Acordo de tratamento de dados (DPA)
Acordo de Tratamento de Dados (DPA)
- Versão:
- 2026.04
- Em vigor desde:
- 01 de abril de 2026
Este Adendo de Tratamento de Dados (“DPA”) é parte integrante e indissociável do Contrato de Prestação de Serviços (“MSA”) firmado entre a Glivo LLC (“Glivo”) e o Cliente identificado no Pedido. O DPA disciplina o tratamento de dados pessoais realizado pela Glivo em nome do Cliente no contexto da prestação dos Serviços.
Em caso de conflito entre este DPA e o MSA no que se refere ao tratamento de dados pessoais, prevalecem as disposições deste DPA.
1. Objeto e papéis das Partes
1.1 Escopo
A Glivo poderá tratar dados pessoais (“Dados do Cliente”) em nome do Cliente como parte da prestação dos Serviços. Este DPA disciplina tal tratamento, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, “LGPD”) e demais legislações aplicáveis de proteção de dados (em conjunto, “Leis de Proteção de Dados”).
1.2 Papéis
a. O Cliente atua como Controlador dos Dados do Cliente, sendo o responsável pelas decisões sobre finalidade e meios essenciais do tratamento;
b. A Glivo atua como Operadora, tratando os Dados do Cliente exclusivamente conforme as instruções documentadas do Cliente, conforme definido neste DPA, no MSA e nas configurações disponibilizadas pelos Serviços;
c. Para os dados de cadastro de Administradores e gestores diretamente coletados pela Glivo (nome, e-mail de login, dados de autenticação), a Glivo atua como Controladora, observados os termos da sua Política de Privacidade.
1.3 Detalhes do tratamento
Os detalhes sobre natureza, finalidade, duração, categorias de dados e titulares estão descritos no Anexo I deste DPA.
2. Obrigações da Glivo (como Operadora)
2.1 Tratamento conforme instruções
A Glivo tratará os Dados do Cliente apenas conforme as instruções documentadas do Cliente, salvo quando outra obrigação legal exigir tratamento diverso, hipótese em que a Glivo informará o Cliente previamente, exceto quando a lei vedar tal comunicação.
São consideradas instruções documentadas do Cliente:
a. Os termos do MSA, deste DPA e do Pedido; b. As configurações realizadas pelo Cliente nas ferramentas administrativas dos Serviços (papéis, permissões, retenção, métricas); c. Solicitações específicas formalizadas por escrito pelo Cliente.
2.2 Aviso ao Cliente
A Glivo notificará o Cliente sem demora, na medida em que a lei o permita, caso:
a. Considere que uma instrução do Cliente viola Lei de Proteção de Dados; b. Receba solicitação juridicamente vinculante de divulgação dos Dados do Cliente por autoridade pública.
2.3 Confidencialidade
A Glivo garantirá que toda pessoa autorizada a tratar Dados do Cliente esteja sujeita a obrigação contratual ou legal de confidencialidade apropriada, e tenha recebido treinamento adequado sobre proteção de dados.
2.4 Segurança
A Glivo implementará e manterá as medidas técnicas e organizacionais descritas no Anexo II deste DPA, dimensionadas para proteger os Dados do Cliente contra acesso não autorizado, perda, alteração, destruição ou divulgação acidental ou ilícita.
A Glivo poderá atualizar tais medidas para refletir evolução tecnológica e melhores práticas, desde que o nível geral de proteção não seja reduzido materialmente.
2.5 Anonimização automática (PII)
Como medida adicional de segurança e privacidade, a Glivo aplica, antes da disponibilização das transcrições aos gestores do Cliente, anonimização automática de:
- Nomes próprios (de pessoas físicas e empresas terceiras);
- CPF, CNPJ;
- Telefones e e-mails;
- Endereços e localizações.
A anonimização combina algoritmos de expressão regular e modelos de linguagem. A Glivo adota esforços razoáveis para que a anonimização seja efetiva, sem garantia absoluta de remoção em todos os casos, dada a natureza probabilística do processo.
2.6 Solicitações de titulares
A Glivo, na medida em que for legalmente permitido, notificará o Cliente caso receba diretamente solicitação de exercício de direitos de titular relativa a Dados do Cliente.
A Glivo não responderá a tais solicitações sem autorização prévia do Cliente, exceto quando o Cliente houver autorizado, na configuração dos Serviços, o redirecionamento automático ao Cliente.
A Glivo, considerando a natureza do tratamento e na medida do tecnicamente possível, auxiliará o Cliente com medidas técnicas e organizacionais adequadas para que este possa atender solicitações de titulares no prazo legal.
2.7 Auxílio ao Cliente
A Glivo prestará auxílio razoável ao Cliente, considerando a natureza do tratamento e as informações disponíveis, para que o Cliente cumpra suas obrigações sob as Leis de Proteção de Dados, incluindo:
a. Realização de Relatórios de Impacto à Proteção de Dados (RIPD) envolvendo o tratamento pela Glivo; b. Consultas prévias à ANPD ou autoridades equivalentes, quando exigidas; c. Resposta a investigações ou requisições de autoridades.
2.8 Notificação de incidentes (data breach)
A Glivo notificará o Cliente sem demora indevida após tomar conhecimento de violação de dados pessoais que afete Dados do Cliente. A notificação inicial será enviada em até 48 horas da confirmação do incidente, e conterá, na medida do conhecimento disponível:
a. Natureza do incidente, categorias e número aproximado de titulares e registros afetados; b. Provável consequência; c. Medidas adotadas ou propostas para conter e mitigar o incidente; d. Pessoa de contato para informações adicionais.
A Glivo manterá o Cliente atualizado sobre a evolução das investigações e prestará auxílio razoável para que o Cliente cumpra suas obrigações de notificação à ANPD e aos titulares afetados, conforme Art. 48 da LGPD.
2.9 Avaliação de conformidade e auditoria
Mediante solicitação razoável e por escrito do Cliente, e na medida exigida pelas Leis de Proteção de Dados, a Glivo:
a. Disponibilizará, no máximo uma vez por ano, suas políticas de privacidade e segurança e demais informações necessárias para demonstrar conformidade com este DPA;
b. Permitirá auditoria realizada pelo Cliente ou por terceiro independente designado, mediante acordo de confidencialidade prévio, observados os seguintes parâmetros:
- A auditoria será realizada de forma a causar mínima interrupção às operações da Glivo;
- Será limitada ao escopo necessário para verificar conformidade com este DPA;
- Será realizada no máximo uma vez por ano, salvo em caso de incidente grave;
- Custos da auditoria correm por conta do Cliente, salvo se identificada não conformidade material da Glivo.
A Glivo poderá, em alternativa, disponibilizar relatórios de auditoria independentes (ex.: SOC 2, ISO 27001) para atender a esta obrigação. Tais relatórios são considerados Informação Confidencial da Glivo.
2.10 Devolução ou exclusão dos dados
Após o término ou rescisão do MSA, a Glivo, mediante instrução do Cliente dada em até 30 dias após o término:
a. Devolverá os Dados do Cliente em formato estruturado e amplamente utilizado; ou b. Procederá à exclusão definitiva dos Dados do Cliente e suas cópias.
Decorridos 60 dias após o término sem instrução em contrário, a Glivo procederá à exclusão automática, ressalvada a retenção exigida por lei (registros financeiros, ordens judiciais, defesa em processos), hipótese em que os dados serão isolados e protegidos contra qualquer outro tratamento.
3. Obrigações do Cliente (como Controlador)
3.1 Notificações e autorizações
O Cliente declara, garante e mantém, durante todo o Termo, que:
a. Possui base legal adequada sob a LGPD para o tratamento dos dados pessoais inseridos nos Serviços (notadamente legítimo interesse para gravação de atendimentos comerciais, conforme Art. 7º, IX);
b. Forneceu todas as informações exigidas aos titulares de dados, em especial mediante:
- Sinalização visível de gravação nos pontos de atendimento;
- Política de privacidade acessível;
- Termo de Ciência e Autorização assinado pelos vendedores antes do primeiro uso;
c. Possui todos os direitos, consentimentos e autorizações necessários para fornecer os Dados do Cliente à Glivo e autorizar o tratamento conforme este DPA.
3.2 Cooperação
O Cliente cooperará razoavelmente com a Glivo para que esta cumpra suas obrigações sob as Leis de Proteção de Dados, especialmente no atendimento a titulares e autoridades.
3.3 Configurações e decisões
O Cliente reconhece e concorda que é responsável por certas configurações e decisões de design dos Serviços e sua implementação em conformidade com as Leis de Proteção de Dados, incluindo:
a. Períodos de retenção dos dados (configuráveis nos Serviços); b. Atribuição de papéis e permissões aos Usuários Finais; c. Definição de métricas e prompts que orientam a análise da IA; d. Decisões de exclusão de gravações específicas; e. Escolha sobre exportação de dados para fora da plataforma.
3.4 Atendimento a titulares
O Cliente é o responsável primário por receber e responder a solicitações de titulares de dados. A Glivo atuará apenas como auxiliar, conforme item 2.6.
3.5 Dados sensíveis e categorias especiais
O Cliente compromete-se a não inserir intencionalmente nos Serviços dados sensíveis (saúde, religião, opinião política, orientação sexual, dados biométricos para identificação) ou dados de menores de 18 anos. Caso esses dados apareçam acidentalmente nas gravações, o Cliente reconhece os limites técnicos da anonimização automática.
4. Subcontratados (Suboperadores)
4.1 Autorização geral
O Cliente concede à Glivo autorização geral para contratar suboperadores para auxiliar na prestação dos Serviços, listados em https://glivo.ai/subprocessors (ou URL equivalente), atualizados periodicamente.
4.2 Notificação de novos suboperadores
A Glivo notificará o Cliente sobre novos suboperadores ou substituição de suboperadores existentes com antecedência razoável (mínimo de 15 dias), por meio de e-mail aos contatos informados ou aviso na plataforma.
4.3 Direito de objeção
O Cliente poderá objetar à contratação de novo suboperador no prazo de 15 dias após a notificação, mediante justificativa razoável fundada em risco à proteção dos dados. Nesse caso, as Partes negociarão de boa-fé alternativas comercialmente viáveis. Caso não se chegue a um acordo, qualquer das Partes poderá rescindir o MSA proporcionalmente, com reembolso pro rata de Taxas pré-pagas.
4.4 Obrigações dos suboperadores
A Glivo celebrará com cada suboperador contrato que imponha obrigações comparáveis às deste DPA, em especial quanto à confidencialidade, segurança, instruções de tratamento e cooperação.
4.5 Responsabilidade
A Glivo permanece responsável pelos atos e omissões de seus suboperadores na mesma medida em que seria responsável caso tivesse praticado tais atos diretamente, ressalvadas as limitações de responsabilidade do MSA.
5. Transferência internacional de dados
5.1 Múltiplas jurisdições
A Glivo poderá tratar Dados do Cliente em uma ou mais jurisdições, incluindo aquelas onde estejam localizados seus suboperadores, prestadores e provedores de nuvem.
5.2 Salvaguardas
Quando aplicável a transferência internacional sob a LGPD (Art. 33), a Glivo adota uma ou mais das seguintes salvaguardas:
a. Cláusulas Contratuais Padrão com os suboperadores, garantindo nível de proteção compatível com a LGPD; b. Decisões de adequação emitidas pela ANPD, quando aplicáveis; c. Certificações reconhecidas (ISO 27001, SOC 2, equivalentes); d. Compromisso contratual dos suboperadores de não reter os dados após o processamento e não usá-los para treinamento de modelos próprios; e. Anonimização prévia sempre que tecnicamente possível, antes do envio a provedores de modelos de linguagem.
5.3 Transparência
A lista atualizada de suboperadores e suas localizações está disponível em https://glivo.ai/subprocessors ou pode ser solicitada por escrito ao DPO da Glivo.
6. Disposições adicionais — outras jurisdições
6.1 Cliente sujeito a regulamentações específicas
Quando o Cliente esteja sujeito a regulamentações específicas além da LGPD (ex.: GDPR, CCPA, regulamentações setoriais), as Partes poderão celebrar adendos específicos para atender a tais exigências, observadas as obrigações deste DPA como base mínima.
6.2 Não comercialização de dados
A Glivo declara expressamente que:
a. Não “vende” Dados do Cliente, em qualquer interpretação aplicável; b. Não compartilha Dados do Cliente para publicidade comportamental ou cross-context; c. Não combina Dados do Cliente com dados pessoais de outras fontes para fins externos à prestação dos Serviços; d. Não usa Dados do Cliente para treinar modelos próprios da Glivo, salvo autorização expressa do Cliente.
7. Definições
- ANPD: Autoridade Nacional de Proteção de Dados.
- Controlador: conforme definido na LGPD (Art. 5º, VI).
- Dados do Cliente: dados pessoais tratados pela Glivo em nome do Cliente para a prestação dos Serviços.
- Dados pessoais: conforme definido na LGPD (Art. 5º, I).
- Dados sensíveis: conforme definido na LGPD (Art. 5º, II).
- Leis de Proteção de Dados: LGPD e demais legislações aplicáveis de proteção de dados.
- Operador: conforme definido na LGPD (Art. 5º, VII).
- Suboperador: prestador contratado pela Glivo para auxiliar no tratamento dos Dados do Cliente.
- Titular: conforme definido na LGPD (Art. 5º, V).
- Tratamento: conforme definido na LGPD (Art. 5º, X).
- Violação de dados pessoais: evento que comprometa a confidencialidade, integridade ou disponibilidade de Dados do Cliente.
Anexo I — Detalhes do tratamento
1. Natureza e finalidade
Prestação dos Serviços de gravação, transcrição automática, anonimização de PII e análise por inteligência artificial de atendimentos comerciais, com objetivo de coaching e desenvolvimento profissional dos vendedores do Cliente.
2. Duração
Duração do MSA, acrescida do prazo necessário para devolução ou exclusão dos dados, conforme Cláusula 2.10.
3. Categorias de Dados do Cliente
a. Dados de cadastro de Usuários Finais (nome, e-mail, telefone, cargo, unidade); b. Áudio de atendimentos comerciais; c. Transcrições textuais dos atendimentos (com PII anonimizada); d. Análises e indicadores gerados pela IA; e. Dados de uso dos Serviços (logs, sessões, dispositivos); f. Eventuais dados pessoais de clientes finais mencionados durante a conversa (sujeitos a anonimização automática).
4. Categorias de titulares
a. Clientes finais atendidos pelos Usuários Finais do Cliente; b. Vendedores que utilizam os Serviços; c. Gestores e administradores do Cliente; d. Eventualmente, terceiros mencionados nas conversas.
5. Dados sensíveis
Não há intenção de tratar dados sensíveis. O Cliente é orientado a evitar coletar tais dados durante atendimentos. Caso apareçam acidentalmente, são submetidos à anonimização automática como camada adicional de proteção.
6. Frequência
Tratamento contínuo, conforme uso dos Serviços pelo Cliente.
7. Períodos de retenção
| Categoria | Prazo padrão |
|---|---|
| Áudio bruto | 90 dias (configurável) |
| Transcrições anonimizadas | Conforme política do Cliente |
| Resultados de análise | Conforme política do Cliente |
| Dados de cadastro | Vínculo + prazos legais |
| Logs de auditoria | Até 6 anos |
Anexo II — Medidas técnicas e organizacionais de segurança
1. Medidas técnicas
a. Criptografia em trânsito: TLS 1.2 ou superior em todas as conexões; b. Criptografia em repouso: AES-256 ou equivalente para áudios, transcrições e dados sensíveis; c. Isolamento de dados por organização (Row-Level Security no banco de dados); d. Anonimização automática de PII em transcrições, antes da disponibilização aos gestores; e. Autenticação com senha forte, hash com algoritmos modernos (bcrypt/argon2), tokens com expiração; f. Controle de acesso baseado em papéis (RBAC), princípio do menor privilégio; g. Logs de auditoria de acessos administrativos e operações sensíveis; h. Backups regulares com política de retenção e teste periódico de restauração; i. Monitoramento contínuo de segurança e detecção de anomalias.
2. Medidas organizacionais
a. Políticas internas de segurança da informação e privacidade; b. Treinamento periódico da equipe em proteção de dados e segurança; c. Termos de confidencialidade assinados por todos os colaboradores e prestadores; d. Revisão periódica de acessos e permissões; e. Plano de resposta a incidentes documentado e testado; f. Plano de continuidade de negócios e recuperação de desastres; g. Avaliação periódica de fornecedores e suboperadores; h. Encarregado de Dados (DPO) designado.
3. Certificações
A Glivo opera em data centers certificados em padrões internacionais de segurança da informação (ISO 27001, SOC 2 Type II ou equivalentes). Certificações específicas podem ser solicitadas mediante NDA.
Anexo III — Suboperadores
A lista atualizada de suboperadores é mantida em https://glivo.ai/subprocessors (ou URL equivalente).
Categorias atuais incluem:
| Categoria | Finalidade |
|---|---|
| Provedor de nuvem | Hospedagem de aplicação, banco de dados e armazenamento |
| Modelos de linguagem (LLM) | Análise das transcrições, geração de insights |
| Transcrição de áudio | Conversão de áudio em texto |
| E-mail transacional | Envio de notificações e comunicações |
| Monitoramento e logs | Observabilidade, segurança, uptime |
| Processamento de pagamentos | Cobrança das Taxas (quando aplicável) |
A Glivo atualizará esta lista mediante notificação prévia ao Cliente, conforme Cláusula 4.
Aceite
Ao aceitar o MSA, o Cliente aceita integralmente este DPA, declarando ter:
- Lido e compreendido todas as cláusulas e anexos;
- Capacidade legal para celebrar este DPA em nome da pessoa jurídica que representa;
- Conhecimento das obrigações do Cliente como Controlador, em especial quanto à coleta de bases legais, sinalização aos clientes finais e atendimento a titulares.
Glivo LLC — Wyoming, EUA · Encarregado de Dados (DPO): [a definir] — hello@glivo.ai
Versão: abril/2026.