Data Processing Agreement (DPA)

Entre o Cliente e a Smart Solutions

Última atualização: 12/12/2025

Este Acordo de Tratamento de Dados Pessoais (“DPA”) integra o contrato de prestação de serviços firmado entre o Cliente e a Smart Solutions (“Smart”).

1. Definições

Cliente: A pessoa jurídica que contrata os serviços da Smart e que, para fins da LGPD (Lei 13.709/2018), atua como Controladora dos dados pessoais eventualmente tratados durante a prestação dos serviços.

Smart Solutions: Atua como Operadora, realizando tratamento de dados pessoais exclusivamente em nome do Cliente e conforme suas instruções documentadas.

Dados Pessoais: Quaisquer informações relacionadas a pessoa natural identificada ou identificável, conforme definido pela LGPD.

2. Objeto

2.1. Este DPA regula o tratamento de dados pessoais realizado pela Smart durante a execução de serviços de TI, cibersegurança, monitoramento, consultoria, resposta a incidentes e demais atividades contratadas pelo Cliente.

2.2. A Smart não coleta dados pessoais por iniciativa própria, mas pode ter acesso eventual e limitado a dados do Cliente durante atividades técnicas.

3. Natureza do Tratamento

3.1. O tratamento executado pela Smart pode incluir:

• acesso a logs, alertas e eventos de segurança;
• análise de incidentes de cibersegurança;
• suporte técnico remoto;
• administração ou integração de ferramentas especializadas, como Cyrebro.io;
• outras atividades necessárias para execução dos serviços contratados.

3.2. A Smart não utiliza dados pessoais para fins próprios (marketing, análise independente, venda, compartilhamento não autorizado etc.).

4. Instruções do Cliente

4.1. A Smart tratará dados pessoais somente conforme instruções do Cliente, incluindo:

• o contrato principal;
• instruções operacionais documentadas;
• comunicações oficiais enviadas pelo Cliente.

4.2. Caso qualquer instrução do Cliente viole a LGPD, a Smart o comunicará prontamente.

5. Confidencialidade

5.1. Toda informação acessada pela Smart é confidencial.

5.2. A Smart garante que qualquer pessoa por ela autorizada a acessar dados:

• está sujeita a acordo de confidencialidade;
• recebe treinamento adequado;
• acessa somente o necessário para prestar o serviço.

6. Segurança da Informação

A Smart adota boas práticas de segurança compatíveis com o mercado, incluindo:

• controles rigorosos de acesso;
• autenticação forte;
• segmentação de redes;
• criptografia quando aplicável;
• monitoramento contínuo;
• auditoria e registro de atividades;
• políticas internas de segurança e governança.

7. Suboperadores

7.1. Para executar os serviços, a Smart pode utilizar suboperadores, incluindo:

 Cyrebro.io

 Fornecedores especializados em cibersegurança, monitoramento e ferramentas técnicas

7.2. A Smart assegura que seus suboperadores:

• adotam níveis de segurança compatíveis com a LGPD;
• tratam dados exclusivamente para fins previstos por este DPA;
• estão sujeitos a obrigações contratuais adequadas.

7.3. O Cliente poderá solicitar a lista atualizada de suboperadores a qualquer momento.

8. Transferência Internacional

8.1. Alguns suboperadores da Smart podem processar dados fora do Brasil.

8.2. A Smart assegura que tais transferências seguem os mecanismos permitidos pela LGPD, incluindo:

• cláusulas contratuais específicas;
• salvaguardas técnicas e operacionais adequadas;
• medidas adicionais implementadas para proteção dos dados.

(todas as referências a certificações foram removidas)

9. Notificação de Incidentes

9.1. A Smart notificará o Cliente de incidentes de segurança relevantes que:

• envolvam dados pessoais acessados durante a prestação dos serviços;
• possam gerar risco ou dano aos titulares.

9.2. A notificação incluirá:

• descrição preliminar do incidente;
• dados potencialmente afetados (quando identificável);
• medidas adotadas;
• planos de mitigação.

10. Auditorias

10.1. O Cliente poderá solicitar evidências de conformidade, tais como:

• políticas internas;
• relatórios de segurança;
• registros aplicáveis.

10.2. Auditorias presenciais devem ser:

• previamente agendadas;
• razoáveis em escopo;
• conduzidas sem comprometer a segurança de ambientes de outros clientes ou sistemas internos da Smart.

11. Direitos dos Titulares

11.1. O Cliente é o responsável por responder solicitações de titulares (acesso, correção, eliminação, portabilidade etc.).

11.2. A Smart prestará suporte razoável quando solicitado pelo Cliente.

12. Retenção e Eliminação

12.1. Ao término dos serviços, a Smart:

• cessa qualquer tratamento dos dados;
• elimina registros temporários ou operacionais;
• mantém apenas informações estritamente necessárias para obrigações legais, auditoriais ou fiscais.

13. Comunicações

13.1. Questões relativas ao tratamento de dados devem ser enviadas para:

info@smart.etc.br

14. Vigência

14.1. Este DPA entra em vigor na data da assinatura do contrato principal e permanecerá válido enquanto houver tratamento de dados pela Smart.

15. Disposições Finais

15.1. Em caso de conflito entre este DPA e o contrato principal, prevalecerão as disposições de proteção de dados deste documento.

15.2. Este DPA é regido pelas leis brasileiras.