Acordo de Processamento de Dados (DPA)
Última atualização: 14 de fevereiro de 2026
Este Acordo de Processamento de Dados ("DPA") é celebrado entre o cliente ("Controlador") e a Juristica Tecnologia Ltda. ("Operador", "Juristica"), e complementa os Termos de Uso da plataforma Co-Piloto Jurídico.
Este DPA estabelece as obrigações das partes em relação ao tratamento de dados pessoais realizado pelo Operador em nome do Controlador, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — "LGPD").
1. Definições
Para fins deste DPA, aplicam-se as seguintes definições:
- "Dados Pessoais": informação relacionada a pessoa natural identificada ou identificável, conforme Art. 5º, I da LGPD;
- "Controlador": o cliente que contrata os serviços da Plataforma e determina as finalidades e meios do tratamento de dados pessoais;
- "Operador": a Juristica, que realiza o tratamento de dados pessoais em nome do Controlador;
- "Suboperador": terceiro contratado pelo Operador para auxiliar no tratamento de dados pessoais;
- "Incidente de Segurança": qualquer evento que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais;
- "ANPD": Autoridade Nacional de Proteção de Dados.
2. Objeto e Escopo do Tratamento
2.1. Natureza e finalidade do tratamento
O Operador trata dados pessoais exclusivamente para a prestação dos serviços contratados pelo Controlador na Plataforma Co-Piloto Jurídico, incluindo:
- Armazenamento de dados cadastrais e de sessão;
- Processamento de conteúdo jurídico por modelos de inteligência artificial;
- Geração de documentos e análises jurídicas;
- Gestão de assinaturas e pagamentos.
2.2. Categorias de dados pessoais tratados
- Dados de identificação (nome, e-mail, telefone, OAB);
- Dados de autenticação (tokens de sessão);
- Dados de pagamento (processados via Stripe);
- Conteúdo jurídico (documentos, consultas, peças processuais inseridas pelo usuário);
- Dados de uso e navegação.
2.3. Categorias de titulares
- Advogados e profissionais do Direito (usuários diretos);
- Clientes dos advogados (cujos dados podem estar contidos nos documentos inseridos na Plataforma).
3. Obrigações do Operador
O Operador (Juristica) compromete-se a:
- Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador e nos limites deste DPA;
- Garantir que as pessoas autorizadas a tratar os dados pessoais estejam comprometidas com obrigações de confidencialidade;
- Implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados pessoais;
- Não utilizar os dados pessoais para finalidades próprias ou de terceiros;
- Não transferir ou subcontratar o tratamento sem autorização prévia e por escrito do Controlador, exceto para os Suboperadores listados na Seção 5;
- Auxiliar o Controlador no atendimento aos direitos dos titulares (Arts. 17 e 18 da LGPD);
- Notificar o Controlador sobre qualquer Incidente de Segurança em até 72 (setenta e duas) horas após a descoberta;
- Devolver ou eliminar os dados pessoais ao término do contrato, conforme solicitado pelo Controlador.
4. Obrigações do Controlador
O Controlador compromete-se a:
- Garantir que possui base legal adequada para o tratamento dos dados pessoais;
- Fornecer instruções lícitas e documentadas ao Operador;
- Informar seus clientes (titulares dos dados) sobre o uso de ferramentas de IA no tratamento de seus dados, conforme aplicável;
- Obter os consentimentos necessários dos titulares, quando a base legal do tratamento for o consentimento;
- Respeitar o sigilo profissional (Art. 7º, II do Estatuto da OAB) ao utilizar a Plataforma com dados de clientes.
5. Suboperadores Autorizados
O Controlador autoriza o uso dos seguintes Suboperadores pelo Operador:
| Suboperador | Serviço | Localização |
|---|---|---|
| Google Cloud (Firebase) | Autenticação, banco de dados (Firestore) | Brasil (southamerica-east1) |
| Stripe | Processamento de pagamentos | Estados Unidos |
| Anthropic | Processamento de IA (Claude API) | Estados Unidos |
| Vercel | Hospedagem da aplicação | Estados Unidos / Global CDN |
O Operador notificará o Controlador com antecedência mínima de 30 (trinta) dias sobre a inclusão ou alteração de Suboperadores. O Controlador terá 15 (quinze) dias para apresentar objeção fundamentada.
6. Medidas de Segurança
O Operador implementa as seguintes medidas técnicas e organizacionais:
- Criptografia: dados em trânsito (TLS 1.3) e em repouso (AES-256);
- Isolamento de dados: cada usuário tem acesso apenas aos seus próprios dados, implementado via Firestore Security Rules;
- Controle de acesso: autenticação robusta via Firebase Auth com suporte a MFA;
- Logs de auditoria: registros imutáveis de operações sensíveis;
- Backups: cópias de segurança automáticas com retenção conforme política de dados;
- Gestão de vulnerabilidades: monitoramento contínuo e atualizações de segurança.
7. Incidentes de Segurança
Em caso de Incidente de Segurança, o Operador deverá:
- Notificar o Controlador em até 72 horas após tomar conhecimento do incidente;
- Fornecer informações sobre: natureza do incidente, categorias e número aproximado de titulares afetados, consequências prováveis e medidas adotadas;
- Cooperar com o Controlador na investigação e mitigação do incidente;
- Auxiliar o Controlador no cumprimento de suas obrigações de comunicação à ANPD e aos titulares (Art. 48, LGPD).
8. Transferências Internacionais de Dados
As transferências internacionais de dados pessoais realizadas no âmbito deste DPA são efetuadas com base em:
- Cláusulas contratuais padrão aprovadas pela ANPD ou equivalentes reconhecidos;
- Certificações de segurança dos Suboperadores (SOC 2 Type II, ISO 27001);
- Garantias de que o país destinatário proporciona nível adequado de proteção de dados (Art. 33, LGPD).
9. Apoio aos Direitos dos Titulares
O Operador auxiliará o Controlador no atendimento às solicitações dos titulares relativas a:
- Acesso aos dados pessoais;
- Correção de dados incompletos ou inexatos;
- Eliminação de dados (direito ao esquecimento);
- Portabilidade dos dados;
- Revogação de consentimento;
- Oposição ao tratamento.
O Operador responderá às solicitações do Controlador em até 5 (cinco) dias úteis.
10. Vigência e Rescisão
- Este DPA entra em vigor na data de aceitação dos Termos de Uso e permanece vigente enquanto o Operador tratar dados pessoais em nome do Controlador;
- Ao término do contrato, o Operador deverá, a escolha do Controlador: (a) devolver todos os dados pessoais em formato estruturado e de uso comum, ou (b) eliminar de forma segura e irreversível todos os dados pessoais;
- A eliminação será realizada em até 30 (trinta) dias após a solicitação, exceto para dados cuja retenção seja exigida por lei;
- O Operador fornecerá ao Controlador uma confirmação por escrito da eliminação dos dados.
11. Direito de Auditoria
O Controlador tem o direito de realizar auditorias para verificar o cumprimento deste DPA, mediante:
- Aviso prévio de 30 (trinta) dias ao Operador;
- As auditorias serão realizadas em horário comercial e de forma a não impactar as operações do Operador;
- O Operador cooperará de boa-fé e fornecerá o acesso necessário à documentação e sistemas relevantes;
- Os custos da auditoria serão arcados pelo Controlador, exceto quando a auditoria revelar descumprimento material deste DPA.
12. Disposições Finais
- Prevalência: em caso de conflito entre este DPA e os Termos de Uso, prevalecerão as disposições deste DPA no que se refere ao tratamento de dados pessoais;
- Legislação aplicável: este DPA é regido pelas leis da República Federativa do Brasil, em especial a LGPD;
- Foro: fica eleito o foro da Comarca de Chapecó, SC, para dirimir controvérsias decorrentes deste DPA;
- Contato: para questões relacionadas a este DPA, entre em contato pelo e-mail dpo@juristica.com.br.