Rascunho — sujeito a revisão jurídica
Acordo de Tratamento de Dados
Este Acordo de Tratamento de Dados (DPA) é incorporado por referência aos Termos de Serviço da StoveOps e integra o contrato entre a StoveOps e cada cliente (o restaurante). Reflete os termos-modelo do Artigo 28(3) do GDPR e do Artigo 39 da LGPD e se aplica sempre que a StoveOps tratar dados pessoais por conta do cliente.
Este texto é um rascunho publicado por transparência e está sujeito a revisão jurídica humana antes de ser usado como instrumento assinado.
Papéis e objeto
O cliente é o controlador (ou responsável equivalente) pelos dados pessoais que envia à StoveOps; a StoveOps é a operadora (prestadora de serviço) que age apenas conforme as instruções documentadas do cliente. O objeto é a prestação do serviço de operações para restaurantes da StoveOps.
Duração
Este DPA vigora pelo prazo do contrato e enquanto a StoveOps tratar dados pessoais por conta do cliente, incluindo o período de encerramento necessário à devolução ou eliminação.
Natureza e finalidade do tratamento
A StoveOps trata dados pessoais para prover fila de espera, mensagens a clientes, site/menu digital, campanhas de marketing, analytics, cobrança e suporte, além de manter o serviço seguro e confiável.
Categorias de dados e titulares
Os titulares incluem operadores e equipe do restaurante, visitantes do site e clientes (guests). As categorias incluem dados de contato, conta e cobrança, conteúdo do restaurante, dados de clientes (nome, contato, tamanho do grupo, status, notas que o restaurante optar por armazenar) e metadados de mensagens. O cliente não deve enviar dados sensíveis salvo quando informado ao titular e com base legal.
Obrigações da operadora
A StoveOps trata dados pessoais apenas conforme as instruções documentadas do cliente (incluindo este DPA e a configuração do produto), garante que pessoas autorizadas estejam sob dever de confidencialidade e não vende dados pessoais nem os usa para fins próprios fora do contrato.
Subprocessadores
O cliente autoriza a StoveOps a contratar os subprocessadores abaixo para prestar o serviço. A StoveOps impõe termos de proteção de dados a cada um e permanece responsável por seu desempenho. Daremos aviso de mudanças pretendidas para que o cliente possa se opor.
- Cloudflare — hospedagem da aplicação, rede de borda, CAPTCHA e armazenamento.
- Neon — hospedagem gerenciada do banco PostgreSQL.
- Resend — entrega de e-mail transacional.
- sent.dm — entrega de mensagens SMS e WhatsApp.
- Stripe — cobrança de assinatura e processamento de pagamentos.
- Stack Grafana (auto-hospedada pela StoveOps) — logs, traces e telemetria do produto.
Segurança
A StoveOps mantém medidas administrativas, técnicas e organizacionais adequadas ao risco, incluindo controle de acesso, menor privilégio, transporte criptografado, logs de auditoria e revisão de provedores, em linha com a seção de Segurança da Política de Privacidade.
Assistência a solicitações de titulares
Considerando a natureza do tratamento, a StoveOps auxilia o cliente com medidas adequadas para responder a solicitações de titulares (DSAR) — acesso, correção, exclusão, portabilidade, oposição e restrição — incluindo a ferramenta de erasure no produto, nos prazos indicados na Política de Privacidade.
Notificação de incidente com dados pessoais
A StoveOps notifica o cliente sem demora indevida após tomar conhecimento de incidente que afete os dados do cliente, com as informações que ele razoavelmente precise para cumprir suas próprias obrigações de notificação.
Transferências internacionais
Quando dados pessoais são transferidos entre países (por exemplo, para os Estados Unidos), a StoveOps apoia-se em mecanismos reconhecidos como as Cláusulas Contratuais Padrão (SCCs) da UE e salvaguardas equivalentes sob outras leis aplicáveis.
Devolução e eliminação
No término, e à escolha do cliente, a StoveOps devolve ou elimina os dados pessoais tratados por conta dele, ressalvada a retenção limitada exigida por lei ou para backups/logs de segurança, que então expiram no ciclo normal. A eliminação de offboarding de guests roda automaticamente após o fim da relação contratual.
Auditorias e contato
A StoveOps disponibiliza as informações necessárias para demonstrar conformidade com este DPA e apoia auditorias razoáveis. Dúvidas e solicitações sob este DPA podem ser enviadas para contact@stoveops.com.