DPA · Acordo de Processamento de Dados

1. Definições

Controlador: O escritório de advocacia contratante do iSpecter, que determina as finalidades e meios do tratamento dos dados pessoais de seus clientes.

Operador: iSpecter Tecnologia Ltda., que realiza o tratamento de dados pessoais em nome e conforme instruções do Controlador.

Suboperador: Anthropic, PBC (provedor do modelo Claude) e provedores de infraestrutura de nuvem utilizados pelo Operador.

2. Objeto

O Operador processará dados pessoais dos clientes do Controlador exclusivamente para a prestação dos serviços contratados: pesquisa jurídica, redação de peças, gestão de prazos, contratos e carteira de casos.

3. Instruções do controlador

O Operador processará dados pessoais apenas conforme instruções documentadas do Controlador. O Controlador instrui o Operador a processar dados exclusivamente para prestação do serviço SaaS contratado.

4. Proibição de uso para treinamento

O Operador não utilizará dados do Controlador para treinamento de modelos de IA, analytics de produto ou qualquer finalidade além da prestação direta do serviço. A Anthropic declara que dados processados via OAuth Pro/Max não são utilizados para treinamento de modelos.

5. Medidas de segurança

O Operador implementa: criptografia TLS em trânsito, AES-256-GCM em repouso para tokens, isolamento de workspaces por escritório, controle de acesso baseado em papéis (RBAC), audit trail de acessos, backup automático do banco de dados.

6. Suboperadores

Suboperadores autorizados: Anthropic (processamento IA), Neon (banco de dados PostgreSQL), Coolify/VPS (hospedagem). O Controlador será notificado com 30 dias de antecedência sobre mudanças em suboperadores.

7. Transferência internacional

Dados enviados à Anthropic (EUA) configuram transferência internacional nos termos do Cap. V da LGPD. O Operador adota as Cláusulas-Padrão Contratuais da ANPD (Resolução nº 19/2024) como mecanismo de adequação.

8. Notificação de incidentes

O Operador notificará o Controlador em até 48 horas após a confirmação de incidente de segurança que envolva dados pessoais. A comunicação incluirá: natureza do incidente, categorias e número de titulares afetados, medidas adotadas.

9. Direito de auditoria

O Controlador poderá auditar a conformidade do Operador com este DPA mediante aviso prévio de 30 dias, durante horário comercial, sem interromper a operação do serviço.

10. Eliminação de dados

Ao término do contrato, o Operador eliminará ou devolverá todos os dados pessoais do Controlador em até 30 dias, salvo obrigação legal de retenção. Logs de acesso são mantidos por 6 meses (Marco Civil Art. 15).

11. Contato

Canal de privacidade do Operador: contato@ispecter.com.br