Acordo de Processamento de Dados (DPA)

Termos de processamento de dados compatíveis com o GDPR

Última atualização: April 19, 2026

Visão Geral do DPA

1Você (o cliente) é o Controlador de Dados - você determina finalidades e meios de processamento.
2Nós somos o Processador de Dados - processamos dados apenas sob suas instruções.
3Nenhuma retenção de documentos - documentos excluídos imediatamente após o processamento
4A criptografia específica para o cliente protege SEU dado com SUAS chaves exclusivas
5Serviços de IA terceirizados certificados SOC 2 sob obrigações contratuais de proteção de dados
6Nós auxiliamos com todos os direitos do titular de dados do GDPR (acesso, exclusão, portabilidade, etc.)
7Cláusulas Contratuais Padrão (SCCs) para transferências de dados EU-para-USA

Finalidade do Acordo

Este Acordo de Processamento de Dados (DPA) faz parte dos Termos de Serviço e regula o processamento de dados pessoais de acordo com o GDPR e outras leis de proteção de dados aplicáveis.

Papéis e Responsabilidades

Você (o Cliente) = Controlador de Dados

Você determina propósitos e meios de processamento

Determine quais documentos de empréstimo processar e para qual propósito

Tome decisões de empréstimo com base nos dados extraídos

Garanta a base legal para o processamento conforme o Artigo 6 do GDPR

Obtenha os consentimentos necessários dos titulares dos dados (tomadores)

Forneça avisos de privacidade aos tomadores

Garanta conformidade com FCRA, ECOA e leis de empréstimo justo

Trate solicitações de direitos dos titulares de dados (acesso, exclusão, etc.)

Nós (LoanIntelligence.ai) = Processador de Dados

Nós processamos dados apenas conforme suas instruções

Processar dados pessoais SOMENTE conforme suas instruções (via API calls)

Não tome decisões de empréstimo nem determine resultados de empréstimos

Atue apenas como provedor de serviços técnicos para processamento de dados

Implemente medidas de segurança apropriadas para proteger seus dados

Envolva sub-processadores em conformidade com este DPA

Apoie solicitações de direitos dos titulares de dados e notificações de violação

Exclua ou devolva dados pessoais após a rescisão

Escopo de Processamento

Propósito do Processamento

Extraia dados estruturados de documentos de empréstimo para análise de precisão e qualidade dos dados, realize cálculos financeiros (DSCR, LTV, P&I, NOI), garanta a qualidade dos dados por meio de algoritmos proprietários e sistemas de sinal, e sincronize os resultados com seu Google Sheets (se autorizado)

Tipos de Dados Pessoais

Nomes de tomadores, endereços, SSNs, TINs, dados financeiros (renda, ativos, passivos), informações de emprego, dados de propriedade e detalhes de transações de empréstimo. IMPORTANTE: Nós NÃO retemos dados pessoais além do processamento efêmero (durante cada execução de processamento). Todos os dados persistentes são criptografados e armazenados em YOUR Google Drive AppData

Titulares de Dados

Candidatos a empréstimo, co-tomadores, co-firmantes, proprietários de propriedade, garantidores e proprietários de empresas (para empréstimos comerciais).

Instruções de Processamento

Atividades Permitidas

Extrair texto de documentos de empréstimo (OCR)

Classificar documentos por tipo (holerites, extratos bancários, declarações de imposto, etc.)

Extrair campos de dados estruturados (nomes, valores, datas, endereços)

Realizar cálculos e validações financeiras

Garantir precisão e qualidade dos dados por meio de algoritmos proprietários e sistemas de sinalização

Exportar resultados para o seu Google Sheets (se autorizado)

Cachear temporariamente os resultados de processamento (criptografado, isolado por cliente) para otimização de custos

Atividades Proibidas

Usar dados pessoais para nossos próprios propósitos

Compartilhar dados pessoais com terceiros (exceto sub-processadores autorizados)

Usar dados pessoais para treinamento de IA ou análises

Manter dados pessoais além da conclusão do processamento (retenção zero)

Processar dados pessoais fora do escopo de suas instruções

Subprocessadores

Terceiros que usamos para fornecer o serviço

Serviços de IA de Terceiros

Finalidade: Processamento de documentos (OCR, classificação, extração)

Localização: EUA

Medidas de Segurança: SOC 2 Tipo I e Tipo II certificados, DPAs em vigor, dados criptografados em trânsito, proibido contratualmente usar seus dados para treinamento

Google LLC

Finalidade: OAuth autenticação, Drive API, Sheets API

Localização: EUA (sua escolha)

Medidas de Segurança: SOC 2 Tipo II, ISO 27001, Cláusulas Contratuais Padrão (SCCs)

Stripe Inc.

Finalidade: Processamento de pagamento (e-mail, ID do cliente apenas - sem cartões de crédito)

Localização: Operações nos EUA / Reino Unido

Medidas de Segurança: Comerciante de Registro, controles contratuais de privacidade e segurança

Fornecedor de Infraestrutura em Nuvem

Finalidade: Hospedagem e computação

Localização: EUA

Medidas de Segurança: Centros de dados certificados SOC 2 Tipo II

Utilizamos algoritmos proprietários e sistemas de sinal combinados com serviços de IA de terceiros certificados SOC 2. Todos os sub-processadores operam sob obrigações contratuais de proteção de dados.

Alterações nos Sub-Processadores

Notificaremos você 30 dias antes de quaisquer alterações nos sub-processadores. Você pode se opor por razões razoáveis de proteção de dados dentro de 14 dias.

Assistência de Direitos dos Titulares de Dados

Como nós ajudamos você a cumprir as obrigações do GDPR

Direito de Acesso (Artigo 15)

Fornecemos exportação de dados em formato JSON dentro de 30 dias após sua solicitação.

Direito de Retificação (Artigo 16)

Atualizamos dados incorretos mediante sua solicitação.

Direito de Exclusão / Direito de ser Esquecido (Artigo 17)

Excluímos todos os dados pessoais dentro de 24 horas após sua solicitação.

Direito de Restrição de Processamento (Artigo 18)

Suspenderemos o processamento mediante sua solicitação.

Direito à Portabilidade de Dados (Artigo 20)

Fornecemos dados em formato JSON estruturado e legível por máquina.

Direito de Oposição (Artigo 21)

Permitemos a opção de não participar de processamento não essencial.

Direitos Relacionados à Tomada de Decisão Automatizada (Artigo 22)

Fornecemos transparência sobre a lógica de processamento de IA e garantimos a qualidade dos dados.

Processo de Solicitação

Se recebermos uma solicitação de sujeito de dados, encaminhamos a você em até 2 dias úteis. Você é responsável por responder ao sujeito de dados (em até 30 dias conforme o GDPR). Ajudamos fornecendo exportações, exclusões ou correções de dados necessárias em até 7 dias úteis após sua solicitação.

Benefícios de Retenção Zero

Devido à nossa arquitetura de retenção zero: (1) Dados pessoais em documentos de empréstimo NÃO são retidos (processamento efêmero), (2) Dados extraídos são armazenados APENAS no seu Google Drive AppData (encriptado), (3) Solicitações de sujeitos de dados podem ser atendidas excluindo sua conta (limpa todos os nossos sistemas em 24 horas) ou excluindo manualmente os dados do seu próprio Google Drive.

Medidas de Segurança

Como protegemos seus dados

Encriptação

Encriptação HTTPS/TLS 1.3 para todas as solicitações API e conexões de terceiros

Encriptação específica do cliente: Cada cliente tem chaves de encriptação AES-256-GCM únicas

Rotação automática de chaves: chaves de armazenamento são rotacionadas após cada execução de processamento

Cache de IA criptografado: Todas as entradas de cache criptografadas com chaves isoladas do cliente

OAuth tokens encriptados em repouso (AES-256-GCM)

Encriptação de banco de dados em repouso para dados de conta

Controles de Acesso

Princípio do menor privilégio: Funcionários têm acesso mínimo necessário para sua função

Controle de acesso baseado em função (RBAC) com funções de administrador, desenvolvedor e suporte

Autenticação multifator (2FA) exigida para todo acesso administrativo

Registros de auditoria: Todo acesso administrativo é registrado e monitorado

Arquitetura de Retenção Zero

Documentos processados na memória durante cada execução, em seguida excluídos imediatamente

Documentos de empréstimo NÃO são retidos em nossa infraestrutura

Resultados do processamento armazenados APENAS no seu Google Drive (encriptado com suas chaves)

View Full Security Policy

Notificação de Violação de Dados

Resposta Imediata (dentro de 1 hora)

Contenção da violação, avaliação de escopo e impacto, iniciar investigação.

Notificação ao Controlador (dentro de 72 horas)

Enviar-lhe e‑mail com detalhes preliminares (natureza da violação, dados afetados, impacto estimado).

Relatório Completo (dentro de 7 dias)

Relatório detalhado do incidente incluindo descrição, sujeitos de dados/registradores afetados, consequências, medidas de remediação e recomendações.

Nós Ajudamos Você com

Notificando as autoridades de supervisão dentro de 72 horas (Artigo 33 da GDPR)

Comunicar a violação aos sujeitos de dados afetados (Artigo GDPR 34)

Condução de investigação forense

Implementação de medidas de remediação

Status da Violação

À partir de November 14, 2025: Zero violações de dados pessoais, zero incidentes de acesso não autorizado, zero compromissos de chaves de criptografia. Nossa arquitetura de zero‑retenção minimiza a exposição (os documentos existem apenas durante a execução do processamento), a criptografia específica do cliente isola os clientes (a violação de um NÃO afeta os outros), e a rotação automática de chaves limita o impacto (a chave comprometida é válida apenas para uma execução de processamento).

Transferências Internacionais de Dados (UE para EUA)

Cláusulas Contratuais Padrão (SCCs)

Confiamos em Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão (EU) 2021/914, Módulo Dois: transferências de Controlador para Processador).

Medidas Técnicas Adicionais

Criptografia específica do cliente: dados criptografados com chaves únicas do cliente (desconhecidas por nós)

Rotação automática de chaves: chaves de armazenamento são rotacionadas após cada execução de processamento

Zero retenção de documentos: Documentos NÃO armazenados em nossa infraestrutura

Cache AI criptografado: entradas de cache criptografadas com chaves isoladas por cliente

Proibições contratuais: Sub‑processadores proibidos de divulgar dados aos governos (exceto quando exigido por lei)

Solicitações de Acesso do Governo dos EUA

Somos sujeitos às leis de vigilância dos EUA (FISA, CLOUD Act). No entanto, nossa arquitetura zero-knowledge garante que, mesmo se for compelido a divulgar dados, não podemos decodificar seus dados sem as chaves (armazenadas em SEU Google Drive). A retenção zero de documentos significa que há dados mínimos disponíveis para divulgar. Notificaremos você de solicitações governamentais (salvo se proibido por lei) e contestaremos solicitações excessivas ou ilegais. Até o momento: Nenhuma solicitação de dados governamentais recebida (até 14 de novembro de 2025).

Exclusão de Dados ao Encerrar

Dentro de 24 Horas

Excluir todos os dados pessoais de nossos sistemas

Excluir entradas de cache de IA criptografadas

Revogar OAuth tokens (Google Drive acesso)

Purgar informações da conta do banco de dados de produção

Dentro de 30 Dias

Excluir todos os dados pessoais de backups criptografados e sobrescrever os dados excluídos (exclusão segura).

Certificado de Exclusão

Por solicitação, fornecemos um Certificado de Exclusão confirmando a data de exclusão, categorias de dados excluídos e métodos de exclusão segura utilizados.

Direitos de Auditoria

Seus Direitos de Auditoria

Você pode auditar nossa conformidade com este DPA uma vez por ano (30 dias de antecedência necessários). As auditorias devem ser não disruptivas, durante o horário comercial, e estar sujeitas a acordo de confidencialidade. Você arca com todos os custos de auditoria.

Relatórios de Auditoria de Terceiros

Em vez de auditoria direta, você pode revisar nosso relatório SOC 2 Tipo II (quando disponível), relatórios de auditoria de segurança de terceiros ou solicitar respostas escritas a questionários padronizados.

Limitação de Responsabilidade

Sob o Artigo 82 do GDPR, somos responsáveis por danos causados por processamento que viole as obrigações do GDPR para Processadores ou quando atuamos fora ou em contrapartida às suas instruções legais. Nossa responsabilidade total é limitada aos valores especificados nos Termos de Serviço, exceto por negligência grosseira, conduta intencional ou responsabilidade que não pode ser limitada por lei.

Precisa de ajuda?

Precisa de Ajuda com esta DPA?

Para perguntas relacionadas a GDPR, SCC ou DPA, envie um e-mail para nossa equipe jurídica em [email protected].

[email protected]

Respondemos em um dia útil.