Acordo Controlador–Operador
Lei n.º 13.709/2018 (LGPD) — Arts. 7.º, 39 e 46
CONTROLADOR: [NOME COMPLETO DO ÓRGÃO PÚBLICO], CNPJ n.º [XX.XXX.XXX/XXXX-XX], responsável pelas decisões referentes ao tratamento de dados pessoais de seus servidores, colaboradores e jurisdicionados, doravante denominado CONTROLADOR.
OPERADOR: FELIPE PALAVRO MORO, CNPJ n.º 65.712.057/0001-69, que trata dados pessoais em nome do CONTROLADOR para fins de prestação dos serviços da plataforma Lei na Mão, doravante denominado OPERADOR.
CLÁUSULA 1ª — DEFINIÇÕES
Para fins deste Adendo, adotam-se as definições da LGPD (art. 5.º), em especial:
I. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, incluindo nome, e-mail, CPF, OAB, cargo e dados funcionais;
II. Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, consulta, uso, transmissão, arquivamento ou eliminação);
III. Controlador: pessoa jurídica que toma as decisões sobre o tratamento de dados — o CONTRATANTE;
IV. Operador: pessoa jurídica que realiza o tratamento em nome do controlador — a CONTRATADA/Lei na Mão;
V. Titular: pessoa natural a quem se referem os dados pessoais tratados;
VI. Encarregado (DPO): pessoa indicada pelo operador para atuar como canal de comunicação com a ANPD.
CLÁUSULA 2ª — CATEGORIAS DE DADOS TRATADOS
No âmbito da execução contratual, o OPERADOR poderá tratar as seguintes categorias de dados pessoais:
| Categoria | Dados específicos | Finalidade |
|---|---|---|
| Identificação | Nome, e-mail, CPF, OAB | Autenticação e acesso à plataforma |
| Profissionais | Cargo, área de atuação | Personalização e suporte |
| Funcionais | Logs de uso, histórico de pesquisas | Funcionalidade e melhoria do serviço |
| Localização aproximada | Cidade/Estado (via IP) | Segurança e analytics agregado |
| Documentos | Peças processuais, contratos (se carregados) | Assinatura digital e IA |
2.1. Dados sensíveis: A plataforma não solicita nem armazena dados sensíveis (art. 5.º, II LGPD), tais como origem racial, saúde, biometria ou orientação sexual. Documentos eventualmente carregados pelo usuário e que contenham dados sensíveis são de responsabilidade exclusiva do CONTROLADOR.
CLÁUSULA 3ª — BASES LEGAIS DO TRATAMENTO
O tratamento dos dados pessoais pelo OPERADOR fundamenta-se nas seguintes bases legais da LGPD:
I. Execução de contrato (art. 7.º, V): autenticação, acesso aos serviços, monitoramento de processos, envio de notificações e suporte técnico;
II. Legítimo interesse (art. 7.º, IX): logs de segurança, prevenção a fraudes e melhoria dos serviços, observado o art. 10 da LGPD;
III. Cumprimento de obrigação legal (art. 7.º, II): retenção de registros fiscais pelo prazo legal de 5 anos.
CLÁUSULA 4ª — OBRIGAÇÕES DO OPERADOR
O OPERADOR compromete-se a:
I. Tratar dados pessoais exclusivamente conforme as instruções documentadas do CONTROLADOR e para as finalidades previstas neste Adendo;
II. Implementar e manter medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo: criptografia TLS 1.2+ em trânsito, AES-256 em repouso, controles de acesso por perfil (RBAC) e autenticação segura;
III. Garantir que apenas pessoas autorizadas e que assumam obrigações de confidencialidade tenham acesso aos dados;
IV. Assistir o CONTROLADOR no cumprimento das obrigações relativas aos direitos dos titulares (arts. 17 a 22 LGPD), respondendo às solicitações em até 15 (quinze) dias úteis;
V. Notificar o CONTROLADOR em até 48 (quarenta e oito) horas após ter conhecimento de qualquer incidente de segurança que possa resultar em risco ou dano aos titulares, fornecendo as informações previstas no art. 48 da LGPD;
VI. Não subcontratar o tratamento de dados pessoais a terceiros sem autorização prévia por escrito do CONTROLADOR, exceto pelos suboperadores listados na Cláusula 6;
VII. Não transferir dados pessoais para países que não forneçam nível de proteção adequado, salvo nas hipóteses do art. 33 da LGPD;
VIII. Manter registro das operações de tratamento conforme art. 37 da LGPD;
IX. Cooperar com auditorias de conformidade realizadas pelo CONTROLADOR ou por terceiro por ele designado, com aviso prévio de 10 (dez) dias úteis.
CLÁUSULA 5ª — DIREITOS DOS TITULARES
5.1. Os titulares de dados podem exercer seus direitos (art. 18 LGPD) diretamente pelo painel da plataforma ou pelo e-mail privacidade@leinamao.com.br.
5.2. São garantidos aos titulares os seguintes direitos:
I. Confirmação da existência de tratamento;
II. Acesso aos dados;
III. Correção de dados incompletos, inexatos ou desatualizados;
IV. Anonimização, bloqueio ou eliminação de dados desnecessários;
V. Portabilidade dos dados a outro fornecedor;
VI. Eliminação dos dados pessoais tratados com consentimento;
VII. Revogação do consentimento;
VIII. Revisão de decisões automatizadas.
5.3. O OPERADOR responderá às solicitações de titulares encaminhadas pelo CONTROLADOR em até 15 (quinze) dias úteis, podendo prorrogar por igual período mediante justificativa.
CLÁUSULA 6ª — SUBOPERADORES (SUB-PROCESSADORES)
6.1. O CONTROLADOR autoriza o OPERADOR a utilizar os seguintes suboperadores, que estão sujeitos às mesmas obrigações de proteção de dados deste Adendo:
| Suboperador | Finalidade | País | Adequação |
|---|---|---|---|
| Supabase Inc. | Banco de dados, autenticação e armazenamento | EUA (AWS us-east-1) | SCCs / Cláusulas Padrão |
| Vercel Inc. | Hospedagem da aplicação | EUA / Global CDN | SCCs / Cláusulas Padrão |
| Anthropic PBC | IA conversacional (Claude) — apenas metadados de uso | EUA | SCCs / Cláusulas Padrão |
| OpenAI LLC | Geração de embeddings para busca semântica | EUA | SCCs / Cláusulas Padrão |
| Resend Inc. | Envio de e-mails transacionais | EUA | SCCs / Cláusulas Padrão |
6.2. O OPERADOR notificará o CONTROLADOR com antecedência mínima de 30 (trinta) dias antes de incluir novos suboperadores, garantindo ao CONTROLADOR o direito de objeção fundamentada.
CLÁUSULA 7ª — SEGURANÇA DAS INFORMAÇÕES
O OPERADOR mantém as seguintes medidas de segurança técnicas e organizacionais:
🔐 Criptografia
TLS 1.2+ em trânsito · AES-256 em repouso
🔑 Controle de acesso
RBAC por perfil · MFA disponível · RLS no banco
📋 Auditoria
Logs de acesso com retenção de 6 meses
🔄 Backup
Backups automáticos diários com retenção de 30 dias
🛡️ Vulnerabilidades
Monitoramento contínuo · Patches em até 72h (críticos)
👥 Equipe
Acesso mínimo necessário · Treinamento em LGPD
CLÁUSULA 8ª — RETENÇÃO E EXCLUSÃO DE DADOS
8.1. Os dados pessoais serão retidos pelo OPERADOR pelo período estritamente necessário à execução contratual, observados os seguintes prazos:
I. Dados de conta e uso: pelo prazo de vigência do contrato, acrescido de 90 (noventa) dias para exportação;
II. Registros fiscais: 5 (cinco) anos, conforme art. 195 do CTN;
III. Logs de segurança: 6 (seis) meses, conforme art. 15 do Marco Civil da Internet.
8.2. Após o encerramento do contrato, o OPERADOR disponibilizará os dados para exportação pelo prazo de 30 (trinta) dias corridos, findo o qual procederá à exclusão definitiva e irreversível, fornecendo certificado de exclusão ao CONTROLADOR.
8.3. O CONTROLADOR poderá solicitar a exclusão antecipada dos dados a qualquer tempo, mediante comunicação formal ao e-mail privacidade@leinamao.com.br, observado o prazo de 15 dias úteis para execução.
CLÁUSULA 9ª — INCIDENTES DE SEGURANÇA
9.1. Em caso de incidente de segurança que possa acarretar risco ou dano aos titulares, o OPERADOR deverá:
I. Notificar o CONTROLADOR em até 48 (quarenta e oito) horas após tomar ciência do incidente, informando: natureza dos dados afetados, titulares envolvidos, medidas técnicas adotadas e medidas de mitigação;
II. Cooperar com o CONTROLADOR na comunicação à ANPD, quando exigível (art. 48 LGPD);
III. Investigar a causa do incidente e adotar medidas corretivas para evitar recorrência;
IV. Fornecer relatório completo ao CONTROLADOR em até 10 (dez) dias após o incidente.
CLÁUSULA 10ª — ENCARREGADO DE DADOS (DPO)
10.1. O OPERADOR designa como Encarregado de Dados (DPO), nos termos do art. 41 da LGPD:
Encarregado de Dados — Lei na Mão
E-mail: privacidade@leinamao.com.br
Prazo de resposta: até 15 dias úteis
Disponibilidade: dias úteis, 08h às 18h (horário de Brasília)
10.2. O CONTROLADOR deverá igualmente designar seu próprio encarregado de dados, nos termos do art. 41 da LGPD, quando aplicável.
CLÁUSULA 11ª — DISPOSIÇÕES FINAIS
11.1. Este Adendo é celebrado pelo mesmo prazo do Contrato de Prestação de Serviços, prorrogando-se automaticamente quando o contrato for prorrogado.
11.2. Em caso de conflito entre este Adendo e o Contrato principal, prevalecerão as disposições deste Adendo no que se refere à proteção de dados pessoais.
11.3. O OPERADOR se compromete a atualizar este Adendo sempre que houver alterações relevantes na forma de tratamento dos dados, com comunicação prévia de 30 (trinta) dias ao CONTROLADOR.
11.4. Este instrumento é regido pela Lei n.º 13.709/2018 (LGPD) e demais normas de proteção de dados aplicáveis. Fica eleito o foro da Comarca de [MUNICÍPIO/UF DO CONTROLADOR] para dirimir eventuais conflitos.
[LOCAL], [DIA] de [MÊS] de [ANO].
CONTROLADOR
[NOME DO REPRESENTANTE]
[CARGO]
[ÓRGÃO PÚBLICO]
OPERADOR
FELIPE PALAVRO MORO
CNPJ 65.712.057/0001-69