JURÍDICO · ACORDO DE PROCESSAMENTO DE DADOS

Acordo de Processamento de Dados

O acordo de operador nos termos do Artigo 28 do GDPR entre você (Controlador) e EDMA Group (Operador). Integra os Termos de Serviço e vincula ambas as partes quando a EDMA processa dados pessoais em seu nome no TradeOS.

Versão

v1.0

Válido a partir de

25 de mai. de 2026

Última atualização

23 de mai. de 2026

Status

v1.0 · sujeito a alterações

NOTA EM LINGUAGEM SIMPLES

Este documento foi redigido para ser de fácil leitura. Trata-se de um instrumento jurídico vigente — leia com atenção. Para esclarecimentos, escreva para [email protected] com o assunto [Legal]. EDMA Group reserva-se o direito de atualizar este documento; alterações relevantes serão comunicadas com pelo menos 30 dias de antecedência por e-mail e publicadas em /newsroom.

01 Contexto e relação entre as partes

Este Acordo de Processamento de Dados (”DPA”) complementa os Termos de Serviço celebrados entre o Cliente (”Controlador”) e EDMA Group (”Operador”) e reflete o acordo das partes quanto ao tratamento de dados pessoais realizado pela EDMA em nome do Controlador no âmbito do Serviço.

Este DPA foi elaborado para atender ao Artigo 28 do Regulamento Geral de Proteção de Dados da UE e do Reino Unido (”GDPR”) e a requisitos equivalentes previstos na legislação de proteção de dados aplicável. Quando as Cláusulas Contratuais Padrão da Comissão Europeia (Módulo 2: Controlador para Operador) se aplicarem a uma transferência de dados pessoais, essas Cláusulas serão incorporadas por referência a este DPA e prevalecerão em caso de conflito.

02 Definições

Os termos utilizados neste DPA têm os significados estabelecidos no GDPR (incluindo ”dados pessoais”, ”tratamento”, ”titular dos dados”, ”controlador”, ”operador”, ”suboperador” e ”violação de dados pessoais”) e, quando aplicável, os termos equivalentes do UK GDPR, do California Consumer Privacy Act (”CCPA”) e de outras leis aplicáveis.

Dados do Cliente tem o significado estabelecido nos Termos de Serviço. Dados Pessoais do Cliente significa os Dados do Cliente que constituem dados pessoais nos termos da legislação aplicável.

03 Objeto e natureza do tratamento

Objeto

A EDMA trata os Dados Pessoais do Cliente para fornecer o Serviço ao Controlador em conformidade com os Termos.

Duração

Pelo prazo dos Termos de Serviço e pelo período de exportação de dados pós-rescisão definido nos Termos, acrescido de qualquer prazo de retenção exigido por lei.

Natureza e finalidade do tratamento

Hospedagem, armazenamento, transmissão, exibição, consulta, indexação, pesquisa, análise, computação (incluindo cascatas de liquidação) e roteamento de dados pessoais entre contrapartes no tenant do Controlador, para as funções operacionais, financeiras e assistidas por inteligência artificial do Serviço.

Categorias de dados pessoais

  • dados de identificação (nomes, endereços de e-mail profissionais, cargos, organizações) dos funcionários, fornecedores, Clientes, financiadores e demais contrapartes do Controlador;
  • dados de contato (números de telefone, endereços);
  • dados comerciais (detalhes de Pedidos, dados de Embarques, metadados de Documentos, registros financeiros);
  • dados de Comunicações (mensagens trocadas por meio dos portais);
  • dados de autenticação (credenciais de conta, endereços IP, identificadores de sessão).

O Serviço não foi projetado para tratar categorias especiais de dados pessoais nos termos do Artigo 9 do GDPR (por ex., dados de saúde, biométricos, raciais ou religiosos) nem dados relativos a condenações penais. O Controlador concorda em não inserir tais dados no Serviço, exceto quando estritamente necessário e apenas com as salvaguardas adequadas.

Categorias de titulares de dados

  • funcionários, prestadores de serviços e Usuários autorizados do Controlador;
  • pessoas físicas junto aos fornecedores, Clientes, operadores logísticos e financiadores do Controlador;
  • qualquer outro indivíduo cujos dados pessoais o Controlador opte por inserir no Serviço.

04 Obrigações do Controlador

O Controlador é responsável por:

  • estabelecer uma base legal para o tratamento dos Dados Pessoais do Cliente, incluindo a obtenção dos consentimentos necessários e o fornecimento dos avisos exigidos aos titulares dos dados;
  • a exatidão, a qualidade, a legalidade e a integridade dos Dados Pessoais do Cliente;
  • configurar controles de acesso, permissões de usuários e definições de visibilidade dos portais no âmbito do Serviço, de modo a refletir os requisitos de proteção de dados do Controlador;
  • responder às solicitações dos titulares de dados quando a EDMA as encaminhar nos termos do §9 e o Controlador for o responsável competente;
  • cumprir a legislação aplicável em matéria de proteção de dados na qualidade de controlador.

05 Obrigações da EDMA

A EDMA, atuando como Operadora, irá:

  • tratar os Dados Pessoais do Cliente somente com base em instruções documentadas do Controlador, incluindo as instruções implícitas no uso das funcionalidades do Serviço pelo Controlador, bem como conforme exigido pela legislação aplicável (hipótese em que a EDMA informará o Controlador sobre tal exigência legal antes do tratamento, salvo se a lei proibir tal notificação por razões relevantes de interesse público);
  • assegurar que as pessoas autorizadas a tratar os Dados Pessoais do Cliente estejam sujeitas a obrigações adequadas de confidencialidade;
  • implementar as medidas de segurança técnicas e organizacionais descritas no §7 (o Anexo II das SCCs é atendido pelo §7);
  • contratar sub-operadoras apenas nos termos previstos no §6;
  • auxiliar o Controlador no cumprimento de suas obrigações relativas a solicitações de titulares de dados, segurança, notificações de incidentes, avaliações de impacto à proteção de dados e consultas prévias, levando em conta a natureza do tratamento e as informações disponíveis para a EDMA;
  • a critério do Controlador, excluir ou devolver todos os Dados Pessoais do Cliente ao término do Serviço, conforme previsto no §12;
  • disponibilizar ao Controlador as informações necessárias para demonstrar a conformidade com esta DPA, observado o §11.

Caso a EDMA entenda que uma instrução do Controlador viola a legislação aplicável de proteção de dados, a EDMA informará o Controlador sem demora injustificada.

06 Suboperadores

O Controlador autoriza a EDMA a contratar os suboperadores listados abaixo para tratar os Dados Pessoais do Cliente. A EDMA imporá a cada suboperador obrigações de proteção de dados não menos rigorosas do que as previstas nesta DPA.

Suboperadores atuais

SuboperadorFinalidadeRegião
Amazon Web ServicesHospedagem, computação, armazenamento, bancos de dadosUE (Frankfurt ou Irlanda)
CloudflareCDN, WAF, gerenciamento de botsRede edge global
ResendEntrega de e-mails transacionaisUS / UE
AnthropicInferência de IA (Atlas, Accounting AI) — endpoints enterprise com retenção zero de dadosUS
OpenAIInferência de IA de contingência — endpoints enterprise com retenção zero de dadosUS
Google Cloud (Vertex AI / Gemini)Inferência de IA de contingênciaUE / US
StripeProcessamento de pagamentosUE / US
SentryMonitoramento de erros, dados pessoais removidos na origemUE / US

A lista oficial e atualizada é mantida em edma.trade/legal/dpa (esta página). A EDMA pode contratar suboperadores adicionais com aviso prévio de pelo menos trinta (30) dias aos contatos administradores do Controlador. O Controlador pode se opor a um novo suboperador com base em motivos legítimos de proteção de dados durante o período de aviso; caso a EDMA não consiga acomodar a objeção, o Controlador pode rescindir o Período de Assinatura afetado com reembolso proporcional das taxas não utilizadas.

07 Medidas de segurança

A EDMA implementa as seguintes medidas técnicas e organizacionais (as ”TOMs”), que constituem o Anexo II das SCCs onde aplicável.

Criptografia

  • TLS 1.2+ para todos os dados em trânsito entre cliente e servidor, e entre servidor e suboperador;
  • criptografia AES-256 (ou superior) para dados em repouso nos armazenamentos primário e de backup;
  • snapshots de banco de dados criptografados; gerenciamento de chaves via KMS gerenciado do provedor de hospedagem com política de rotação.

Controle de acesso

  • autenticação multifator para todos os colaboradores da EDMA com acesso a ambientes de produção;
  • controle de acesso baseado em funções com configurações padrão de menor privilégio;
  • elevação just-in-time para operações sensíveis, com registro de auditoria;
  • separação lógica por tenant; o acesso entre tenants é negado na camada de aplicação.

Rede & perímetro

  • WAF e proteção contra DDoS na frente dos endpoints públicos;
  • conectividade de rede privada entre as camadas de aplicação e dados;
  • controles de egress sobre o tráfego de saída da produção.

Desenvolvimento de software

  • revisão de código obrigatória para todas as alterações em produção;
  • varredura de dependências e remediação de vulnerabilidades conforme SLAs definidos;
  • gerenciamento de segredos via secret store do provedor de hospedagem; nenhum segredo no código-fonte.

Operacional

  • registro estruturado com redação de campos sensíveis na origem;
  • monitoramento contínuo e alertas para eventos de segurança;
  • testes de penetração anuais por terceiros;
  • procedimentos de resposta a incidentes com funções definidas e caminhos de escalonamento;
  • procedimentos de backup e recuperação de desastres com RPO/RTO documentados.

Pessoas

  • verificação de antecedentes de colaboradores com acesso à produção, quando legalmente permitido;
  • treinamento de conscientização em segurança na contratação e pelo menos anualmente após;
  • obrigações contratuais de confidencialidade para colaboradores e prestadores de serviço;
  • acesso revogado prontamente no desligamento.

08 Transferências internacionais

Quando dados pessoais são transferidos do EEE, do Reino Unido ou da Suíça para um país que não oferece proteção adequada, as partes se baseiam em:

  • as Cláusulas Contratuais Padrão da Comissão Europeia (2021/914, Módulo 2: Controlador para Operador) e o adendo britânico quando o UK GDPR for aplicável;
  • as medidas técnicas e organizacionais previstas no §7 como salvaguardas complementares;
  • a avaliação pelo Controlador dos riscos da transferência, levando em conta a legislação e a prática do país de destino.

Quando EDMA contratar um suboperador localizado fora do EEE, EDMA assegura que salvaguardas iguais ou equivalentes se apliquem à transferência subsequente.

09 Direitos dos titulares de dados

Caso EDMA receba diretamente de um titular de dados uma solicitação relacionada aos Dados Pessoais do Cliente (p. ex. acesso, retificação, exclusão, restrição, portabilidade, oposição), EDMA encaminhará a solicitação ao Controlador sem demora injustificada e não responderá diretamente a ela, salvo instrução do Controlador ou obrigação legal.

EDMA assistirá o Controlador, levando em conta a natureza do tratamento e as informações disponíveis para EDMA, para responder às solicitações dos titulares de dados dentro dos prazos legais aplicáveis. A assistência inclui a disponibilização de mecanismos técnicos para acessar, exportar ou excluir dados pessoais no âmbito do Serviço.

10 Violação de dados pessoais

EDMA notificará o Controlador sem demora injustificada e, em qualquer caso, dentro de 72 horas a partir do momento em que EDMA tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A notificação incluirá, na medida em que tais informações estejam disponíveis no momento:

  • a natureza da violação, incluindo as categorias e o número aproximado de titulares de dados e registros afetados;
  • as prováveis consequências;
  • as medidas adotadas ou propostas para remediar a violação e mitigar seus efeitos;
  • dados de contato para informações adicionais.

EDMA fornecerá atualizações adicionais conforme a investigação avançar e cooperará com as obrigações do Controlador de resposta a violações nos termos da legislação aplicável. A notificação de EDMA ao Controlador não constitui reconhecimento de culpa ou responsabilidade.

11 Auditorias e inspeções

EDMA disponibilizará ao Controlador, mediante solicitação razoável e não mais de uma vez em qualquer período de doze meses (exceto quando exigido por uma autoridade supervisora ou após uma violação de dados pessoais), as informações necessárias para demonstrar a conformidade com este DPA. EDMA cumprirá essa obrigação fornecendo:

  • este DPA e a versão mais recente publicada das medidas de segurança;
  • resumos de relatórios de auditoria independentes de terceiros quando disponíveis;
  • respostas a um questionário de segurança razoável.

Quando o acima for insuficiente, uma auditoria no local poderá ser realizada, sujeita a: (a) aviso prévio razoável; (b) compromissos de confidencialidade; (c) realização das auditorias durante o horário comercial sem perturbar de forma irrazoável as operações de EDMA; e (d) o Controlador arcando com seus próprios custos, salvo se a auditoria revelar uma violação material. As auditorias podem ser conduzidas por um auditor terceiro independente acordado por ambas as partes.

12 Devolução & exclusão

Ao término da Subscription Term, a EDMA disponibilizará uma janela de exportação de 30 dias durante a qual o Controlador poderá recuperar os Dados Pessoais do Cliente em formato estruturado, de uso comum e legível por máquina. Após esse prazo, a EDMA excluirá os Dados Pessoais do Cliente dos sistemas ativos em até 30 dias e dos backups de acordo com o ciclo de retenção de backups documentado pela EDMA (tipicamente em até 90 dias), salvo quando a retenção for exigida por lei.

Mediante solicitação escrita do Controlador antes do término da janela de exportação, a EDMA fornecerá uma certificação escrita da exclusão.

13 Responsabilidade & precedência

A responsabilidade de cada parte decorrente desta DPA ou a ela relacionada está sujeita à limitação de responsabilidade prevista nos Termos de Serviço. Na medida em que um teto de responsabilidade se aplique separadamente à responsabilidade em matéria de proteção de dados, ele estará definido nos Termos.

Em caso de conflito entre esta DPA e os Termos, esta DPA prevalece nas questões relativas à proteção de dados. Quando as Cláusulas Contratuais Padrão estiverem incorporadas, as Cláusulas prevalecerão na extensão do conflito.

Esta DPA poderá ser atualizada para refletir alterações na legislação aplicável, nos suboperadores ou nas medidas técnicas. Alterações materiais serão notificadas aos contatos administradores do Controlador com pelo menos trinta (30) dias de antecedência à sua entrada em vigor.

DÚVIDAS

Escreva para nós.

Para esclarecimentos, reclamações ou para exercer um direito sobre dados ao amparo deste documento — escreva para [email protected] com o assunto [Legal]. Respondemos em até um dia útil.

ENTIDADE LEGAL

EDMA Group

A entidade por trás do TradeOS, do Marketplace e das demais operações do EDMA Group. Dados de registro da empresa disponíveis mediante solicitação no endereço acima. edma.co →

ARQUIVO

Versões anteriores.

Versões anteriores deste documento estão arquivadas. Para solicitar uma versão específica, escreva para [email protected] com o assunto [Legal archive].

Acordo de Processamento de Dados | TradeOS