Acordo de Processamento de Dados (DPA)

Para fins deste Acordo de Processamento de Dados ("DPA"), aplicam-se as seguintes definições, em conformidade com a LGPD (Lei 13.709/2018):

• Controlador: a empresa-cliente que contrata o Stokker. O controlador determina as finalidades e os meios de tratamento dos dados pessoais de seus funcionários e colaboradores
• Operador: a Stokker Tecnologia Ltda., que realiza o tratamento de dados pessoais em nome e por instrução do controlador
• Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento — tipicamente funcionários, colaboradores e usuários da empresa-cliente
• Sub-operador: terceiro contratado pelo operador (Stokker) para auxiliar no tratamento de dados, incluindo Supabase, Vercel e Anthropic
• LGPD: Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
• ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável por zelar pela proteção de dados pessoais no Brasil
• Tratamento: toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração

Este DPA estabelece as obrigações do Stokker (operador) em relação ao tratamento de dados pessoais realizado em nome da empresa-cliente (controlador), exclusivamente para fins de prestação do serviço contratado.

O tratamento de dados realizado pelo Stokker limita-se às seguintes operações:

• Armazenamento seguro de dados cadastrais, empresariais e operacionais
• Recuperação e exibição de dados na interface da plataforma
• Processamento automatizado de Notas Fiscais Eletrônicas (NF-e) via inteligência artificial
• Geração de relatórios, alertas e análises de estoque
• Controle de acesso e autenticação de usuários
• Registro de logs de auditoria para fins de segurança

O Stokker não utiliza os dados do controlador para qualquer finalidade própria, incluindo marketing, perfilamento, venda ou compartilhamento com terceiros além dos sub-operadores listados neste DPA.

O Stokker processa dados pessoais exclusivamente conforme as instruções do controlador, materializadas pela utilização das funcionalidades do serviço. O Stokker não realiza tratamento de dados para finalidades próprias ou independentes.

Caso o Stokker identifique que uma instrução do controlador pode configurar violação à LGPD ou a qualquer legislação aplicável de proteção de dados, o Stokker notificará o controlador imediatamente, por escrito, antes de executar a instrução em questão. O Stokker poderá suspender o processamento da instrução até receber confirmação ou instruções alternativas do controlador.

O Stokker utiliza os seguintes sub-operadores para a prestação do serviço:

Todos os sub-operadores estão vinculados a contratos que estabelecem obrigações de proteção de dados equivalentes às previstas neste DPA.

Alterações em sub-operadores: o Stokker notificará o controlador com no mínimo 30 (trinta) dias de antecedência antes de adicionar ou substituir sub-operadores. O controlador poderá apresentar objeção fundamentada dentro de 15 (quinze) dias após a notificação. Caso a objeção não possa ser resolvida, o controlador terá o direito de rescindir o contrato sem ônus.

Em conformidade com o Art. 46 da LGPD, o Stokker implementa e mantém as seguintes medidas técnicas e organizacionais para proteção dos dados pessoais:

• Criptografia em trânsito: todas as comunicações são protegidas por TLS 1.3, garantindo a confidencialidade e integridade dos dados em trânsito
• Criptografia em repouso: dados armazenados com criptografia AES-256 por meio da infraestrutura Supabase
• Isolamento multi-tenant: Row Level Security (RLS) a nível de banco de dados, impedindo acesso cruzado entre empresas. Cada controlador acessa exclusivamente seus próprios dados
• Controle de acesso baseado em papéis (RBAC): permissões diferenciadas por nível de usuário, com princípio do menor privilégio
• Logs de auditoria: registro de todas as ações críticas para fins de rastreabilidade e investigação de incidentes
• Avaliação de vulnerabilidades: revisões periódicas de segurança e atualizações de dependências
• Treinamento: capacitação dos colaboradores do Stokker sobre práticas de proteção de dados e segurança da informação

Em conformidade com o Art. 48 da LGPD, o Stokker se compromete a notificar o controlador em prazo não superior a 72 (setenta e duas) horas após a confirmação de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados.

A notificação incluirá, no mínimo:

• Natureza do incidente de segurança e circunstâncias em que ocorreu
• Categorias e tipos de dados pessoais afetados
• Número aproximado de titulares de dados afetados
• Consequências conhecidas ou prováveis do incidente
• Medidas técnicas e de segurança adotadas para conter e remediar o incidente
• Ações recomendadas ao controlador para mitigar riscos aos titulares

O Stokker cooperará integralmente com o controlador para fins de investigação, mitigação e notificação à ANPD e aos titulares afetados, quando aplicável.

O Stokker auxiliará o controlador no atendimento a solicitações de titulares de dados, conforme previsto nos Arts. 17 a 22 da LGPD, incluindo:

• Acesso e confirmação de existência de tratamento
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
• Portabilidade dos dados a outro fornecedor
• Eliminação dos dados pessoais tratados com base no consentimento
• Informação sobre compartilhamento de dados com terceiros

Responsabilidade: o controlador permanece como responsável principal pelo atendimento às solicitações dos titulares. O Stokker fornece os meios técnicos para exportação, correção e exclusão de dados, e responderá a solicitações do controlador em até 5 (cinco) dias úteis.

O controlador poderá auditar a conformidade do Stokker com este DPA, observadas as seguintes condições:

• Frequência: até 1 (uma) auditoria por ano, salvo em caso de incidente de segurança que justifique auditoria extraordinária
• Aviso prévio: no mínimo 30 (trinta) dias de antecedência, por escrito
• Escopo: limitado às atividades de processamento de dados realizadas em nome do controlador solicitante
• Confidencialidade: os resultados da auditoria são confidenciais e não podem ser compartilhados com terceiros sem consentimento do Stokker
• Custos: os custos da auditoria são de responsabilidade do controlador, exceto quando a auditoria revelar não-conformidade material do Stokker

O Stokker poderá disponibilizar relatórios de conformidade de terceiros (como certificações SOC 2, quando disponíveis) como alternativa a auditorias presenciais.

Ao término do contrato de prestação de serviço, independentemente do motivo:

• Exportação de dados: os dados do controlador ficam disponíveis para exportação por 30 (trinta) dias após o encerramento do contrato, em formato estruturado e legível por máquina
• Exclusão permanente: após o período de 30 dias, todos os dados do controlador serão permanente e irrecuperavelmente excluídos dos sistemas do Stokker e de seus sub-operadores
• Retenção legal: dados sujeitos a obrigações legais de retenção (fiscais, tributários, logs de acesso) serão mantidos pelo prazo legalmente exigido, após o qual serão excluídos. Especificamente: dados fiscais por 5 anos (Código Tributário Nacional) e logs de acesso por 6 meses (Marco Civil da Internet)

O Stokker fornecerá ao controlador confirmação por escrito da exclusão dos dados, quando solicitado.

Os dados pessoais tratados pelo Stokker podem ser processados nas seguintes localidades:

• Brasil (São Paulo): armazenamento principal via Supabase (AWS sa-east-1)
• Global (EUA/UE): distribuição de conteúdo via Vercel CDN
• Estados Unidos: processamento de NF-e via Anthropic

A transferência internacional de dados está fundamentada no Art. 33, inciso II, da LGPD, mediante cláusulas contratuais padrão que asseguram nível de proteção adequado e equivalente ao previsto na legislação brasileira. O Stokker mantém registro atualizado das transferências internacionais realizadas.

Cada parte é responsável pelos danos causados por suas próprias violações à LGPD e a este DPA:

• O controlador é responsável por garantir que possui base legal válida para o tratamento de dados, que os titulares foram adequadamente informados e que as instruções fornecidas ao Stokker estão em conformidade com a LGPD
• O Stokker (operador) é responsável pelo tratamento realizado em desconformidade com as instruções lícitas do controlador ou com as obrigações previstas neste DPA e na LGPD

A limitação de responsabilidade aplicável está prevista nos Termos de Uso e se estende a este DPA, respeitados os limites impostos pela LGPD e pelo CDC.

Este DPA entra em vigor na data de contratação do serviço pelo controlador e permanece vigente durante toda a duração do contrato de prestação de serviço.

As obrigações previstas neste DPA sobrevivem ao término do contrato no que se refere a:

• Obrigações de retenção e exclusão de dados (seção 9)
• Notificação e cooperação em caso de incidentes de segurança (seção 6)
• Confidencialidade dos dados processados
• Obrigações legais de retenção de dados (fiscais, tributários, logs)