DPA — Acordo de Tratamento de Dados

Este DPA aplica-se entre:

• Controlador: o Lojista usuário do plugin Zethera (titular da loja Nuvemshop).
• Operador: Del Moliterno Sistemas de Informação Ltda. (CNPJ 23.503.341/0001-85, nome fantasia Zethera), agindo sob instruções documentadas do Controlador.

Este DPA é parte integrante dos Termos de Uso e da Política de Privacidade.

Os plugins Zethera processam dados pessoais coletados pelo Controlador junto a seus clientes finais, incluindo:

• Identificadores: nome, e-mail, telefone/WhatsApp.
• Documentos: CPF (hasheado), chave Pix (hasheada).
• Dados de transação: ID do pedido, valor, produtos.
• Dados técnicos: IP, user-agent, cookies de atribuição.
• Conteúdo gerado: mensagens em chat de IA, fotos de devolução, comentários.

Os dados específicos por plugin estão detalhados na Política de Privacidade seção 3.3.

O Operador trata dados exclusivamente para executar a funcionalidade contratada do plugin pelo Controlador, sob as bases legais de execução de contrato (art. 7º V LGPD) e legítimo interesse (art. 7º IX), sempre sob instruções documentadas do Controlador.

O Operador não trata os dados para finalidades próprias, marketing direto ou monetização de qualquer natureza.

O Operador utiliza os seguintes subprocessadores para a execução do serviço:

• Supabase (AWS São Paulo, Brasil) — banco de dados, edge functions, storage.
• Vercel (Global Edge, infraestrutura nos EUA com CDN no Brasil) — hospedagem Next.js.
• Anthropic Claude (EUA) — IA conversacional (Vendedor IA, validação foto Returns, anti-fraude Affiliate).
• Meta WhatsApp Business API (Global) — envio de notificações WhatsApp.
• Asaas (Brasil) — Pix payouts (Affiliate), tokenização recorrente (Subscriptions), reembolso Pix (Returns).
• Melhor Envio (Brasil) — etiquetas de logística reversa (Returns).
• Resend (EUA) ou similar — envio de e-mails transacionais.

O Operador celebrou DPA ou contrato equivalente com cada subprocessador, exigindo proteção equivalente à da LGPD. A lista é mantida atualizada nesta página.

Anthropic Claude e Meta processam dados nos EUA e infraestrutura global. O Operador adota as seguintes garantias adequadas conforme art. 33 LGPD:

• Cláusulas contratuais padrão com cada parceiro internacional.
• Compartilhamento limitado ao estritamente necessário (mensagens da conversa, telefone do destinatário).
• Sem treinamento de modelos sobre dados do Lojista.
• Auditoria periódica das políticas de privacidade dos subprocessadores.

Medidas técnicas e organizacionais aplicadas:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Tokens OAuth e PII sensível (CPF, chave Pix) com criptografia adicional via pgsodium ou hashing SHA-256.
• Controle de acesso por auditoria nominal. Service role keys rotacionados a cada 90 dias.
• Logs retidos por 6 meses (Marco Civil mínimo).
• Backups rolling de 30 dias.
• Webhooks LGPD da Nuvemshop (store/redact, customers/redact, customers/data_request) implementados.

Quando um titular de dado pessoal exercer seus direitos previstos no art. 18 da LGPD junto ao Controlador, este pode encaminhar a solicitação ao Operador via:

• Webhook LGPD da Nuvemshop (preferencial) — processado automaticamente em até 30 dias.
• E-mail para dpo@zethera.co — processado em até 15 dias corridos.

O Operador implementa os pedidos sob instrução do Controlador, sem questionar o mérito (cabe ao Controlador validar a identidade do titular).

Em caso de incidente de segurança envolvendo dados pessoais, o Operador comunica o Controlador em até 24 horas após detecção, com:

• Descrição do incidente.
• Categorias e quantidades aproximadas de titulares afetados.
• Medidas técnicas e organizacionais já adotadas.
• Recomendações para o Controlador comunicar à ANPD e aos titulares (art. 48 LGPD).

Após desinstalação do plugin ou término do contrato:

• Dados ficam dormentes por 90 dias para permitir reinstalação sem perda.
• Após 90 dias, os dados são deletados em cascata, exceto registros com obrigação legal de retenção (fiscais, 5 anos; logs, 6 meses).
• O Controlador pode solicitar exportação completa em formato estruturado a qualquer momento via dpo@zethera.co.

Caroline Moliterno da Cunha · dpo@zethera.co · Endereço pra correspondência: Rua Gualaxo, 199, St 208, Aclimação, São Paulo/SP.