Data Processing Addendum (DPA)
Última atualização: 28/05/2026
Este DPA integra os Termos de Uso quando o ReviewFY ("Operador" / "Processor") trata dados pessoais de titulares em nome do Cliente ("Controlador" / "Controller"), conforme LGPD Art. 39, GDPR Art. 28 e CCPA §1798.140.
1. Objeto e duração
Tratamento durante a vigência da assinatura. Após o término, dados são apagados em até 60 dias, salvo obrigação legal.
2. Natureza e finalidade
Hospedagem, exibição, geração e tradução de reviews; envio de e-mails transacionais; analytics.
3. Categorias de titulares
Compradores das lojas do Cliente, equipe do Cliente.
4. Categorias de dados
Nome, e-mail, foto, comentário, IP, user-agent, identificadores de pedido.
5. Obrigações do Operador
Tratar apenas conforme instruções documentadas do Controlador; garantir confidencialidade do pessoal autorizado; aplicar medidas de segurança (Art. 32 GDPR / Art. 46 LGPD); auxiliar o Controlador em DSARs, DPIAs e notificação de incidentes.
6. Subprocessadores
Lista pública em /privacy. Notificação prévia de mudanças com direito de oposição em 30 dias.
7. Transferência internacional
SCCs da Comissão Europeia (2021/914) e cláusulas-padrão da ANPD quando publicadas. Para a UK: IDTA. Para EUA-UE: Data Privacy Framework quando aplicável.
8. Incidentes
Notificação ao Controlador em até 48h após ciência, com descrição, escopo, medidas adotadas e contato.
9. Auditoria
Sob NDA, mediante aviso prévio de 30 dias, no máximo uma vez por ano, ou relatórios SOC 2 / ISO 27001 dos sub-processadores.
10. Retorno e exclusão
Ao término, exclusão ou devolução em até 60 dias, mediante solicitação por escrito.
11. CCPA — Service Provider
ReviewFY atua como "Service Provider" sob CCPA. Não vende, retém, usa ou divulga dados pessoais fora da finalidade contratual.
Para solicitar DPA assinado: privacidade@reviewfy.app