Acordo de Processamento de Dados (DPA)

Data de vigência: 10 de fevereiro de 2026 · Versão: 1.0

Este Acordo de Processamento de Dados (“DPA”) explica como a Rakenne processa dados pessoais em nome de clientes que utilizam a plataforma Rakenne em rakenne.app (o “Serviço”). Ele complementa e é incorporado aos Termos de Uso ou a outro contrato escrito ou eletrônico celebrado entre você e a Rakenne (o “Acordo Principal”).

Se houver conflito entre este DPA e o Acordo Principal em relação ao tratamento de dados, este DPA prevalecerá. Ao continuar utilizando o Serviço após a data de vigência acima, você concorda com este DPA. Se precisar de uma cópia assinada, entre em contato com privacy@rakenne.app .

1.1 Quem faz o quê

  • Você atua como “controlador” de dados pessoais sob o RGPD e outras leis de proteção de dados aplicáveis.
  • Rakenne atua como “operador” (processador) ao tratar dados pessoais em seu nome na operação do Serviço.

Você determina quais dados são enviados, por quanto tempo são mantidos, quais workspaces são criados e quem, do seu lado, tem acesso. Nós operamos a infraestrutura e tratamos dados pessoais apenas para fornecer e proteger o Serviço, conforme suas instruções documentadas.

1.2 O que este DPA cobre

Este DPA se aplica sempre que:

  • você utiliza o Serviço para armazenar ou tratar dados pessoais; e
  • o RGPD ou leis similares de proteção de dados tratam a Rakenne como seu operador.

Ele descreve:

  • quais tipos de dados pessoais tratamos e para quais finalidades de alto nível;
  • quais medidas de segurança e salvaguardas aplicamos;
  • como trabalhamos com subprocessadores e lidamos com transferências internacionais de dados; e
  • como ajudamos você a cumprir suas próprias obrigações como controlador.

1.3 Descrição geral do tratamento

A Rakenne é um ambiente assistido por IA para criação e execução de fluxos de trabalho sobre documentos. Nesse contexto, nós:

  • hospedamos locatários, projetos e workspaces;
  • armazenamos e tratamos documentos, workflows e interações de chat;
  • executamos inferência de IA com provedores de modelo de terceiros selecionados; e
  • mantemos logs e dados operacionais para proteger e aprimorar o Serviço.

Nós não utilizamos os dados pessoais que tratamos em seu nome para treinar modelos de IA de propósito geral, nem vendemos ou alugamos esses dados.

2. Tipos de dados e operações de tratamento

2.1 Categorias de dados pessoais

Dependendo da sua configuração e do seu uso, podemos tratar:

  • Dados de usuário e conta – nomes, endereços de e‑mail, identificadores de login, funções e associação a workspaces;
  • Dados de conteúdo – documentos, workflows, comentários, prompts e transcrições de conversas que você ou seus usuários criam ou enviam;
  • Dados de uso e técnicos – registros de atividade, carimbos de data e hora, métricas de uso de funcionalidades, endereços IP, informações de navegador e identificadores de dispositivos que possam constituir dados pessoais;
  • Dados de faturamento – detalhes limitados de faturamento, tratados principalmente pelo nosso provedor de pagamentos (Stripe), como identificadores de pagamento e detalhes de assinatura;
  • Dados potencialmente sensíveis – informações que podem se enquadrar em categorias especiais nos termos do artigo 9º do RGPD ou outros dados sensíveis, caso você escolha incluí‑los (ver seção 5.2).

Você decide quais informações são inseridas no Serviço e é responsável por garantir que isso seja lícito.

2.2 Natureza e finalidade do tratamento

Realizamos, em seu nome, uma série de operações sobre dados pessoais, incluindo:

  • armazenamento, recuperação e organização de dados de conteúdo e de conta;
  • transmissão de dados entre o Serviço e os dispositivos de seus usuários;
  • análise e geração baseadas em IA (apenas inferência) utilizando provedores de modelos de terceiros configurados por nós ou por você (Bring Your Own Key);
  • registro, monitoramento e resolução de incidentes para manter o Serviço confiável e seguro; e
  • backups e recuperação de dados, sujeitos aos limites de retenção descritos neste DPA e em nossa Política de Privacidade.

Executamos essas operações exclusivamente:

  • para fornecer, manter, proteger e melhorar o Serviço; e
  • para cumprir nossas próprias obrigações legais.

3. Instruções, confidencialidade e segurança

3.1 Suas instruções

Tratamos dados pessoais estritamente de acordo com:

  • este DPA e o Acordo Principal;
  • sua configuração e uso do Serviço (por exemplo, locatários, workspaces, funções, configurações de modelos, opções de retenção); e
  • suas solicitações escritas, enviadas por canais de suporte documentados.

Se acreditarmos, de forma razoável, que uma instrução entra em conflito com a legislação de proteção de dados aplicável, avisaremos você e poderemos pausar o tratamento relevante até receber instruções esclarecidas ou até que possamos prosseguir de forma autorizada.

3.2 Confidencialidade

Apenas o pessoal que precisa de acesso para desempenhar suas funções pode tratar dados pessoais. Essas pessoas:

  • estão sujeitas a obrigações de confidencialidade (por contrato ou por lei);
  • recebem treinamento adequado às suas funções; e
  • acessam dados somente por canais autenticados e auditáveis.

3.3 Medidas de segurança

Mantemos medidas técnicas e organizacionais projetadas para proteger dados pessoais contra destruição, perda, alteração, divulgação ou acesso não autorizados, acidentais ou ilícitos. Essas medidas evoluem ao longo do tempo, mas incluem, no mínimo:

  • Controle de acesso e segmentação

    • Autenticação para acessos de usuários e administradores;
    • Isolamento de locatários e workspaces para evitar vazamento de dados entre clientes;
    • Controles de acesso baseados em função para colaboradores, seguindo o princípio do menor privilégio.

  • Criptografia

    • Criptografia em trânsito com TLS moderno;
    • Criptografia em repouso em nossos sistemas de armazenamento e banco de dados;
    • Gestão adequada de chaves e armazenamento seguro de segredos.

  • Resiliência e continuidade

    • Uso de infraestrutura em nuvem de confiança (atualmente Google Cloud em regiões dos EUA);
    • Backups programados e testados;
    • Processos de monitoramento, alertas e resposta a incidentes.

  • Governança e testes

    • Revisão regular de nossa postura de segurança;
    • Registro e monitoramento de eventos relevantes de segurança;
    • Correção priorizada de vulnerabilidades identificadas.

Mais detalhes podem ser fornecidos mediante solicitação, sujeitos a compromissos razoáveis de confidencialidade.

4. Subprocessadores e serviços de terceiros

4.1 Uso de subprocessadores

Contamos com terceiros cuidadosamente selecionados (“subprocessadores”) para executar determinadas atividades de tratamento necessárias para fornecer o Serviço. Você nos autoriza a contratar esses subprocessadores, desde que:

  • cada subprocessador esteja vinculado a termos de proteção de dados tão protetivos quanto os deste DPA; e
  • continuemos responsáveis pelo desempenho das obrigações de nossos subprocessadores perante você.

4.2 Subprocessadores principais

Nossos subprocessadores principais incluem, em geral:

  • Google Cloud – hospedagem, bancos de dados e armazenamento;
  • Stripe – faturamento de assinaturas e processamento de pagamentos;
  • Provedores de LLM – Anthropic, OpenAI ou Google quando fornecemos a chave de API e você não utiliza Bring Your Own Key.

Subprocessadores adicionais podem ser usados para logging, monitoramento, operações de suporte ou outras funções auxiliares. Um registro detalhado e regularmente atualizado de nossos fornecedores, seus papéis, localidades e categorias de dados está disponível em nossa página de Subprocessadores & Tratamento de Dados , que deve ser lida em conjunto com este DPA.

4.3 Alterações e objeções

Se pretendermos adicionar ou substituir um subprocessador que tratará dados pessoais em seu nome, forneceremos aviso prévio (por exemplo, por e‑mail, notificações in‑app ou atualização pública) com pelo menos 30 dias de antecedência antes que a alteração entre em vigor, salvo quando uma urgência operacional exigir um prazo menor sem redução material do nível de proteção.

Se você tiver uma objeção razoável com base em preocupações de proteção de dados, deverá nos informar nesse período. Trabalharemos de boa‑fé para tratar suas preocupações, o que pode incluir ajustes de configuração em sua conta. Se nenhuma solução aceitável estiver disponível, seu único recurso será encerrar a parte afetada do Serviço, de acordo com o Acordo Principal.

5. Suas responsabilidades como controlador

Você é responsável por:

  • identificar e documentar uma base legal válida para cada atividade de tratamento que realizar utilizando o Serviço;
  • informar os titulares de dados sobre como você utiliza o Serviço e como a Rakenne atua como seu operador;
  • assegurar que suas próprias políticas, avisos e práticas estejam alinhados com este DPA e com a legislação aplicável.

5.2 Categorias especiais e dados sensíveis

O Serviço foi projetado para fluxos de trabalho profissionais sobre documentos, não para o tratamento em larga escala de categorias especiais de dados pessoais. Se você optar por enviar dados que se enquadrem em categorias especiais nos termos do artigo 9º do RGPD (por exemplo, dados de saúde, origem étnica ou crenças) ou outros dados sensíveis:

  • você deve garantir que as condições específicas para o tratamento desses dados, previstas na legislação aplicável, sejam atendidas (por exemplo, consentimento explícito ou exercício/defesa de direitos em processos judiciais);
  • você deve configurar acesso e retenção de forma a refletir o perfil de risco elevado.

Como regra geral, recomendamos evitar a inclusão desnecessária de dados de categorias especiais ou altamente sensíveis no Serviço.

5.3 Configuração, retenção e organização

Você controla por quanto tempo a maioria das categorias de dados pessoais permanece no Serviço. Em particular, deve:

  • configurar workspaces, permissões e parâmetros de retenção em conformidade com suas próprias políticas;
  • revisar periodicamente e remover dados que não sejam mais necessários; e
  • utilizar os mecanismos de exportação e exclusão que fornecemos como parte da gestão do ciclo de vida dos dados.

5.4 Direitos dos titulares e comunicação com autoridades

Você é o contato principal para titulares de dados e autoridades de controle. Você é responsável por:

  • receber e responder a solicitações de titulares que queiram exercer seus direitos (acesso, retificação, exclusão, restrição, portabilidade, oposição); e
  • decidir se, quando e como notificar autoridades de proteção de dados ou titulares em caso de incidentes.

Ajudaremos você conforme descrito na seção 6 abaixo.

6. Assistência, tratamento de incidentes e RIPD

6.1 Suporte a direitos dos titulares

Considerando a natureza do tratamento e as informações disponíveis para nós, ofereceremos assistência razoável, por meio de ferramentas ou suporte, para ajudá‑lo a:

  • localizar, exportar, corrigir ou excluir dados pessoais armazenados no Serviço, quando tecnicamente viável; e
  • responder a solicitações de titulares relacionadas ao tratamento realizado por nós como seu operador.

Se recebermos diretamente uma solicitação de titular claramente relacionada a dados pessoais que tratamos em seu nome, e se a lei assim permitir, iremos encaminhá‑la a você em vez de responder de forma independente.

6.2 Incidentes de segurança envolvendo dados pessoais

Se tivermos conhecimento de um incidente de segurança que resulte em violação de dados pessoais tratados em seu nome, nós:

  • notificaremos você sem demora injustificada após a confirmação do incidente; e
  • compartilharemos as informações que pudermos fornecer de forma razoável naquele momento, incluindo:
    • descrição da natureza da violação (quando conhecida);
    • categorias e número aproximado de titulares e de registros afetados (se determináveis);
    • possíveis consequências da violação;
    • medidas adotadas ou propostas para tratar a violação e mitigar seus efeitos.

Cooperaremos com você para apoiar sua avaliação e quaisquer notificações que você decida fazer às autoridades ou aos titulares. Você permanece responsável por cumprir as obrigações legais de notificação de incidentes.

6.3 Relatórios de Impacto e consultas prévias

Quando você for obrigado a conduzir um Relatório de Impacto à Proteção de Dados (por exemplo, RIPD/DPIA) ou a consultar uma autoridade de proteção de dados em relação ao seu uso do Serviço, forneceremos assistência razoável:

  • disponibilizando informações sobre nossas atividades de tratamento, controles de segurança e subprocessadores; e
  • respondendo a questionários escritos razoáveis relacionados ao Serviço.

7. Localização dos dados e transferências internacionais

7.1 Onde os dados são tratados

Atualmente, o Serviço é hospedado no Google Cloud nos Estados Unidos. Dados pessoais podem, portanto, ser armazenados ou tratados nos EUA e em outras jurisdições em que nossos subprocessadores atuem.

7.2 Salvaguardas para transferências

Quando o RGPD ou leis similares considerarem uma transferência “internacional” (por exemplo, do EEE, Reino Unido ou Suíça para um país sem decisão de adequação), garantiremos que salvaguardas apropriadas estejam implementadas, como:

  • Cláusulas Contratuais Padrão adotadas pela Comissão Europeia; e/ou
  • outros mecanismos de transferência reconhecidos em lei, bem como medidas técnicas e organizacionais complementares.

Informações sobre as salvaguardas utilizadas por subprocessadores centrais (Google Cloud, Stripe e provedores de LLM) estão disponíveis em sua documentação pública e, quando apropriado, em nossos materiais de privacidade ou mediante solicitação.

8. Retenção, exclusão e direitos de auditoria

8.1 Retenção e exclusão ao final da relação

Quando o Acordo Principal terminar ou quando você nos instruir por escrito, e sujeito a eventuais obrigações legais de retenção:

  • excluiremos dados pessoais tratados em seu nome de sistemas ativos dentro de um prazo comercialmente razoável (normalmente em até 30 dias); ou
  • devolveremos os dados pessoais a você em um formato de uso comum e legível por máquina, se solicitado antes da exclusão; e
  • removeremos os dados pessoais de backups por meio de nosso ciclo padrão de rotação de cópias de segurança (normalmente em até 90 dias).

Podemos reter dados que tenham sido anonimizados ou agregados de forma irreversível, de modo que deixem de ser considerados dados pessoais.

8.2 Auditoria e verificação

Para permitir que você verifique a conformidade com este DPA, nós:

  • manteremos documentação descrevendo nossas medidas técnicas e organizacionais relevantes; e
  • responderemos a questionários razoáveis sobre segurança e privacidade.

Se isso não for suficiente, você (ou um auditor independente designado por você e aprovado por nós, aprovação que não será recusada sem motivo razoável) poderá, não mais do que uma vez a cada 12 meses — salvo exigência legal em contrário ou violação confirmada — conduzir uma auditoria que:

  • seja limitada ao tratamento de seus dados pessoais sob este DPA;
  • seja realizada durante o horário comercial normal e com aviso prévio razoável; e
  • seja projetada para evitar perturbações indevidas às nossas operações.

Você será responsável por seus próprios custos e por nossos custos razoáveis e documentados relacionados ao suporte dessa auditoria, exceto se ela revelar uma violação material deste DPA imputável a nós.

9. Responsabilidade, vigência e alterações

9.1 Estrutura de responsabilidade

A alocação e a limitação de responsabilidade entre você e a Rakenne por questões decorrentes deste DPA ou relacionadas a ele seguem as regras estabelecidas no Acordo Principal, juntamente com o artigo 82 do RGPD, quando aplicável. Em particular, seremos responsáveis apenas pela parte do dano causada por um tratamento em que:

  • tenhamos deixado de cumprir obrigações dirigidas especificamente a operadores sob a legislação de proteção de dados; ou
  • tenhamos atuado fora ou em desacordo com suas instruções lícitas.

9.2 Indenização

Você concorda em indenizar e isentar a Rakenne de responsabilidade por reivindicações, multas ou perdas decorrentes de:

  • seu descumprimento das leis de proteção de dados aplicáveis em relação a dados pessoais tratados por meio do Serviço; ou
  • suas instruções ilegais ou incompatíveis com essas leis; ou
  • sua falha em fornecer avisos ou obter os consentimentos necessários dos titulares de dados.

9.3 Duração deste DPA

Este DPA entra em vigor na data indicada no início e permanece válido enquanto tratarmos dados pessoais em seu nome sob o Acordo Principal, incluindo qualquer tratamento pós‑término para exclusão ou devolução de dados, conforme descrito acima.

9.4 Atualizações do DPA

Podemos revisar este DPA periodicamente, por exemplo, para refletir:

  • mudanças na legislação de proteção de dados ou em orientações de autoridades;
  • ajustes na forma como o Serviço funciona ou nos subprocessadores que utilizamos;
  • esclarecimentos ou melhorias na forma como descrevemos nossos compromissos.

Se fizermos alterações materiais, notificaremos você com antecedência (por exemplo, pelo menos 30 dias antes da entrada em vigor da alteração). Se você se opuser por escrito e não pudermos acomodar razoavelmente suas preocupações, seu único recurso será interromper o uso da parte afetada do Serviço e, quando aplicável, rescindi‑la de acordo com o Acordo Principal.

10. Lei aplicável e contato

10.1 Lei aplicável e foro

Este DPA é regido pela mesma lei que rege o Acordo Principal, e controvérsias decorrentes dele ou a ele relacionadas são tratadas nos mesmos tribunais ou instâncias de arbitragem, sem prejuízo dos direitos dos titulares de dados ou das autoridades de proteção de dados sob a legislação aplicável.

10.2 Como falar conosco

Se você tiver dúvidas sobre este DPA ou precisar exercer direitos ou instruções relacionados ao nosso papel como operador, entre em contato com:

Inclua “DPA” na linha de assunto e forneça informações suficientes para que possamos identificar sua conta e responder com eficiência.

Pronto para colocar sua expertise no controle?

Pare de lutar com templates rígidos e ferramentas complexas. Escreva seu processo em markdown, deixe o agente cuidar do resto. Comece a criar workflows com IA no Rakenne hoje.

Comece Grátis — Sem Cadastro