurança; (vii) processadores de pagamento.

7.3 Alterações

A Inteliax notificará o Cliente com antecedência mínima de 30 (trinta) dias sobre inclusão de novo Suboperador ou alteração relevante. O Cliente poderá opor-se por escrito à alteração, dentro do mesmo prazo, com base em razões fundamentadas de proteção de dados. Na hipótese de oposição, as Partes discutirão alternativas razoáveis, e, não havendo consenso, o Cliente poderá rescindir a contratação sem ônus, restritas as obrigações já executadas.

8. TRANSFERÊNCIA INTERNACIONAL DE DADOS

A Inteliax processa Dados Pessoais preferencialmente em território nacional. Eventuais transferências internacionais (ex.: para LLM providers com infraestrutura em países estrangeiros) somente ocorrerão para países com nível adequado de proteção conforme reconhecido pela ANPD ou mediante adoção de garantias específicas previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão e certificações reconhecidas. O Cliente autoriza expressamente tais transferências estritamente limitadas ao necessário para prestação dos serviços contratados.

9. DEVOLUÇÃO E ELIMINAÇÃO DE DADOS

9.1 Portabilidade Durante o Contrato

Durante toda a vigência do Contrato, o Cliente poderá exportar seus Dados Pessoais por meio das ferramentas disponibilizadas na Conta Virtual, em formatos estruturados de uso comum (CSV, JSON, Excel).

9.2 Após o Encerramento do Contrato

Após o encerramento do Contrato, a Inteliax: (a) manterá os Dados Pessoais do Cliente acessíveis para exportação por período adicional de 30 (trinta) dias, mediante solicitação formal; (b) eliminará ou anonimizará os Dados Pessoais em até 60 (sessenta) dias após o encerramento do prazo de exportação; (c) manterá cópias mínimas e segregadas apenas para cumprimento de obrigações legais ou defesa em processos judiciais, administrativos ou arbitrais, pelo prazo estritamente necessário.

10. DIREITOS DOS TITULARES

Os Titulares poderão exercer, perante o Cliente (Controlador), os direitos previstos no art. 18 da LGPD, incluindo confirmação de tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, informação sobre consentimento e revogação do consentimento. A Inteliax, na qualidade de Operadora, fornecerá ao Cliente os meios técnicos razoáveis para atendimento dessas requisições por meio da Conta Virtual e das APIs disponibilizadas.

11. ENCARREGADO (DPO)

A Inteliax designa Encarregado pelo Tratamento de Dados Pessoais (DPO), cujos contatos estão publicados na Política de Privacidade e podem ser acionados diretamente pelos Titulares ou pelo Cliente pelo e-mail dpo@inteliax.com.br. O Cliente, por sua vez, deverá designar seu próprio Encarregado (quando aplicável conforme sua estrutura) e informar os respectivos contatos à Inteliax no cadastro da Conta Virtual.

12. AUDITORIA E DEMONSTRAÇÃO DE CONFORMIDADE

A Inteliax demonstrará conformidade com este Anexo por meio de: (i) relatórios de auditoria de certificações reconhecidas (ISO 27001, SOC 2 Tipo II ou equivalente), quando disponíveis; (ii) documentação de políticas de segurança e proteção de dados; (iii) relatórios sumarizados de testes de penetração. Auditorias presenciais solicitadas pelo Cliente ficam condicionadas a acordo prévio de escopo, datas, custos e medidas de preservação de confidencialidade e segurança operacional da Inteliax, e se limitam a uma auditoria a cada 12 meses, exceto em caso de Incidente de Segurança relevante ou exigência de autoridade competente.

13. RESPONSABILIDADES DO CLIENTE (CONTROLADOR)

O Cliente declara e garante que:

(a) possui base legal adequada para todo Tratamento de Dados Pessoais que realizar por meio da Solução Inteliax, incluindo obtenção de consentimento quando exigível;

(b) mantém aviso de privacidade transparente e acessível aos Titulares, informando a utilização de plataformas de CRM e IA no tratamento de seus dados;

(c) configura adequadamente as funcionalidades da Solução para refletir as bases legais e finalidades autorizadas pelos Titulares;

(d) atende, de forma primária, às requisições dos Titulares no exercício de seus direitos;

(e) não insere Dados Pessoais Sensíveis na Solução exceto quando possuir base legal adequada e quando a Solução estiver contratada para tal finalidade;

(f) comunica imediatamente à Inteliax qualquer incidente, reclamação ou investigação relacionada aos Dados Pessoais tratados por meio da Solução.

14. VIGÊNCIA

Este Anexo vigora enquanto houver Dados Pessoais do Cliente sendo tratados pela Inteliax, sobrevivendo à rescisão do Contrato principal no que for aplicável até a eliminação completa dos Dados, conforme Seção 9.

FIM DO ANEXO III