Gorilla Barber
Gorilla Barber

DPA — Acordo de Tratamento de Dados

Data Processing Agreement (DPA) entre o Cliente, na qualidade de Controlador, e a Gorilla Barber, na qualidade de Operadora, nos termos da Lei nº 13.709/2018 (LGPD).

Este Acordo de Tratamento de Dados (“DPA”) integra e complementa os Termos de Uso e a Política de Privacidade da plataforma Gorilla Barber, regulando o tratamento de dados pessoais realizado pela Gorilla Barber LTDA (“Gorilla”, “Operadora”) por conta e ordem do Cliente contratante (“Cliente”, “Controlador”), em conformidade com a Lei nº 13.709/2018 (“LGPD”).

Em caso de conflito entre este DPA e os Termos de Uso, prevalecerá este DPA exclusivamente quanto aos aspectos de proteção de dados pessoais.

1. Partes e papéis na LGPD

Para os fins deste DPA e da LGPD, as Partes reconhecem e declaram:

  • Controlador (Cliente): pessoa jurídica que contrata os serviços da Gorilla para operar sua barbearia, rede ou franquia. O Controlador é responsável pelas decisões referentes ao tratamento dos dados pessoais de seus Consumidores Finais (clientes da barbearia), colaboradores e demais titulares cujos dados são inseridos na Plataforma.
  • Operadora (Gorilla): Gorilla Barber LTDA, inscrita no CNPJ sob o nº [a definir], que realiza o tratamento dos dados pessoais em nome do Controlador, conforme suas instruções documentadas (consubstanciadas na utilização da Plataforma e em eventuais instruções escritas adicionais).

Em relação aos dados pessoais coletados diretamente pela Gorilla (cadastro do Cliente contratante, faturamento, marketing institucional), a Gorilla atua como Controladora independente, regida pela Política de Privacidade.

1.1. Definições

Os termos “dado pessoal”, “tratamento”, “titular”, “controlador”, “operador”, “encarregado”, “transferência internacional”, “incidente de segurança”, “relatório de impacto”, dentre outros, têm os significados que lhes são atribuídos pela LGPD.

2. Objeto e escopo

Este DPA tem por objeto estabelecer as condições, garantias e responsabilidades de cada Parte no tratamento de dados pessoais decorrente da utilização da Plataforma.

2.1. Natureza e finalidade do tratamento

A Operadora realizará operações de coleta, armazenamento, organização, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, eliminação e demais operações necessárias à prestação dos serviços da Plataforma, com a finalidade exclusiva de operar os módulos contratados pelo Controlador.

2.2. Categorias de titulares

  • Consumidores Finais (clientes da barbearia);
  • Colaboradores do Controlador (barbeiros, recepcionistas, gerentes, administradores);
  • Fornecedores e parceiros comerciais do Controlador, quando cadastrados na Plataforma.

2.3. Categorias de dados pessoais

  • Dados de identificação: nome, CPF, RG, data de nascimento, gênero;
  • Dados de contato: e-mail, telefone, endereço;
  • Dados financeiros: histórico de compras, formas de pagamento, faturamento;
  • Dados comportamentais: agendamentos, frequência, preferências, avaliações;
  • Dados profissionais (colaboradores): cargo, dados bancários, comissões;
  • Dados sensíveis (quando aplicável): informações de saúde em anamneses, fotos de procedimentos — tratados com bases legais específicas previstas no Art. 11 da LGPD.

2.4. Duração do tratamento

O tratamento ocorrerá durante toda a vigência da relação contratual entre Controlador e Operadora, mais o período adicional necessário para fins de retenção legal, devolução e/ou eliminação, conforme previsto na Seção 8 abaixo.

3. Subprocessadores autorizados

O Controlador autoriza, de forma geral, que a Operadora contrate subprocessadores (suboperadores) para auxiliar na prestação dos serviços, desde que tais subprocessadores estejam contratualmente vinculados a obrigações de proteção de dados equivalentes às previstas neste DPA.

A lista atual de subprocessadores autorizados é:

SubprocessadorFinalidadeLocalização
Supabase Inc. (Postgres / Storage / Auth)Banco de dados, armazenamento de arquivos, autenticaçãoEstados Unidos / União Europeia (regiões a definir)
Vindi (Locaweb)Processamento de assinaturas recorrentesBrasil
Yapay (Locaweb)Processamento de pagamentos avulsosBrasil
Meta Cloud API (WhatsApp Business)Envio de mensagens WhatsApp transacionais e de marketingInternacional
Twilio Inc.Envio alternativo de WhatsApp/SMSEstados Unidos
Vercel Inc.Hospedagem da aplicação web e CDNInternacional (edge)
Resend / PostmarkEnvio de e-mail transacionalInternacional
SentryMonitoramento de erros e observabilidadeEstados Unidos

A Operadora notificará o Controlador com antecedência mínima de 30 (trinta) dias sobre a inclusão ou substituição de subprocessadores, por meio da Plataforma ou e-mail cadastrado. O Controlador poderá objetar à mudança por motivos razoáveis de proteção de dados; na ausência de objeção no prazo da notificação, considera-se autorizada a alteração. Persistindo objeção, as Partes negociarão de boa-fé soluções alternativas, podendo, em último caso, ser rescindido o contrato sem ônus para qualquer Parte.

4. Medidas técnicas e organizacionais

A Operadora implementa e mantém medidas técnicas e organizacionais razoáveis para garantir a segurança, a integridade, a confidencialidade e a disponibilidade dos dados pessoais tratados, incluindo:

  • Controle de acesso lógico: autenticação individual, controle de acesso baseado em papéis (RBAC), permissões granulares por colaborador, princípio do menor privilégio.
  • Isolamento multi-tenant: implementação de Row Level Security (RLS) no banco de dados Postgres, com políticas que garantem que dados de uma unidade/Controlador não sejam acessíveis por outro.
  • Criptografia em trânsito: TLS 1.2+ em todas as comunicações entre cliente, servidor e subprocessadores.
  • Criptografia em repouso: dados sensíveis e backups criptografados em repouso, conforme suportado pelos provedores de infraestrutura.
  • Audit logs: registro de operações sensíveis (criação, alteração, exclusão de registros financeiros, alteração de permissões, exportações de dados), com retenção mínima de 12 meses.
  • Backups: backups automáticos diários, com retenção de 90 dias e testes regulares de restauração.
  • Gestão de vulnerabilidades: monitoramento contínuo, atualização periódica de dependências, varreduras regulares e correção de vulnerabilidades conforme severidade.
  • Hardening: configuração segura de servidores, rede e aplicação; headers de segurança HTTP; rate limiting; proteção contra ataques comuns (OWASP Top 10).
  • Plano de continuidade e recuperação de desastres (BCP/DRP): em desenvolvimento, com RPO/RTO definidos.
  • Confidencialidade da equipe: colaboradores e prestadores da Operadora estão sujeitos a obrigações de confidencialidade contratuais e a treinamentos periódicos em proteção de dados.

5. Notificação de incidente de segurança

Em caso de incidente de segurança envolvendo dados pessoais tratados em nome do Controlador, a Operadora compromete-se a:

  • Notificar o Controlador em até 48 (quarenta e oito) horas após a confirmação do incidente, pelos canais de contato cadastrados (e-mail e/ou notificação na Plataforma);
  • Prestar informações sobre: (i) natureza e extensão do incidente; (ii) categorias e número aproximado de titulares afetados; (iii) categorias e quantidade de registros envolvidos; (iv) consequências prováveis; (v) medidas adotadas ou propostas para mitigar os efeitos;
  • Cooperar de boa-fé com o Controlador na investigação, contenção, mitigação e eventual comunicação à ANPD e aos titulares afetados, nos termos do Art. 48 da LGPD;
  • Manter registro interno do incidente, com cronologia, ações tomadas e lições aprendidas.

A notificação não constitui admissão de culpa ou responsabilidade pela Operadora.

6. Direitos dos titulares — auxílio à Controladora

A Operadora prestará assistência razoável ao Controlador no atendimento de solicitações de titulares de dados pessoais (Art. 18 da LGPD), considerando a natureza do tratamento e as informações disponíveis à Operadora, incluindo:

  • Disponibilizar, na Plataforma, funcionalidades de consulta, exportação, correção e eliminação de dados pessoais por parte do Controlador;
  • Encaminhar ao Controlador, sem demora indevida, eventuais solicitações de titulares recebidas diretamente pela Operadora;
  • Atuar como suporte técnico em solicitações complexas, quando solicitado pelo Controlador;
  • Implementar requisições de eliminação ou anonimização, quando técnica e legalmente viável.

Os custos de auxílio extraordinário (fora do escopo padrão coberto pelos planos) poderão ser cobrados separadamente, mediante orçamento prévio.

7. Auditoria

A Operadora compromete-se a manter documentação suficiente para comprovar o cumprimento deste DPA, incluindo relatório de medidas técnicas e organizacionais e, quando aplicável, certificações de segurança (ex.: ISO 27001, SOC 2) obtidas diretamente ou por seus subprocessadores.

Mediante solicitação razoável do Controlador, com antecedência mínima de 30 (trinta) dias, a Operadora disponibilizará:

  • Cópia atualizada deste DPA e suas eventuais revisões;
  • Documentação descritiva das medidas técnicas e organizacionais (não código-fonte);
  • Relatórios de auditoria de terceiros (SOC 2, ISO 27001 ou equivalentes), quando existirem;
  • Respostas a questionários de segurança em escopo razoável.

Auditorias presenciais ou remotas conduzidas diretamente pelo Controlador (ou por terceiro independente sob acordo de confidencialidade) poderão ser realizadas no máximo 1 (uma) vez por ano, com antecedência mínima de 60 (sessenta) dias, em horário comercial, com escopo previamente acordado, observando-se a confidencialidade de informações de outros Controladores e segredos comerciais da Operadora. Custos da auditoria ficarão a cargo do Controlador, salvo se forem identificadas não conformidades graves atribuíveis à Operadora.

Auditorias adicionais poderão ser realizadas em caso de incidente de segurança relevante ou determinação de autoridade competente.

8. Devolução e eliminação ao término

Encerrada, por qualquer motivo, a relação contratual entre as Partes, a Operadora:

  • Manterá os dados pessoais disponíveis para exportação pelo Controlador por 30 (trinta) dias contados do encerramento, em formatos estruturados de uso comum (CSV, JSON, PDF para documentos);
  • Decorrido esse prazo sem manifestação do Controlador, eliminará ou anonimizará os dados pessoais tratados em nome do Controlador, ressalvadas as hipóteses de retenção legal previstas na Política de Privacidade (obrigações fiscais, defesa em demandas, logs do Marco Civil);
  • Fornecerá, mediante solicitação, declaração formal de conclusão do processo de devolução/eliminação;
  • Confirmará junto a subprocessadores a eliminação dos dados pessoais sob seus sistemas, observados os ciclos técnicos de backup.

Os dados retidos por obrigação legal permanecerão sob as garantias deste DPA até o término do prazo de retenção aplicável, momento em que serão eliminados.

Disposições finais

Este DPA é regido pelas leis da República Federativa do Brasil, aplicando-se, no que couber, o foro eleito nos Termos de Uso. As Partes comprometem-se a revisar este DPA sempre que houver alteração legislativa, regulatória ou orientação superveniente da ANPD que demande adequação.

Para dúvidas, solicitações ou comunicações relacionadas a este DPA, contate: dpo@gorillabarber.com.br ou privacidade@gorillabarber.com.br.

v1.0-DRAFT — Última atualização: 2026-05-21

Este documento é um placeholder gerado automaticamente e não substitui aconselhamento jurídico. Antes de disponibilizá-lo em produção, encaminhe para revisão de advogado(a) especializado(a) em direito digital e LGPD.