Integrax
Documento Legal

Acordo de Processamento de Dados (DPA)

Data Processing Agreement conforme a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral sobre a Proteção de Dados (GDPR).

Última atualização: Abril de 2026

Este Acordo de Processamento de Dados ("DPA") é parte integrante dos Termos de Serviço celebrados entre o Cliente ("Controlador") e a Integrax Serviços em Comunicação Digital LTDA, inscrita no CNPJ sob o número pertinente, com sede em São Paulo, SP, Brasil, operando sob a marca Integrax ("Processador"), e rege o tratamento de dados pessoais realizado pelo Processador em nome do Controlador no âmbito da prestação de serviços da plataforma de comunicação como serviço (CPaaS) disponibilizada em integrax.lat.

1. Definições

Para os fins deste DPA, os termos abaixo possuem os seguintes significados:

  • Controlador: O Cliente que determina as finalidades e os meios de tratamento de dados pessoais, conforme definido na Lei 13.709/2018 (LGPD) e no Regulamento (UE) 2016/679 (GDPR).
  • Processador (Operador): A Integrax Serviços em Comunicação Digital LTDA (Integrax), que realiza o tratamento de dados pessoais em nome do Controlador.
  • Titular dos Dados: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, incluindo destinatários de mensagens enviadas por meio da plataforma.
  • Dados Pessoais: Qualquer informação relacionada a pessoa natural identificada ou identificável, nos termos da LGPD e do GDPR.
  • Tratamento: Toda operação realizada com dados pessoais, incluindo coleta, recepção, armazenamento, transmissão, distribuição e eliminação.
  • Sub-processador: Terceiro contratado pelo Processador para auxiliar no tratamento de dados pessoais em nome do Controlador.
  • Incidente de Segurança: Qualquer evento que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais.
  • LGPD: Lei Geral de Proteção de Dados (Lei 13.709/2018), legislação brasileira de proteção de dados.
  • GDPR: Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679), legislação europeia de proteção de dados.
  • ANPD: Autoridade Nacional de Proteção de Dados, órgão brasileiro responsável pela fiscalização do cumprimento da LGPD.

2. Escopo e Finalidade do Tratamento

Este DPA aplica-se a todo tratamento de dados pessoais realizado pelo Processador em nome do Controlador no contexto da utilização dos serviços da plataforma Integrax, incluindo, mas não se limitando a:

  • Envio e recepção de mensagens SMS, RCS e WhatsApp em nome do Controlador;
  • Geração e entrega de relatórios de status de entrega (delivery receipts);
  • Roteamento de mensagens através de operadoras de telecomunicações nacionais e internacionais;
  • Gerenciamento de shortcodes e numeros dedicados;
  • Disponibilização de APIs para integração com os sistemas do Controlador.

O tratamento é realizado exclusivamente para a finalidade de prestação dos serviços contratados, conforme as instruções documentadas do Controlador.

3. Papéis e Responsabilidades

3.1 Papel do Controlador

O Cliente atua como Controlador e é responsável por:

  • Determinar as finalidades e os meios do tratamento de dados pessoais;
  • Garantir que possui base legal adequada para o tratamento, incluindo o consentimento dos titulares quando necessário;
  • Fornecer instruções documentadas ao Processador sobre o tratamento de dados;
  • Assegurar a conformidade com a legislação de proteção de dados aplicável;
  • Responder a solicitações dos titulares de dados relativas ao exercício de seus direitos.

3.2 Papel do Processador

A Integrax atua como Processador (Operador) e se compromete a:

  • Tratar dados pessoais exclusivamente conforme as instruções documentadas do Controlador;
  • Não utilizar os dados pessoais para finalidades próprias ou de terceiros;
  • Auxiliar o Controlador no atendimento a solicitações de titulares de dados;
  • Implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais;
  • Notificar o Controlador sobre quaisquer incidentes de segurança envolvendo dados pessoais.

4. Tipos de Dados Pessoais Tratados

No âmbito da prestação dos serviços, o Processador poderá tratar os seguintes tipos de dados pessoais:

  • Números de telefone dos destinatários das mensagens;
  • Metadados de mensagens, incluindo data e hora de envio, status de entrega, operadora de destino e código de país;
  • Recibos de entrega (delivery receipts) e status de leitura, quando aplicável;
  • Identificadores de API, incluindo endereços IP de origem das requisições;
  • Dados de roteamento, incluindo informações de operadora e rede.

Importante: A Integrax não armazena o conteúdo das mensagens (message body) após a entrega bem-sucedida à operadora de destino. O conteúdo é tratado exclusivamente em trânsito para fins de transmissão.

5. Categorias de Titulares de Dados

Os titulares de dados cujos dados pessoais são tratados no âmbito deste DPA incluem:

  • Usuários finais / destinatários: Pessoas naturais que recebem mensagens SMS, RCS ou WhatsApp enviadas pelo Controlador por meio da plataforma Integrax;
  • Representantes do Controlador: Pessoas naturais que acessam a plataforma Integrax em nome do Cliente, incluindo administradores e operadores da conta.

6. Instrucoes de Tratamento

O Processador tratara os dados pessoais exclusivamente de acordo com as instrucoes documentadas do Controlador, que incluem:

  • As instrucoes estabelecidas neste DPA e nos Termos de Servico;
  • As configuracoes realizadas pelo Controlador na plataforma Integrax;
  • As instrucoes transmitidas por meio da API da Integrax;
  • Quaisquer instrucoes adicionais fornecidas por escrito pelo Controlador.

Caso o Processador considere que uma instrucao do Controlador viola a legislacao de protecao de dados aplicavel, devera informar o Controlador imediatamente.

7. Confidencialidade

O Processador assegura que todas as pessoas autorizadas a tratar dados pessoais:

  • Assumiram compromisso de confidencialidade ou estao sujeitas a obrigacao legal de sigilo;
  • Receberam treinamento adequado sobre protecao de dados pessoais;
  • Acessam apenas os dados estritamente necessarios para o desempenho de suas funcoes (principio do menor privilegio).

As obrigacoes de confidencialidade permanecem vigentes mesmo apos o termino da relacao contratual.

8. Medidas de Seguranca

O Processador implementa e mantem medidas tecnicas e organizacionais adequadas para proteger os dados pessoais contra tratamento nao autorizado ou ilicito, perda acidental, destruicao ou dano, incluindo:

8.1 Criptografia

  • Criptografia em transito (TLS 1.2 ou superior) para todas as comunicacoes de API e transmissao de dados;
  • Criptografia em repouso (AES-256) para dados pessoais armazenados em bancos de dados e sistemas de backup.

8.2 Controle de Acesso

  • Autenticacao multifator (MFA) para acesso a sistemas internos;
  • Controle de acesso baseado em funcoes (RBAC) com principio do menor privilegio;
  • Revisao periodica de permissoes de acesso;
  • Segregacao de ambientes de producao, homologacao e desenvolvimento.

8.3 Monitoramento e Auditoria

  • Registros de auditoria (audit logs) para todas as operacoes de acesso e modificacao de dados pessoais;
  • Monitoramento continuo de seguranca com alertas em tempo real;
  • Testes periodicos de vulnerabilidade e penetracao;
  • Plano de resposta a incidentes documentado e testado periodicamente.

8.4 Seguranca Fisica e de Infraestrutura

  • Infraestrutura hospedada em data centers com certificacoes de seguranca reconhecidas internacionalmente (ISO 27001, SOC 2);
  • Redundancia geografica e mecanismos de recuperacao de desastres;
  • Backups regulares com criptografia e testes de restauracao.

9. Sub-processadores

O Controlador autoriza o Processador a contratar os seguintes tipos de sub-processadores para auxiliar na prestacao dos servicos:

  • Operadoras de telecomunicacoes: Para roteamento e entrega de mensagens SMS, RCS e WhatsApp nos paises de destino;
  • Provedores de infraestrutura em nuvem: Para hospedagem de servidores, bancos de dados e servicos de processamento;
  • Agregadores de mensagens: Para intermediacao do envio em rotas internacionais onde a Integrax nao possui conexao direta com a operadora.

O Processador se compromete a:

  • Manter uma lista atualizada de sub-processadores, disponivel mediante solicitacao ao Controlador;
  • Informar o Controlador com antecedencia razoavel sobre a inclusao ou substituicao de sub-processadores;
  • Celebrar contratos com sub-processadores que imponham obrigacoes de protecao de dados equivalentes as estabelecidas neste DPA;
  • Permanecer responsavel perante o Controlador pelos atos e omissoes de seus sub-processadores.

O Controlador podera se opor a contratacao de um novo sub-processador mediante notificacao por escrito no prazo de 15 (quinze) dias uteis apos o recebimento da comunicacao do Processador.

10. Transferencias Internacionais de Dados

Em razao da natureza global dos servicos de comunicacao, dados pessoais poderao ser transferidos para paises fora do Brasil e/ou do Espaco Economico Europeu (EEE) para fins de roteamento e entrega de mensagens.

O Processador assegura que tais transferencias:

  • Serao realizadas em conformidade com os requisitos da LGPD (art. 33) e do GDPR (Capitulo V);
  • Contarao com mecanismos de protecao adequados, incluindo Clausulas Contratuais Padrao (Standard Contractual Clauses - SCCs) aprovadas pela Comissao Europeia, quando aplicavel;
  • Estarao sujeitas a avaliacoes de impacto de transferencia quando exigido pela legislacao aplicavel;
  • Serao limitadas ao estritamente necessario para a prestacao dos servicos contratados.

11. Notificacao de Incidentes de Seguranca

Em caso de incidente de seguranca que envolva dados pessoais tratados no ambito deste DPA, o Processador se compromete a:

  • Notificar o Controlador em ate 72 (setenta e duas) horas apos tomar conhecimento do incidente, conforme exigido pelo art. 48 da LGPD e pelo art. 33 do GDPR;
  • Fornecer ao Controlador, na medida do possivel, as seguintes informacoes:
    • Natureza do incidente;
    • Categorias e numero aproximado de titulares afetados;
    • Categorias e numero aproximado de registros de dados afetados;
    • Consequencias provaveis do incidente;
    • Medidas adotadas ou propostas para remediar o incidente e mitigar seus efeitos.
  • Cooperar com o Controlador na investigacao e remediacao do incidente;
  • Auxiliar o Controlador no cumprimento de suas obrigacoes de notificacao perante a ANPD, autoridades de supervisao europeias e titulares de dados.

12. Eliminacao e Devolucao de Dados

Apos o termino da prestacao dos servicos ou mediante solicitacao do Controlador, o Processador devera, a criterio do Controlador:

  • Devolver todos os dados pessoais ao Controlador em formato estruturado, de uso comum e legivel por maquina; ou
  • Eliminar de forma segura todos os dados pessoais, incluindo copias existentes em sistemas de backup, salvo quando a retencao for exigida pela legislacao aplicavel.

A eliminacao sera concluida no prazo maximo de 30 (trinta) dias apos a solicitacao ou o termino do contrato. O Processador fornecera uma certificacao por escrito confirmando a eliminacao, quando solicitado.

Dados retidos para cumprimento de obrigacoes legais serao mantidos com acesso restrito e eliminados tao logo a obrigacao de retencao expire.

13. Direito de Auditoria

O Processador se compromete a:

  • Disponibilizar ao Controlador todas as informacoes necessarias para demonstrar o cumprimento das obrigacoes estabelecidas neste DPA;
  • Permitir e contribuir com auditorias, incluindo inspecoes, realizadas pelo Controlador ou por auditor independente por ele designado;
  • Informar imediatamente o Controlador caso uma instrucao, em sua opiniao, viole a legislacao de protecao de dados aplicavel.

As auditorias deverao ser realizadas mediante aviso previo razoavel de no minimo 30 (trinta) dias, durante o horario comercial, e nao poderao interferir de forma injustificada nas operacoes do Processador. Os custos da auditoria serao suportados pelo Controlador, salvo quando a auditoria revelar descumprimento material por parte do Processador.

14. Conformidade com a LGPD

O Processador se compromete a cumprir integralmente as disposicoes da Lei Geral de Protecao de Dados (Lei 13.709/2018), incluindo:

  • Observar os principios de finalidade, adequacao, necessidade, livre acesso, qualidade, transparencia, seguranca, prevencao, nao discriminacao e responsabilizacao (art. 6o da LGPD);
  • Auxiliar o Controlador no atendimento aos direitos dos titulares previstos nos arts. 17 a 22 da LGPD, incluindo acesso, correcao, anonimizacao, portabilidade e eliminacao;
  • Cooperar com a ANPD no exercicio de suas funcoes, quando solicitado;
  • Manter registro das operacoes de tratamento de dados pessoais realizadas em nome do Controlador (art. 37 da LGPD);
  • Indicar um Encarregado pelo Tratamento de Dados Pessoais (DPO), cujo contato e: dpo@integrax.lat.

15. Conformidade com o GDPR

Quando o tratamento envolver dados pessoais de titulares localizados no Espaco Economico Europeu (EEE) ou quando o GDPR for aplicavel, o Processador se compromete adicionalmente a:

  • Cumprir as obrigacoes impostas aos operadores pelo Regulamento (UE) 2016/679;
  • Garantir que as transferencias internacionais de dados estejam amparadas por mecanismos adequados, conforme o Capitulo V do GDPR;
  • Auxiliar o Controlador na realizacao de Avaliacoes de Impacto a Protecao de Dados (DPIA) quando necessario;
  • Cooperar com as autoridades de supervisao europeias no exercicio de suas funcoes;
  • Manter registros de atividades de tratamento conforme o art. 30 do GDPR.

16. Responsabilidade

A responsabilidade de cada parte no ambito deste DPA sera regida conforme os seguintes principios:

  • Cada parte sera responsavel pelos danos causados pelo tratamento que violar a legislacao de protecao de dados aplicavel;
  • O Processador sera responsavel pelos danos causados pelo tratamento apenas quando nao tiver cumprido as obrigacoes especificamente dirigidas a operadores pela legislacao aplicavel ou quando tiver agido fora ou contrariamente as instrucoes licitas do Controlador;
  • A limitacao de responsabilidade prevista nos Termos de Servico aplica-se igualmente a este DPA, na extensao permitida pela legislacao aplicavel;
  • Nenhuma parte sera responsavel por danos que resultem exclusivamente do cumprimento da legislacao aplicavel ou de ordens de autoridades competentes.

17. Vigencia e Rescisao

  • Este DPA entra em vigor na data em que o Controlador contrata os servicos da Integrax e permanece vigente enquanto o Processador tratar dados pessoais em nome do Controlador;
  • As obrigacoes de confidencialidade e as disposicoes relativas a eliminacao/devolucao de dados sobreviverao ao termino deste DPA;
  • Em caso de rescisao, aplicam-se as disposicoes da Secao 12 (Eliminacao e Devolucao de Dados) deste DPA;
  • Este DPA podera ser atualizado pelo Processador para refletir alteracoes na legislacao aplicavel, mediante notificacao previa ao Controlador com antecedencia minima de 30 (trinta) dias.

18. Disposicoes Gerais

  • Este DPA e parte integrante e complementar dos Termos de Servico da Integrax;
  • Em caso de conflito entre este DPA e os Termos de Servico, prevalecerao as disposicoes deste DPA no que diz respeito ao tratamento de dados pessoais;
  • Este DPA sera regido pelas leis da Republica Federativa do Brasil, com foro na comarca de Sao Paulo, SP, para resolucao de quaisquer disputas;
  • Quando o GDPR for aplicavel, as disposicoes do GDPR prevalecerao sobre disposicoes conflitantes deste DPA na extensao necessaria.

19. Contato

Para questoes relacionadas a este DPA ou ao tratamento de dados pessoais, entre em contato com o Encarregado pelo Tratamento de Dados Pessoais (DPO):

Integrax Serviços em Comunicação Digital LTDA

Marca: Integrax

Sao Paulo, SP - Brasil

E-mail do DPO: dpo@integrax.lat

Website: integrax.lat

Ultima atualizacao: Abril de 2026

Integrax Serviços em Comunicação Digital LTDA - Todos os direitos reservados.