Acordo de Processamento de Dados
Data Processing Agreement (DPA) · Última atualização: 15 de maio de 2026
Para quem este documento se aplica
Este DPA formaliza a relação de processamento de dados entre o RCGAD (operador) e você, cliente anunciante (controlador). Destina-se a clientes que precisam demonstrar conformidade com a LGPD perante seus próprios clientes, auditores ou autoridades. Para clientes nos planos Agência, Enterprise e Enterprise Pro, este DPA está incorporado aos Termos de Uso mediante aceite dos mesmos.
1. Definições
- Controlador
- Você, o cliente anunciante que contratou o RCGAD e determina as finalidades e os meios do tratamento dos dados coletados no seu site.
- Operador
- RCGAD (Rafael Camara), que trata dados pessoais em nome e conforme as instruções do Controlador.
- Suboperador
- Terceiro autorizado pelo RCGAD para processar dados em seu nome (ex.: Supabase, Vercel). Lista em Anexo A.
- Dados Pessoais
- Qualquer informação relacionada a pessoa natural identificada ou identificável (Art. 5, I LGPD).
- Titular
- Os visitantes do site do Controlador cujos dados são coletados pelo pixel RCGAD.
- LGPD
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais.
2. Objeto e Instruções de Tratamento
O RCGAD, na qualidade de Operador, trata os dados pessoais dos titulares (visitantes do site do Controlador) exclusivamente para:
- ·Detectar e classificar tráfego inválido (bots, cliques fraudulentos)
- ·Gerar e manter a blacklist de IPs para sincronização com Meta Ads e Google Ads
- ·Calcular o ROAS real ajustado por tráfego válido
- ·Gravar sessões de visitantes suspeitos para análise forense (score < 30)
- ·Produzir relatórios mensais de investimento e desperdício estimado
O RCGAD não tratará os dados para nenhuma outra finalidade sem instrução escrita do Controlador, exceto quando obrigado por lei.
3. Categorias de Dados e Titulares
| Categoria de dado | Titulares | Retenção |
|---|---|---|
| Endereço IP | Visitantes do site do Controlador | 90 dias |
| User-Agent do navegador | Visitantes do site do Controlador | 90 dias |
| Comportamento de navegação (scroll, mouse, tempo) | Visitantes do site do Controlador | 90 dias |
| UTM parameters (origem da campanha) | Visitantes do site do Controlador | 90 dias |
| Gravação de sessão (apenas suspeitos) | Visitantes classificados como suspeitos | 30 dias |
4. Obrigações do Operador (RCGAD)
- ·Tratar os dados somente conforme as instruções documentadas do Controlador e este DPA
- ·Implementar medidas técnicas e organizacionais adequadas (Art. 46 LGPD): TLS em trânsito, AES-256 em repouso, RLS por usuário no banco
- ·Notificar o Controlador em até 48 horas após tomar conhecimento de incidente de segurança que possa afetar os dados tratados
- ·Auxiliar o Controlador no atendimento de solicitações de direitos dos titulares, na medida do razoável
- ·Excluir ou devolver os dados ao Controlador ao término da relação contratual
- ·Disponibilizar informações necessárias para demonstrar conformidade e permitir auditorias
- ·Não subcontratar novo suboperador sem informar o Controlador com 15 dias de antecedência
5. Obrigações do Controlador
- ·Ter base legal adequada para o tratamento dos dados dos visitantes do seu site
- ·Informar os visitantes sobre o uso do RCGAD na sua política de privacidade
- ·Não instruir o RCGAD a tratar dados de forma ilegal ou contrária à LGPD
- ·Notificar o RCGAD imediatamente caso tome conhecimento de incidente de segurança em seus sistemas que possa afetar os dados processados
6. Suboperadores Autorizados
O Controlador autoriza o RCGAD a utilizar os seguintes suboperadores (Anexo A). O RCGAD é responsável pelos atos dos suboperadores na mesma medida em que é responsável pelos seus próprios atos:
| Suboperador | Localização | Finalidade |
|---|---|---|
| Supabase | EUA (AWS us-east-1) | Banco de dados PostgreSQL e autenticação |
| Vercel | EUA / Edge Global | Execução do código e CDN |
| Meta Ads API | Global | Sincronização de blacklist de IPs |
| Google Ads API | Global | Sincronização de exclusões de IPs |
| Sentry | EUA | Monitoramento de erros (sem PII de visitantes) |
7. Transferência Internacional de Dados
Dados podem ser transferidos para servidores nos EUA no âmbito dos suboperadores listados no Anexo A. A base legal para transferência internacional é a existência de Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia, reconhecidas como salvaguarda adequada pelo ANPD (Art. 33, II, c LGPD).
8. Incidentes de Segurança
Em caso de incidente que comprometa a confidencialidade, integridade ou disponibilidade dos dados tratados, o RCGAD:
- ·Notificará o Controlador por e-mail em até 48 horas após tomar conhecimento
- ·Incluirá na notificação: natureza do incidente, categorias e quantidade estimada de registros afetados, possíveis consequências e medidas tomadas
- ·Colaborará com o Controlador na notificação à ANPD, se aplicável
9. Encerramento e Exclusão de Dados
Ao término do contrato (cancelamento, inadimplência ou exclusão de conta), o RCGAD excluirá todos os dados do Controlador em até 30 dias. Logs de auditoria relacionados ao Controlador serão mantidos por 5 anos, conforme obrigação legal.
O Controlador pode solicitar exportação dos dados antes do encerramento via Configurações > Exportar meus dados ou pelo e-mail privacidade@rcgad.com.
10. Vigência e Aceite
Este DPA entra em vigor no momento da aceitação dos Termos de Uso do RCGAD e permanece em vigor enquanto durar a relação contratual. Para formalização adicional em papel (ex.: necessidade de assinatura para auditorias internas), solicite via privacidade@rcgad.com.