Gerart AI

Centro de privacidade

Acordo de Processamento de Dados (DPA)

Operador (Gerart AI) ↔ Controlador (Cliente). Anexo padrão aos Termos de Uso.

Última atualização: 2026-05-26

Este Acordo de Processamento de Dados (“DPA”) é parte integrante dos Termos de Uso e da Política de Privacidade da plataforma Gerart AI (“Plataforma”), oferecida por THIAGO P GOMES MARKETING E DESIGNER - ME, CNPJ 33.043.631/0001-47, sede em Valença, RJ — Brasil (“Gerart”, “Operador”). Ao aceitar os Termos de Uso, o Cliente (“Controlador”) celebra também este DPA.

Aplica-se à Lei Geral de Proteção de Dados (Lei 13.709/2018 — “LGPD”) e, para clientes sujeitos ao GDPR, às Cláusulas Contratuais Padrão (SCC) Módulo 2 (Controlador-Operador) da Comissão Europeia, sempre que houver transferência internacional via subprocessadores nos EUA.

1. Definições

  • Controlador: o Cliente, pessoa natural ou jurídica que determina as finalidades e os meios do tratamento dos Dados Pessoais.
  • Operador: Gerart AI, que realiza o tratamento em nome do Controlador, nos limites deste DPA.
  • Titular: pessoa natural a quem se referem os Dados Pessoais (usuários do Controlador, clientes do Controlador, colaboradores, etc.).
  • Dados Pessoais: qualquer informação relacionada a Titular identificado ou identificável.
  • Subprocessador: terceiro contratado pelo Operador para realizar parte do tratamento (lista pública em /subprocessors).
  • Incidente: qualquer evento adverso que comprometa confidencialidade, integridade, disponibilidade ou autenticidade dos Dados Pessoais.

2. Objeto, natureza e duração do tratamento

  • Objeto: permitir que o Controlador use a Plataforma para criar, armazenar, gerar e compartilhar ativos visuais e textuais relacionados à sua atividade de marketing/branding/CPG.
  • Natureza: coleta, armazenamento, hospedagem, processamento por modelos de IA (sob instrução do Controlador), transmissão para subprocessadores autorizados, eliminação.
  • Duração: enquanto vigente o contrato principal e conforme prazos de retenção descritos no item 9.

3. Categorias de Dados Pessoais e de Titulares

Para detalhes técnicos completos, consulte o Registro de Atividades de Tratamento (ROPA) em /privacy/transparency. Tipicamente:

  • Titulares: colaboradores do Controlador, clientes do Controlador (somente se inseridos pelo Controlador), e o próprio Controlador.
  • Categorias de dados: identificação (nome, email), dados de autenticação (hash de senha, tokens), dados profissionais (cargo, workspace), conteúdo do Controlador (arquivos enviados, prompts, ativos de marca, imagens geradas), metadados técnicos (IP hashed, user-agent hashed, logs de acesso).
  • Dados sensíveis: a Plataforma NÃO se destina a coletar dados sensíveis (LGPD Art. 5º II). O Cliente declara que não inserirá dados de saúde, biometria, religião, orientação sexual ou de crianças/adolescentes na Plataforma sem aditivo contratual específico.

4. Obrigações do Operador (Gerart AI)

  1. Tratar Dados Pessoais somente sob instrução documentada do Controlador (estes Termos + DPA configuram as instruções gerais; o uso da Plataforma constitui instruções operacionais).
  2. Garantir confidencialidade — pessoas autorizadas a tratar os dados são vinculadas por dever de sigilo (contrato de trabalho/prestação de serviço).
  3. Adotar medidas técnicas e organizacionais apropriadas (item 6) para proteger os dados contra acessos não autorizados, perda, alteração ou divulgação acidental ou ilícita.
  4. Auxiliar o Controlador no atendimento a requisições de Titulares (acesso, retificação, eliminação, portabilidade, oposição), em até 10 dias úteis a partir da solicitação formal do Controlador.
  5. Notificar o Controlador sobre Incidentes (item 8) e cooperar nas comunicações à ANPD e a Titulares afetados.
  6. Permitir auditorias do Controlador (item 11), respeitadas regras de confidencialidade e segurança.
  7. Não transferir Dados Pessoais para subprocessadores fora da lista publicada sem aviso prévio (item 7).
  8. Eliminar ou devolver Dados Pessoais ao fim do contrato (item 12), salvo obrigação legal de retenção.

5. Obrigações do Controlador (Cliente)

  1. Garantir que possui base legal adequada (LGPD Art. 7º e Art. 11º) para tratar os Dados Pessoais que insere na Plataforma.
  2. Não inserir dados sensíveis ou de crianças/adolescentes sem aditivo específico.
  3. Designar administradores responsáveis pelo workspace e revogar acessos quando colaboradores deixarem a equipe.
  4. Configurar autenticação multifator (MFA) para usuários com função de administrador.
  5. Notificar Gerart imediatamente se identificar uso indevido da Plataforma envolvendo Dados Pessoais.
  6. Responder em primeira instância às requisições dos seus próprios Titulares (Gerart é Operador, não Controlador desses dados).

6. Medidas técnicas e organizacionais (Art. 32 GDPR / Art. 46 LGPD)

  • Criptografia: TLS 1.2+ em trânsito; criptografia em repouso em todos os bancos de dados (Postgres/Supabase) e storage (Cloudflare R2, Supabase Storage).
  • Isolamento multi-tenant: Row Level Security (RLS) aplicado em todas as tabelas com Dados Pessoais. Validação de membership em todas as APIs sensíveis.
  • Controle de acesso: autenticação via Supabase Auth com tokens JWT; MFA opcional/obrigatório por workspace; menor privilégio para colaboradores internos.
  • Hardening: CSP com nonce por request, CSRF double-submit, rate limiting por usuário/workspace/IP, validação de input com Zod.
  • Detecção: Sentry com scrub de PII e segredos; logs estruturados (pino JSON) com retenção e redaction; alertas de gasto anômalo em IA.
  • Backup: Point-In-Time Recovery (PITR) habilitado no Supabase com retenção mínima de 7 dias; testes de restore periódicos.
  • Resiliência: auto-scaling Vercel; circuit-breaker para provedores de IA; killswitch documentado em runbook de incidente.
  • Audit log imutável: tabelas privacy_audit_logs, security_events, workspace_usage_events são append-only no banco (RESTRICTIVE RLS bloqueando UPDATE/DELETE).
  • DLP: identificadores brasileiros (CPF/CNPJ/RG) e cartões de crédito (validação Luhn) são redacted antes de qualquer chamada a provedor de IA.

7. Subprocessadores

A lista atual de subprocessadores autorizados está em /subprocessors e é mantida na tabela pública privacy_subprocessors. Mudanças relevantes (adição/substituição) são comunicadas com pelo menos 30 dias de antecedência via banner no app, email ao administrador do workspace e atualização da página pública. O Controlador pode objetar a uma nova subcontratação por escrito; nesse caso ambas as partes negociarão em boa-fé alternativa técnica ou rescisão sem multa.

8. Notificação de incidente

  • Gerart notificará o Controlador sem demora indevida após constatação razoável de Incidente envolvendo Dados Pessoais — em regra, em até 24 horas.
  • A notificação incluirá: natureza do incidente, categorias e número aproximado de Titulares afetados, consequências prováveis, medidas adotadas e contato do encarregado.
  • Gerart cooperará com o Controlador para comunicação à ANPD em até 48 horas (LGPD Art. 48) quando houver risco ou dano relevante.
  • Runbook completo: docs/security/incident-response-runbook.md e docs/security/breach-tabletop.md.

9. Retenção e eliminação

Prazos padrão aplicados por categoria (regras detalhadas na tabela privacy_retention_rules):

  • Logs de acesso e segurança: 90 dias.
  • Prompts e respostas de IA: 30 dias.
  • Dados de billing e fiscais: 5 anos (Lei 5.172/1966 — CTN).
  • Audit logs de privacidade: 1 ano (mínimo); imutáveis no DB.
  • Conteúdo do Controlador (drive, projetos, brand assets, imagens geradas): mantido enquanto a conta estiver ativa; deletado em até 30 dias após encerramento da assinatura ou pedido de exclusão de conta.

10. Direitos dos Titulares

O Controlador atende os Titulares em primeira instância. Gerart provê ferramentas de exportação ( /data-request), eliminação de conta e anonimização. SLA padrão de resposta operacional ao Controlador: 10 dias úteis.

11. Auditoria

O Controlador pode auditar a conformidade com este DPA mediante aviso prévio de 30 dias, presencialmente ou via questionário documental (preferencial). Gerart disponibilizará relatórios de auditoria externa, certificações e respostas a questionários de segurança razoáveis.

12. Encerramento

Ao término do contrato principal, Gerart eliminará os Dados Pessoais do Controlador em até 30 dias, salvo (a) obrigação legal de retenção (e.g. fiscal/contábil) e (b) backups criptografados sujeitos ao ciclo normal de rotação, no qual os dados continuarão protegidos pelas medidas do item 6 até serem sobrescritos.

13. Transferência internacional

Alguns subprocessadores operam em jurisdições fora do Brasil (EUA, UE, Reino Unido). Para essas transferências, Gerart adota: (i) Cláusulas Contratuais Padrão (SCC) Módulo 2, para clientes UE/EEA; (ii) Termos de Processamento de Dados próprios de cada subprocessador (DPAs OpenAI, Stripe, etc.) que se enquadram nas garantias do Art. 33 LGPD; (iii) avaliação periódica de risco (TIA — Transfer Impact Assessment).

14. Responsabilidade e indenização

Cada parte responde pelos próprios atos relacionados a este DPA, nos limites de responsabilidade definidos no contrato principal. Quando ambas concorrerem para o dano, a responsabilidade é proporcional à contribuição de cada uma.

15. Vigência e aceitação

Este DPA entra em vigor a partir da aceitação dos Termos de Uso e vigora enquanto houver tratamento de Dados Pessoais pelo Operador em nome do Controlador. A versão vigente é sempre a publicada nesta página, com data em 2026-05-26. Para uma cópia assinada (PDF), envie pedido a info@gerart.ai.

16. Encarregado pelo Tratamento de Dados (DPO)

Thiago Gomes — email: info@gerart.ai.

Aviso: este DPA segue boas práticas LGPD/GDPR mas é um documento modelo; deve ser revisado por advogado(a) com expertise em proteção de dados antes de uso em contratos B2B regulados.

Precisa exercer seus direitos?

Use a página Solicitar dados ou, se já tem conta, abra o Centro de Privacidade em /app/settings/privacy.