Enterprise / Agência

Acordo de Processamento de Dados

Data Processing Agreement (DPA) · Última atualização: 15 de maio de 2026

Para quem este documento se aplica

Este DPA formaliza a relação de processamento de dados entre o RCGAD (operador) e você, cliente anunciante (controlador). Destina-se a clientes que precisam demonstrar conformidade com a LGPD perante seus próprios clientes, auditores ou autoridades. Para clientes nos planos Agência, Enterprise e Enterprise Pro, este DPA está incorporado aos Termos de Uso mediante aceite dos mesmos.

1. Definições

Controlador
Você, o cliente anunciante que contratou o RCGAD e determina as finalidades e os meios do tratamento dos dados coletados no seu site.
Operador
RCGAD (Rafael Camara), que trata dados pessoais em nome e conforme as instruções do Controlador.
Suboperador
Terceiro autorizado pelo RCGAD para processar dados em seu nome (ex.: Supabase, Vercel). Lista em Anexo A.
Dados Pessoais
Qualquer informação relacionada a pessoa natural identificada ou identificável (Art. 5, I LGPD).
Titular
Os visitantes do site do Controlador cujos dados são coletados pelo pixel RCGAD.
LGPD
Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais.

2. Objeto e Instruções de Tratamento

O RCGAD, na qualidade de Operador, trata os dados pessoais dos titulares (visitantes do site do Controlador) exclusivamente para:

  • ·Detectar e classificar tráfego inválido (bots, cliques fraudulentos)
  • ·Gerar e manter a blacklist de IPs para sincronização com Meta Ads e Google Ads
  • ·Calcular o ROAS real ajustado por tráfego válido
  • ·Gravar sessões de visitantes suspeitos para análise forense (score < 30)
  • ·Produzir relatórios mensais de investimento e desperdício estimado

O RCGAD não tratará os dados para nenhuma outra finalidade sem instrução escrita do Controlador, exceto quando obrigado por lei.

3. Categorias de Dados e Titulares

Categoria de dadoTitularesRetenção
Endereço IPVisitantes do site do Controlador90 dias
User-Agent do navegadorVisitantes do site do Controlador90 dias
Comportamento de navegação (scroll, mouse, tempo)Visitantes do site do Controlador90 dias
UTM parameters (origem da campanha)Visitantes do site do Controlador90 dias
Gravação de sessão (apenas suspeitos)Visitantes classificados como suspeitos30 dias

4. Obrigações do Operador (RCGAD)

  • ·Tratar os dados somente conforme as instruções documentadas do Controlador e este DPA
  • ·Implementar medidas técnicas e organizacionais adequadas (Art. 46 LGPD): TLS em trânsito, AES-256 em repouso, RLS por usuário no banco
  • ·Notificar o Controlador em até 48 horas após tomar conhecimento de incidente de segurança que possa afetar os dados tratados
  • ·Auxiliar o Controlador no atendimento de solicitações de direitos dos titulares, na medida do razoável
  • ·Excluir ou devolver os dados ao Controlador ao término da relação contratual
  • ·Disponibilizar informações necessárias para demonstrar conformidade e permitir auditorias
  • ·Não subcontratar novo suboperador sem informar o Controlador com 15 dias de antecedência

5. Obrigações do Controlador

  • ·Ter base legal adequada para o tratamento dos dados dos visitantes do seu site
  • ·Informar os visitantes sobre o uso do RCGAD na sua política de privacidade
  • ·Não instruir o RCGAD a tratar dados de forma ilegal ou contrária à LGPD
  • ·Notificar o RCGAD imediatamente caso tome conhecimento de incidente de segurança em seus sistemas que possa afetar os dados processados

6. Suboperadores Autorizados

O Controlador autoriza o RCGAD a utilizar os seguintes suboperadores (Anexo A). O RCGAD é responsável pelos atos dos suboperadores na mesma medida em que é responsável pelos seus próprios atos:

SuboperadorLocalizaçãoFinalidade
SupabaseEUA (AWS us-east-1)Banco de dados PostgreSQL e autenticação
VercelEUA / Edge GlobalExecução do código e CDN
Meta Ads APIGlobalSincronização de blacklist de IPs
Google Ads APIGlobalSincronização de exclusões de IPs
SentryEUAMonitoramento de erros (sem PII de visitantes)

7. Transferência Internacional de Dados

Dados podem ser transferidos para servidores nos EUA no âmbito dos suboperadores listados no Anexo A. A base legal para transferência internacional é a existência de Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia, reconhecidas como salvaguarda adequada pelo ANPD (Art. 33, II, c LGPD).

8. Incidentes de Segurança

Em caso de incidente que comprometa a confidencialidade, integridade ou disponibilidade dos dados tratados, o RCGAD:

  • ·Notificará o Controlador por e-mail em até 48 horas após tomar conhecimento
  • ·Incluirá na notificação: natureza do incidente, categorias e quantidade estimada de registros afetados, possíveis consequências e medidas tomadas
  • ·Colaborará com o Controlador na notificação à ANPD, se aplicável

9. Encerramento e Exclusão de Dados

Ao término do contrato (cancelamento, inadimplência ou exclusão de conta), o RCGAD excluirá todos os dados do Controlador em até 30 dias. Logs de auditoria relacionados ao Controlador serão mantidos por 5 anos, conforme obrigação legal.

O Controlador pode solicitar exportação dos dados antes do encerramento via Configurações > Exportar meus dados ou pelo e-mail privacidade@rcgad.com.

10. Vigência e Aceite

Este DPA entra em vigor no momento da aceitação dos Termos de Uso do RCGAD e permanece em vigor enquanto durar a relação contratual. Para formalização adicional em papel (ex.: necessidade de assinatura para auditorias internas), solicite via privacidade@rcgad.com.