[NOME DA EMPRESA CONTRATANTE], pessoa jurídica de direito privado, doravante denominada “CONTROLADORA”; e [NOME DA EMPRESA FORNECEDORA DO CRM], pessoa jurídica de direito privado, doravante denominada “OPERADORA”; em conjunto denominadas “Partes”.

1. OBJETO

O presente Acordo tem por objeto estabelecer as condições sob as quais a OPERADORA realizará o tratamento de dados pessoais em nome da CONTROLADORA, no contexto da prestação de serviços de CRM com funcionalidades de inteligência artificial e integração com canais de comunicação, incluindo WhatsApp.

2. DEFINIÇÕES

Para os fins deste Acordo, aplicam-se as definições previstas na Lei Geral de Proteção de Dados (Lei nº 13.709/2018), especialmente:

Dados Pessoais: informações relacionadas à pessoa natural identificada ou identificável;

Tratamento: toda operação realizada com dados pessoais;

Controladora: quem toma as decisões referentes ao tratamento;

Operadora: quem realiza o tratamento em nome da Controladora.

3. NATUREZA E FINALIDADE DO TRATAMENTO

A OPERADORA realizará o tratamento de dados pessoais exclusivamente para:

1. Gestão de relacionamento com clientes (CRM);
2. Organização de leads e funil de vendas;
3. Automação de comunicações e follow-ups;
4. Geração de insights e sugestões por meio de inteligência artificial; e
5. Integração com canais de atendimento, incluindo WhatsApp.

É expressamente proibido o tratamento de dados para finalidades diversas das aqui estabelecidas.

4. INSTRUÇÕES DA CONTROLADORA

A OPERADORA compromete-se a tratar os dados pessoais exclusivamente de acordo com (i) As instruções documentadas da CONTROLADORA, desde que estejam dentro do escopo do contrato; (ii) As disposições deste Acordo; e (iii) A legislação aplicável.

5. PROIBIÇÃO DE USO PARA TREINAMENTO DE IA

A OPERADORA não poderá, sob nenhuma hipótese, utilizar os dados pessoais tratados no âmbito deste contrato para treinamento, aperfeiçoamento ou desenvolvimento de modelos de inteligência artificial; e compartilhar tais dados para essa finalidade com terceiros.

O uso de IA deverá se limitar estritamente à inferência operacional, sem retenção indevida ou reaproveitamento dos dados.

6. SUBOPERADORES

A OPERADORA somente poderá contratar suboperadores mediante:

1. Autorização prévia da CONTROLADORA (geral ou específica); e
2. Garantia de que os suboperadores assumam obrigações equivalentes às deste Acordo.

A OPERADORA permanece integralmente responsável pelos atos dos suboperadores.

7. TRANSFERÊNCIA INTERNACIONAL DE DADOS

Qualquer transferência internacional de dados pessoais deverá:

1. Ser previamente informada à CONTROLADORA;
2. Atender aos requisitos da legislação aplicável; e
3. Ser realizada mediante mecanismos adequados de proteção, com cláusulas contratuais padrão e garantias contratuais nos moldes estabelecidos pela ANPD.

8. SEGURANÇA DA INFORMAÇÃO

A OPERADORA deverá adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo, no mínimo: (i) Criptografia de dados em trânsito e, quando aplicável, em repouso; (ii) Controle de acesso baseado em privilégios mínimos; (iii) Registro de logs de acesso e operações; (iv) Testes periódicos de segurança; e (v) Proteção contra acessos não autorizados, vazamentos e incidentes.

9. CONFIDENCIALIDADE

A OPERADORA garantirá que (i)Todas as pessoas autorizadas a tratar dados pessoais estejam vinculadas a obrigações de confidencialidade; e (ii) O acesso aos dados seja restrito ao necessário para execução do contrato.

10. INCIDENTES DE SEGURANÇA

A OPERADORA deverá:

1. Notificar a CONTROLADORA imediatamente (em até 48 horas) após tomar conhecimento de qualquer incidente de segurança que possa afetar dados pessoais;
2. Fornecer informações detalhadas sobre o incidente; e
3. Adotar medidas para mitigar e remediar os efeitos.

11. DIREITOS DOS TITULARES

A OPERADORA deverá (i) Auxiliar a CONTROLADORA no atendimento de solicitações de titulares de dados; e (ii) Disponibilizar mecanismos que permitam acesso, correção, exclusão e portabilidade, quando aplicável.

12. RETENÇÃO E ELIMINAÇÃO DE DADOS

Ao término do contrato ou mediante solicitação da CONTROLADORA, a OPERADORA deverá (i) Eliminar ou anonimizar os dados pessoais, salvo obrigação legal de retenção; e (ii) Comprovar a eliminação quando solicitado.

13. AUDITORIA E COMPLIANCE

A CONTROLADORA poderá anualmente, mediante aviso prévio razoável:

1. Auditar ou solicitar evidências do cumprimento das obrigações deste Acordo;
2. Requerer informações sobre práticas de segurança e proteção de dados.

14. RESPONSABILIDADE

A OPERADORA será responsável por: (i) Danos diretos e comprovadamente decorrentes do tratamento em desconformidade com este Acordo ou com a legislação; e (ii) Falhas de segurança atribuíveis à sua atuação comprovada ou de seus suboperadores.

15. VIGÊNCIA

O presente Acordo vigorará durante a vigência do contrato principal, permanecendo aplicável enquanto houver tratamento de dados pessoais pela OPERADORA.

16. DISPOSIÇÕES FINAIS

Este Acordo constitui parte integrante do contrato principal firmado entre as Partes e prevalecerá, em caso de conflito, no que se refere à proteção de dados pessoais.

Fortaleza/CE, 23 de março de 2026.