Última atualização: 24 de maio de 2026
Contrato de Operação de Dados Pessoais (DPA)
Este Contrato de Operação de Dados Pessoais ("DPA") regula o tratamento de dados pessoais realizado pela HALLDEVS LTDA (CNPJ 67.046.444/0001-39) ("HallDevs", "Operadora") em nome da empresa-cliente("Controladora") que utiliza a plataforma HallVox. Aplica-se em conjunto com a Política de Privacidade e os Termos de Uso, dos quais é parte integrante.
Este DPA é aceito eletronicamente pela Controladora ao iniciar o uso da plataforma e pode ser substituído por instrumento contratual específico firmado entre as partes, prevalecendo o instrumento específico em caso de conflito.
Seção 1 — Definições
Salvo quando expressamente disposto em contrário, os termos abaixo têm o significado definido na LGPD (Lei nº 13.709/2018):
- Dado Pessoal — qualquer informação relativa a pessoa natural identificada ou identificável (art. 5º, I)
- Dado Pessoal Sensível — origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde, à vida sexual, dado genético ou biométrico (art. 5º, II)
- Titular — pessoa natural a quem se referem os Dados Pessoais (art. 5º, V)
- Controladora — pessoa jurídica a quem competem as decisões sobre o tratamento (art. 5º, VI). Para fins deste DPA: a empresa-cliente
- Operadora — pessoa jurídica que realiza o tratamento em nome da Controladora (art. 5º, VII). Para fins deste DPA: a HallDevs
- Sub-operador — terceiro contratado pela Operadora para auxiliar no tratamento
- Tratamento — qualquer operação realizada com Dados Pessoais (art. 5º, X)
- Incidente de Segurança — qualquer evento adverso que comprometa a confidencialidade, integridade ou disponibilidade dos Dados Pessoais
Seção 2 — Objeto
A Operadora tratará Dados Pessoais fornecidos pela Controladora exclusivamente para os fins de operação técnica da HallVox, a saber:
- Receber, enviar, armazenar e exibir mensagens trocadas nos canais conectados pela Controladora (WhatsApp, e-mail, Instagram Direct, Facebook Messenger, Telegram)
- Manter histórico de conversas, contatos, atribuições a agentes e classificações
- Disponibilizar à Controladora ferramentas de busca, exportação, automação e relatórios sobre os dados que ela mesma armazenou
- Executar workflows de automação configurados pela Controladora (n8n)
- Processar mensagens por agentes de IA somente quando a Controladora ativar explicitamente a funcionalidade
- Realizar backups, monitoramento e manutenção técnica
Seção 3 — Categorias de dados tratados
A Operadora poderá tratar, em nome da Controladora, as seguintes categorias:
- Identificação: nome, telefone, e-mail e identificadores de canal (número WhatsApp, e-mail, PSID/IGSID do Meta, chat_id do Telegram)
- Conteúdo de comunicação: mensagens em texto, áudio, imagem, vídeo e documento
- Metadados: horários de envio/recebimento, status de leitura, atribuição a agente, IDs internos de mensagem
- Dados de relacionamento: tags, tabulações, notas internas, histórico de atendimento
- Dados sensíveis (LGPD art. 11) eventualmente presentes no conteúdo das mensagens: a Controladora declara estar ciente de que o conteúdo enviado por seus contatos pode incluir dados sensíveis (saúde, biometria, opinião política, etc.) e é a única responsável por garantir base legal específica e adotar as salvaguardas exigidas pelo art. 11 da LGPD
Seção 4 — Finalidade, duração e instruções
O tratamento realizado pela Operadora limita-se às finalidades descritas na Seção 2 e às instruções razoáveis emitidas pela Controladora através da interface do painel (configurações de canal, regras de automação, ativação/desativação de IA, etc.).
Caso a Operadora receba instrução que entenda violar a LGPD ou outra norma aplicável, informará a Controladora prontamente e poderá suspender a execução até esclarecimento.
Este DPA vigora enquanto perdurar a relação contratual entre as partes, prorrogando-se pelos prazos de retenção indicados na Política de Privacidade.
Seção 5 — Obrigações da Operadora (HallDevs)
A HallDevs compromete-se a:
- Tratar dados apenas conforme as instruções da Controladora e este DPA, exceto quando obrigada por lei ou ordem judicial — hipóteses em que informará a Controladora previamente, salvo proibição legal
- Implementar medidas técnicas e administrativas de segurança (LGPD art. 46):
- Criptografia em trânsito (TLS 1.2+)
- Hash bcrypt para senhas
- Cookies de autenticação com flags Secure, HttpOnly e SameSite=Strict
- Headers de segurança HTTP (HSTS, CSP, X-Frame-Options, etc.)
- Autenticação multifator (2FA) disponível
- Isolamento por inquilino (multi-tenant) — cada Controladora acessa exclusivamente seus dados
- Logs de auditoria de ações administrativas sensíveis
- Mascaramento de PII (telefones) em logs aplicacionais
- Monitoramento contínuo (Sentry)
- Backups regulares com retenção de 30 dias
- Rate limiting em endpoints públicos
- Notificar a Controladora sobre Incidentes de Segurança em até 48 horas após o conhecimento dos fatos, fornecendo:
- Descrição do incidente e dos dados potencialmente afetados
- Volume estimado de Titulares envolvidos
- Medidas de contenção já adotadas
- Medidas planejadas de mitigação e prevenção de recorrência
- Contato técnico para acompanhamento
- Auxiliar a Controladora a responder solicitações de Titulares (acesso, correção, eliminação, portabilidade) — encaminhando solicitações recebidas diretamente em até 5 dias úteis e disponibilizando ferramentas técnicas no painel para que a Controladora atenda os Titulares de forma autônoma
- Eliminar ou devolver os dados ao término da relação contratual, conforme cronograma descrito nos Termos de Uso (Seção 8)
- Manter registro das operações de tratamento (LGPD art. 37) e disponibilizá-lo mediante solicitação razoável
- Não compartilhar dados com terceiros além dos Sub-operadores listados publicamente (Seção 8 deste DPA)
- Aplicar princípios de segurança desde a concepção (Privacy by Design — LGPD art. 46, §2º)
Seção 6 — Obrigações da Controladora (empresa-cliente)
A Controladora compromete-se a:
- Garantir base legal apropriada para o tratamento dos Dados Pessoais que processa via HallVox (consentimento, execução de contrato, legítimo interesse, obrigação legal, proteção da vida, tutela da saúde, etc.) — conforme LGPD arts. 7º e 11
- Informar adequadamente seus Titulares sobre o tratamento, mantendo sua própria política de privacidade acessível
- Cumprir as políticas dos provedores de canal, em particular:
- WhatsApp Business Policy — incluindo opt-in explícito para mensagens transacionais e janela de 24h pra resposta
- Meta Business / Instagram Platform Terms
- Telegram Bot API Terms
- Política antispam Postmark e regras CAN-SPAM/LGPD para e-mail
- Atender solicitações de seus Titulares dentro dos prazos legais (15 dias úteis — LGPD art. 19, §1º), utilizando as funcionalidades da plataforma quando aplicável
- Cuidados redobrados com dados sensíveis (LGPD art. 11) — base legal específica, salvaguardas técnicas adicionais, não inserção desnecessária no sistema
- Manter atualizado o cadastro de agentes autorizados e revogar imediatamente acessos de pessoas que deixarem a equipe
- Não usar a plataforma para finalidades ilícitas, spam, fraude ou violações descritas nos Termos de Uso
Seção 7 — Sub-operadores
A Controladora autoriza desde já a Operadora a contratar Sub-operadores para finalidades técnicas (hospedagem, gateways de canal, e-mail, IA, observabilidade). A lista atualizada é mantida em /subprocessadores.
Notificação de alterações: a inclusão de novo Sub-operador será comunicada com pelo menos 15 dias de antecedência via e-mail e/ou banner no painel. A Controladora pode objetar fundamentadamente. Caso a objeção seja incompatível com a operação técnica do serviço, a Controladora poderá rescindir o contrato sem ônus dentro desse prazo.
A Operadora responsabiliza-se perante a Controladora pelo cumprimento das obrigações deste DPA pelos Sub-operadores (LGPD art. 39 §1º) e mantém com cada um instrumento contratual de proteção de dados equivalente.
Seção 8 — Transferência internacional
Parte dos Sub-operadores processa dados em jurisdições fora do Brasil (Estados Unidos, União Europeia, entre outros). A Operadora declara que tais transferências ocorrem sob uma das hipóteses do LGPD art. 33:
- Inciso I — países com nível adequado de proteção reconhecido pela ANPD (ex.: União Europeia)
- Inciso II — Cláusulas Contratuais Padrão firmadas com cada Sub-operador (EUA, Reino Unido, etc.)
A indicação da base de transferência para cada Sub-operador está em /subprocessadores.
Seção 9 — Direitos do Titular
Quando um Titular exercer direitos perante a Operadora relacionados a dados da Controladora, a Operadora encaminhará a solicitação à Controladora em até 5 dias úteis e disponibilizará suporte técnico para atendimento. A Controladora é a responsável primária pela resposta ao Titular dentro do prazo legal.
Para dados dos quais a HallDevs é Controladora (usuários do painel), os direitos são exercidos diretamente conforme a Política de Privacidade.
Seção 10 — Auditoria
Mediante solicitação razoável e aviso prévio de 30 dias, a Controladora pode auditar as medidas de segurança da Operadora, observado:
- Limite de uma auditoria por ano civil
- Realização em horário comercial, sem comprometer a operação dos demais clientes
- A Operadora pode oferecer, em substituição, relatórios de auditoria de terceiros (quando disponíveis), certificações reconhecidas ou questionário detalhado
- Custos das auditorias presenciais são da Controladora, salvo se a auditoria identificar não conformidade material — caso em que os custos são da Operadora
Seção 11 — Encerramento e devolução de dados
Ao término da relação contratual:
- A Controladora dispõe de 30 dias para exportar seus dados via funcionalidades do painel ou solicitar exportação consolidada pelo e-mail do DPO
- Decorridos os 30 dias, dados são eliminados em cascata (conta → usuários, contatos, conversas, mensagens, mídias)
- Backups expurgados em até 30 dias após a eliminação
- Logs de auditoria permanecem por 5 anos para defesa em eventual investigação ou processo
A Operadora fornecerá, mediante solicitação, declaração formal de eliminação após a conclusão do processo.
Seção 12 — Responsabilidade
Cada parte responde pelas obrigações que lhe são atribuídas pela LGPD (arts. 42 a 45) e por este DPA. A Operadora responde solidariamente com a Controladora apenas nas hipóteses previstas em lei (ex.: descumprimento de instruções lícitas, violação dolosa, falha grave de segurança).
A limitação de responsabilidade prevista nos Termos de Uso (Seção 11) aplica-se também a este DPA, ressalvadas as exceções legais imperativas.
Seção 13 — Disposições finais
Este DPA é regido pelo direito brasileiro. Fica eleito o foro da comarca de São Paulo/SP para dirimir controvérsias.
Para empresas-clientes que necessitem de DPA assinado em instrumento próprio (impressão, assinatura eletrônica avançada, customizações específicas), escreva para privacy@halldevs.com.