Acordo de Processamento de Dados (DPA)

Definições

• Controlador: A empresa contratante que determina as finalidades e os meios de tratamento dos dados pessoais coletados através do Canal de Compliance.
• Operador: A Ethos, que realiza o tratamento de dados pessoais em nome do Controlador, conforme suas instruções.
• Titular: A pessoa natural a quem se referem os dados pessoais tratados (denunciante identificado).
• LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

Objeto do Acordo

Este Acordo de Processamento de Dados estabelece os termos e condições sob os quais a Ethos (Operador) trata dados pessoais em nome da empresa contratante (Controlador) no âmbito do Canal de Compliance. O tratamento é realizado exclusivamente para a finalidade de receber, armazenar e gerenciar relatos de irregularidades.

Obrigações do Operador (Ethos)

• Tratar dados pessoais exclusivamente conforme as instruções do Controlador e para as finalidades previstas neste acordo.
• Implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda ou destruição.
• Não compartilhar dados pessoais com terceiros, exceto conforme previsto neste acordo (sub-operadores autorizados).
• Notificar o Controlador sobre qualquer incidente de segurança que envolva dados pessoais no prazo máximo de 48 horas.
• Auxiliar o Controlador no atendimento a solicitações de titulares de dados, conforme previsto na LGPD.
• Excluir ou devolver todos os dados pessoais ao término do contrato ou mediante solicitação do Controlador.

Obrigações do Controlador (Empresa)

• Garantir que o tratamento de dados pessoais possui base legal adequada conforme a LGPD.
• Fornecer instruções claras e lícitas ao Operador sobre o tratamento de dados.
• Responder a solicitações de titulares de dados com o auxílio do Operador quando necessário.
• Informar o Operador sobre quaisquer alterações nas finalidades ou meios de tratamento de dados.

Medidas de Segurança

A Ethos implementa as seguintes medidas técnicas para proteção dos dados:

• Criptografia AES-256-GCM para dados pessoais de denunciantes identificados (nome, CPF, documento).
• Row Level Security (RLS) no banco de dados, garantindo isolamento de dados entre empresas.
• Edge Functions para processamento de relatos anônimos, sem registro de informações identificáveis.
• Chaves de criptografia isoladas por empresa, impedindo acesso cruzado entre organizações.
• URLs assinadas com expiração (15 minutos) para acesso a arquivos de evidência.
• Comunicação exclusiva via HTTPS entre todos os componentes da plataforma.

Sub-operadores

A Ethos utiliza a Supabase como infraestrutura de banco de dados e armazenamento. A Supabase atua como sub-operadora e está sujeita a termos de proteção de dados compatíveis com a LGPD. O Controlador autoriza o uso deste sub-operador ao aceitar os termos deste acordo.

Retenção e Exclusão de Dados

Os dados pessoais tratados no âmbito deste acordo são retidos por um período de 5 (cinco) anos a partir da data de criação do relato. Após esse período, os dados são permanentemente excluídos de forma automatizada, incluindo o conteúdo do relato, arquivos de evidência e dados pessoais do denunciante. Um registro mínimo de exclusão (número de protocolo e data) é mantido para fins de auditoria.

Direitos dos Titulares

Denunciantes identificados podem exercer seus direitos previstos no Artigo 18 da LGPD (acesso, correção, eliminação) entrando em contato com o Encarregado de Dados (DPO) da Ethos. O Operador auxiliará o Controlador no processamento dessas solicitações, verificando a identidade do titular antes de qualquer ação.

Notificação de Incidentes

Em caso de incidente de segurança envolvendo dados pessoais, a Ethos notificará o Controlador no prazo máximo de 48 horas, informando: a natureza do incidente, os dados potencialmente afetados, as medidas tomadas para mitigação e as recomendações para proteção dos titulares.