← Agents PlatformDocumentos legais

Versão 2026-05-15 · Vigência 15 de maio de 2026

Termo de Tratamento de Dados (DPA)

v2 (2026-05-15) — prazo concreto de notificação de incidente (2 dias úteis), tratamento de dados sensíveis e de crianças, auxílio à conformidade do Cliente (RIPD).

Sumário · 15 seções
  1. 1.1. Papéis
  2. 2.2. Objeto
  3. 3.3. Natureza, duração e finalidades
  4. 4.4. Categorias de dados pessoais
  5. 5.5. Categorias de titulares
  6. 6.6. Obrigações da Operadora (art. 39 LGPD)
  7. 7.7. Dados sensíveis e dados de crianças
  8. 8.8. Auxílio à conformidade do Cliente
  9. 9.9. Sub-operadores
  10. 10.10. Transferência internacional
  11. 11.11. Retenção e devolução
  12. 12.12. Auditoria
  13. 13.13. Responsabilidade
  14. 14.14. Vigência
  15. 15.15. Contato

Termo de Tratamento de Dados (DPA)

Vigência: 15 de maio de 2026

Este Termo formaliza a relação de operadora entre a Fluxium e o Cliente, nos termos da LGPD (art. 5, VIII e art. 39), quanto ao tratamento de dados pessoais de terceiros (clientes finais do Cliente) realizado pela Plataforma em nome do Cliente.

1. Papéis

  • Controlador: o Cliente. Define as finalidades do tratamento dos dados dos terceiros (clientes finais) e responde pela base legal junto a esses titulares.
  • Operadora: a Fluxium. Trata dados pessoais de terceiros estritamente conforme as instruções do Cliente e os limites destes Termos.

2. Objeto

O tratamento abrange dados pessoais de clientes finais do Cliente, processados pela Plataforma para:

  • Receber e armazenar mensagens trocadas via WhatsApp entre o cliente final e o agent.
  • Gerar respostas automatizadas via LLM (Gemini), usando a chave do próprio Cliente (BYOK).
  • Manter histórico operacional e métricas de uso.
  • Permitir intervenção humana (operador do Cliente) quando configurada.
  • Executar campanhas de outreach iniciadas pelo Cliente (quando aplicável).

3. Natureza, duração e finalidades

  • Natureza: automatizada, contínua durante a vigência da assinatura do agent.
  • Duração: enquanto durar a relação contratual com o Cliente.
  • Finalidades: as definidas pelo Cliente e listadas no item 2.

4. Categorias de dados pessoais

Dados típicos tratados em nome do Cliente:

  • Número de telefone (WhatsApp).
  • Nome de exibição (push_name).
  • Conteúdo das mensagens trocadas.
  • Metadados das conversas (timestamps, status, atribuição a agent).
  • Dados fornecidos pelo Cliente em listas de outreach (ex.: data da última visita, observações livres).

5. Categorias de titulares

Clientes finais do Cliente que interajam com agents da Plataforma via WhatsApp.

6. Obrigações da Operadora (art. 39 LGPD)

A Fluxium se compromete a:

  • Tratar os dados estritamente conforme as instruções do Cliente.
  • Manter sigilo sobre os dados pessoais a que tenha acesso, mesmo após o término do contrato.
  • Adotar medidas de segurança técnicas e administrativas adequadas (isolamento por RLS, criptografia em trânsito e em repouso, BYOK cifrado, princípio do menor privilégio).
  • Manter registro das operações de tratamento que realiza (RoPA).
  • Notificar o Cliente sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, tão logo quanto possível e, em qualquer caso, em prazo não superior a 2 (dois) dias úteis após a ciência do incidente, com descrição da natureza, dados afetados, medidas em curso e riscos envolvidos, de modo a permitir que o Cliente cumpra suas próprias obrigações de comunicação à ANPD e aos titulares (art. 48 LGPD).
  • Auxiliar o Cliente no atendimento de requisições de titulares (acesso, correção, eliminação, portabilidade), na medida da viabilidade técnica.
  • Cumprir requisição da ANPD quando devidamente notificada.
  • Eliminar ou devolver os dados pessoais ao término do contrato, conforme escolha do Cliente, observados prazos legais de retenção.

7. Dados sensíveis e dados de crianças

A Plataforma não foi projetada para tratamento sistemático de dados pessoais sensíveis (art. 11 LGPD) nem de dados de crianças e adolescentes (art. 14 LGPD). Caso a operação do Cliente envolva tais dados (por exemplo, clínica de saúde tratando dados de pacientes, ou comércio com público parcialmente menor de idade), o Cliente declara que:

  • Possui base legal apropriada para tal tratamento, nos termos dos arts. 11 e 14 da LGPD.
  • Comunicou previamente à Fluxium a natureza desses dados e, quando aplicável, mantém consentimento específico e destacado dos titulares ou dos responsáveis legais (no caso de crianças).
  • Não compartilha dados sensíveis de saúde com terceiros para vantagem econômica, observada a vedação do art. 11 § 4 da LGPD.

A Fluxium pode recusar, suspender ou condicionar o tratamento desses dados se identificar risco de violação à LGPD pela falta de base legal adequada do Cliente.

8. Auxílio à conformidade do Cliente

A pedido do Cliente, e na medida da viabilidade técnica, a Fluxium fornece informações e apoio para:

  • Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando exigido pela ANPD ou aplicável a tratamentos de maior risco (art. 38 LGPD).
  • Demonstração de conformidade com as obrigações da LGPD (registros de operações, evidências de medidas de segurança, descritivo dos sub-operadores).
  • Atendimento dos direitos dos titulares que se manifestem diretamente à Plataforma e cujo controlador identificável seja o Cliente.

9. Sub-operadores

A Fluxium emprega sub-operadores autorizados listados em /legal/sub-operadores. A inclusão de novo sub-operador material será comunicada ao Cliente com antecedência razoável. O Cliente pode se opor pela rescisão do contrato.

10. Transferência internacional

Alguns sub-operadores operam fora do Brasil (ex.: Google nos EUA). As transferências atendem ao art. 33 da LGPD pela necessidade da execução do contrato e por cláusulas contratuais com os provedores que asseguram nível de proteção adequado.

11. Retenção e devolução

  • Mensagens e contatos: retenção operacional configurável pelo Cliente (default: 12 meses), com arquivo em frio posterior e eliminação ao fim do contrato.
  • Encerramento: ao fim do contrato, o Cliente pode requerer exportação dos dados em formato estruturado e/ou eliminação. Sem requisição, a eliminação ocorre em até 90 dias.

12. Auditoria

Mediante aviso prévio razoável, o Cliente pode requisitar evidências de conformidade (logs sumarizados, atestados, certificações de sub-operadores). Auditorias presenciais ficam limitadas a inspeções autorizadas pela ANPD.

13. Responsabilidade

A Fluxium responde, como operadora, nos limites do art. 42 da LGPD. O Cliente, como controlador, responde pela base legal junto aos titulares e pela conformidade das suas instruções de tratamento.

14. Vigência

Este Termo é parte integrante dos Termos de Uso e vige enquanto durar a relação contratual. Alterações materiais geram nova versão e re-aceite no próximo acesso à Plataforma.

15. Contato

privacidade@fluxium.pro.