Contrato de Operador LGPD

1. Preâmbulo

Este Contrato de Operador LGPD ("DPA") é firmado entre a DRIPCORP ECOSYSTEM DESENVOLVIMENTO E LICENCIAMENTO DE PROGRAMAS LTDA, CNPJ n.º 66.059.208/0001-94 ("DripHub" ou "Operadora"), e o Produtor cadastrado na Plataforma ("Produtor" ou "Controlador"), em conjunto "Partes", como Anexo I aos Termos de Uso do Produtor. Em caso de conflito entre os documentos quanto à matéria de proteção de dados, prevalece este DPA.

O DPA é firmado em cumprimento ao art. 39 da Lei n.º 13.709/2018 ("LGPD") e às orientações da Autoridade Nacional de Proteção de Dados ("ANPD").

2. Definições

Os termos abaixo terão o significado a eles atribuídos na LGPD e, complementarmente:

• "Dados Pessoais": dados relativos a pessoa natural identificada ou identificável, tratados por meio da Plataforma.
• "Dados do Comprador": Dados Pessoais dos Compradores do Produtor coletados ou tratados por meio da Plataforma.
• "Tratamento": qualquer operação realizada com Dados Pessoais (coleta, armazenamento, processamento, transmissão, eliminação etc.).
• "Subcontratado" ou "Suboperador": terceiro contratado pela DripHub para executar parcela do Tratamento (lista em Anexo A deste DPA — vide Política de Privacidade).
• "Incidente": qualquer evento, fortuito ou intencional, que acarrete acesso, divulgação, perda, alteração ou destruição não autorizada de Dados Pessoais, com risco ou dano relevante aos titulares.
• "Instrução do Controlador": orientações documentadas dadas pelo Produtor à DripHub sobre o Tratamento, expressas (i) nos Termos de Uso do Produtor; (ii) neste DPA; (iii) nas configurações ativas no painel administrativo; (iv) em comunicações escritas adicionais.

3. Objeto

3.1. O Produtor, como Controlador, contrata a DripHub, como Operadora, para realizar o Tratamento dos Dados do Comprador estritamente nos limites necessários à prestação dos serviços previstos nos Termos de Uso do Produtor.

3.2. A natureza, finalidade, categorias de dados, categorias de titulares e duração do Tratamento estão descritas no Anexo A deste DPA.

4. Obrigações da DripHub (Operadora)

A DripHub se obriga a:

1. Tratar os Dados do Comprador exclusivamente conforme instrução do Produtor, exceto quando: (i) houver determinação legal expressa em sentido diverso; (ii) houver imposição por autoridade competente; (iii) para defesa de seus interesses em processo judicial ou administrativo;
2. Informar imediatamente o Produtor se receber instrução que, em seu entendimento, configurar violação à LGPD ou a outras normas de proteção de dados, podendo se recusar a executar;
3. Implementar e manter medidas técnicas e organizacionais de segurança adequadas, conforme detalhado na Seção 7;
4. Assegurar que os profissionais autorizados ao Tratamento estejam sob compromisso de confidencialidade e tenham recebido treinamento adequado em proteção de dados;
5. Cooperar com o Produtor para o atendimento de requisições de titulares, conforme Seção 9;
6. Notificar Incidentes na forma da Seção 10;
7. Manter registro das operações de Tratamento que realiza por conta do Produtor;
8. Submeter-se a auditorias razoáveis, conforme Seção 11;
9. Restituir ou eliminar os Dados ao término do Tratamento, conforme Seção 13;
10. Indicar ao Produtor seu Encarregado (DPO): dpo@driphub.com.br.

5. Obrigações do Produtor (Controlador)

O Produtor se obriga a:

1. Determinar as bases legais aplicáveis ao Tratamento (art. 7º e 11 LGPD), zelando pela legitimidade e proporcionalidade;
2. Obter e documentar o consentimento dos titulares, quando esta for a base legal aplicável;
3. Fornecer informações adequadas e transparentes aos titulares (política de privacidade própria, dirigida aos seus Compradores, em conformidade com o art. 9º LGPD);
4. Atender, primariamente, às solicitações dos titulares no exercício dos seus direitos (art. 18 LGPD), podendo contar com cooperação da DripHub;
5. Cumprir as obrigações legais e contratuais relativas à proteção de dados em sua esfera de atuação;
6. Configurar a Plataforma e instruir a DripHub de forma compatível com a LGPD (ex.: configurar opt-in para mensagens de marketing, definir prazos de retenção compatíveis, restringir compartilhamentos a finalidades legítimas);
7. Comunicar à DripHub, sem demora, qualquer alteração relevante nas instruções ou nas finalidades do Tratamento;
8. Indicar seu próprio Encarregado (DPO), quando obrigatório, e mantê-lo acessível aos titulares.

6. Subcontratação (Suboperadores)

6.1. O Produtor autoriza, em caráter geral, a DripHub a contratar suboperadores para execução do Tratamento, condicionado a que:

• Os suboperadores ofereçam garantias suficientes de cumprimento da LGPD;
• A DripHub mantenha lista atualizada de suboperadores, disponível na Política de Privacidade (Seção 8 daquele documento — vide Anexo A);
• A DripHub firme com cada suboperador contrato que imponha as mesmas obrigações materiais previstas neste DPA;
• A DripHub permaneça plenamente responsável perante o Produtor pelo cumprimento das obrigações pelos suboperadores.

6.2. A DripHub notificará o Produtor com antecedência mínima de 30 (trinta) dias sobre inclusão ou substituição de suboperador material, por e-mail e/ou notificação no painel. O Produtor poderá, dentro desse prazo e por razão fundamentada de proteção de dados, opor-se à mudança; persistindo a divergência, qualquer Parte poderá rescindir o contrato sem penalidade, observada a Seção 13 quanto à devolução de dados.

7. Medidas de Segurança

7.1. A DripHub implementa e mantém medidas técnicas e organizacionais adequadas para proteger os Dados contra acesso não autorizado, divulgação, perda, alteração ou destruição, considerando o estado da técnica, custos de implementação, natureza, escopo, contexto e finalidades do Tratamento, bem como os riscos para os titulares.

7.2. Medidas atuais incluem (lista exemplificativa, não exaustiva):

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) para dados sensíveis;
• Hash de senhas (argon2id ou bcrypt cost 12+);
• Controle de acesso (RBAC), princípio de menor privilégio, 2FA obrigatório para equipes internas;
• Segregação de ambientes (produção / homologação / desenvolvimento);
• Logs de auditoria imutáveis;
• Backups criptografados com testes de recuperação;
• Firewall de aplicação (WAF), proteção anti-DDoS;
• Pentest periódico (anual);
• Acordos de confidencialidade com colaboradores e fornecedores;
• Treinamento periódico em segurança e proteção de dados;
• Procedimento documentado de resposta a incidentes;
• Plano de Continuidade de Negócios.

7.3. A DripHub poderá atualizar suas medidas de segurança a qualquer tempo, desde que mantenha nível de proteção pelo menos equivalente.

8. Cooperação com Auditorias e Autoridades

8.1. A DripHub cooperará com a ANPD e demais autoridades competentes, atendendo a requisições legítimas conforme exigido pela legislação.

8.2. A DripHub auxiliará o Produtor na elaboração de Relatório de Impacto à Proteção de Dados (RIPD), quando aplicável, fornecendo informações sobre os Tratamentos que realiza em seu nome.

9. Atendimento a Solicitações de Titulares (Art. 18 LGPD)

9.1. Caso titulares dirijam à DripHub solicitações de exercício de direitos relativas a Dados do Comprador, a DripHub:

• Informará o titular que a solicitação deve ser dirigida ao Produtor (Controlador);
• Notificará o Produtor da solicitação, sem demora, no prazo de até 5 (cinco) dias úteis;
• Auxiliará o Produtor, na medida do tecnicamente viável, no atendimento da solicitação dentro dos prazos legais.

9.2. O Produtor é o responsável pela análise de mérito e pela resposta substantiva ao titular, sem prejuízo da atuação cooperativa da DripHub.

10. Notificação de Incidente

10.1. A DripHub notificará o Produtor sobre qualquer Incidente que envolva Dados do Comprador em até 24 (vinte e quatro) horas contadas da efetiva ciência do Incidente, fornecendo:

• Descrição da natureza do Incidente;
• Categorias e número aproximado de titulares e registros afetados;
• Possíveis consequências;
• Medidas adotadas ou propostas para mitigar efeitos adversos;
• Dados do DPO para contato.

10.2. Quando o Incidente envolver apenas Dados do Produtor (cadastro próprio, financeiro) ou dados em que a DripHub atua como Controladora, observa-se a Política de Privacidade, Seção 15.

10.3. A comunicação à ANPD será realizada pelo Produtor, na qualidade de Controlador, com cooperação da DripHub.

11. Auditoria

11.1. O Produtor terá o direito de auditar o cumprimento deste DPA pela DripHub, uma vez ao ano, mediante notificação prévia de pelo menos 30 (trinta) dias.

11.2. A auditoria será realizada em horário comercial, em data acordada, por auditor independente e sob acordo de confidencialidade, sem interferência indevida nas operações da DripHub.

11.3. Os custos da auditoria serão suportados pelo Produtor solicitante. Caso a auditoria identifique não-conformidade material atribuível à DripHub, esta arcará com o custo da auditoria e implementará plano de remediação acordado entre as Partes.

11.4. Em substituição à auditoria, a DripHub poderá oferecer relatórios independentes (SOC 2 Tipo II, ISO 27001, ou equivalentes) quando disponíveis, com mesmo valor probatório.

12. Transferência Internacional

12.1. A DripHub poderá realizar transferência internacional de Dados aos suboperadores indicados na Política de Privacidade (Seção 8), observados os arts. 33 a 36 da LGPD e a Resolução CD/ANPD n.º 19/2024 (Cláusulas-Padrão).

12.2. O Produtor declara estar ciente e autorizar tais transferências como parte da execução do Tratamento.

12.3. A DripHub manterá disponíveis, mediante solicitação por escrito, cópia das Cláusulas-Padrão e dos Adendos de Proteção de Dados firmados com cada suboperador internacional.

13. Vigência, Devolução e Eliminação

13.1. Este DPA vigora pelo prazo de vigência dos Termos de Uso do Produtor e sobrevive ao término destes pelo prazo necessário ao cumprimento das obrigações decorrentes (retenção legal, defesa em processos, eliminação ordenada).

13.2. Ao término dos Termos, o Produtor poderá, em até 30 (trinta) dias antes ou após o encerramento, solicitar:

• Devolução dos Dados em formato estruturado (CSV/JSON);
• Eliminação dos Dados, ressalvada retenção mínima exigida por lei.

13.3. Não havendo manifestação do Produtor no prazo, a DripHub eliminará os Dados conforme política de retenção da Política de Privacidade.

14. Limitação de Responsabilidade

14.1. A responsabilidade civil entre as Partes por descumprimento deste DPA observa os arts. 42 a 45 da LGPD.

14.2. Salvo nos casos de violação dolosa ou de comprovada inobservância das medidas técnicas de segurança da Seção 7, aplica-se a limitação de responsabilidade da Seção 22 dos Termos de Uso do Produtor.

14.3. Cada Parte responde proporcionalmente à sua participação no evento gerador do dano, sendo direitos de regresso assegurados.

15. Confidencialidade

As obrigações de confidencialidade da Seção 20 dos Termos de Uso do Produtor aplicam-se a este DPA.

16. Alterações

Este DPA poderá ser atualizado pela DripHub, observado o procedimento da Seção 29 dos Termos de Uso do Produtor (aviso prévio de 15 dias para alterações materiais).

17. Lei Aplicável e Foro

Este DPA é regido pelas leis brasileiras, em especial pela LGPD. Aplica-se o foro previsto na Seção 32 dos Termos de Uso do Produtor.

---

Anexo A — Descrição do Tratamento

A.1. Natureza e Finalidade do Tratamento

A DripHub trata os Dados do Comprador para viabilizar, em nome do Produtor, as funcionalidades da Plataforma: criação de checkout, processamento técnico de pagamentos (via Gateways autorizados), entrega de produto digital, comunicação com o Comprador (e-mail, WhatsApp, SMS, push), atendimento (incluindo Super Agente IA), gestão de afiliados, emissão de relatórios e analytics.

A.2. Categorias de Titulares

• Compradores e potenciais compradores do Produtor;
• Afiliados do Produtor (quando aplicável).

A.3. Categorias de Dados

• Dados cadastrais: nome, e-mail, telefone, CPF, endereço (quando aplicável);
• Dados de transação: produto, valor, parcelas, status, gateway utilizado, dados não-sensíveis de cartão;
• Dados de comunicação: mensagens trocadas em canais (chat, WhatsApp, e-mail);
• Dados de navegação: IP, agente de usuário, páginas, eventos;
• Dados de marketing: respostas a campanhas, comportamento (quando consentido).

Não são tratados, salvo determinação expressa do Produtor com base legal própria: dados pessoais sensíveis (art. 5º, II LGPD).

A.4. Duração do Tratamento

Conforme prazos da Política de Privacidade, Seção 11, observadas as instruções específicas do Produtor.

A.5. Suboperadores Atuais

Lista nominal e detalhada disponível na Política de Privacidade, Seção 8. Inclui, em síntese:

• Gateways de pagamento: Pagar.me, Mercado Pago, Efí, Hypercash, Pushin Pay;
• Infraestrutura: AWS, Hetzner, Hostinger, Cloudflare;
• E-mail: Amazon SES, SendGrid;
• WhatsApp: Meta WhatsApp Cloud API;
• Analytics e ads: Google (Analytics, Tag Manager, Ads), Meta (Pixel, CAPI), TikTok;
• IA: Google (Gemini API);
• Observabilidade: Sentry e equivalentes.

A.6. Localização do Tratamento

Brasil (principal), Alemanha (Hetzner), EUA (subprocessadores diversos), Irlanda (UE — subprocessadores), Singapura (TikTok), conforme indicado em cada subprocessador.

---

Versão: 1.0 · Vigência: 11 de maio de 2026
Aceite: registrado automaticamente no momento do cadastro do Produtor, com IP, timestamp, agente de usuário, versão e hash do documento.