Acordo de tratamento de dados (DPA)

1. Objeto

Estabelecer os termos sob os quais a AppByte trata os Dados do Cliente, definir as obrigações de segurança, suboperadores, transferências internacionais, assistência a Titulares, notificação de incidentes, retorno e eliminação.

2. Instruções do Cliente

A AppByte tratará os Dados do Cliente unicamente conforme as instruções documentadas do Cliente e os Termos do serviço. O uso do Serviço constitui instrução para os tratamentos necessários para sua prestação (armazenamento, processamento, transmissão, backup, suporte, segurança).

3. Objeto, duração e categorias

• Duração: enquanto vigente o contrato e os prazos de retenção aplicáveis.
• Natureza e finalidade: hospedar, processar, transmitir, fazer backup e exibir Dados do Cliente para operar o Serviço UWOD (plataforma da academia e app do atleta).
• Categorias de Titulares: membros e atletas da academia, coaches, recepção, administradores e demais usuários e terceiros carregados pelo Cliente.
• Categorias de dados: identificação e contato; dados de aulas, reservas e presença; planos e metadados de mensalidades; dados esportivos e de treino (WODs, resultados, PRs e benchmarks, histórico e estatísticas — que podem incluir dados sensíveis de saúde); finanças operacionais da academia; imagens e documentos; dados de auditoria.

4. Obrigações da AppByte

1. Tratar os dados somente por instrução documentada do Cliente, salvo obrigação legal.
2. Garantir confidencialidade do pessoal autorizado.
3. Implementar medidas técnicas e organizacionais razoáveis conforme a Política de segurança.
4. Não utilizar dados pessoais para treinar modelos de inteligência artificial sem consentimento; as funcionalidades de IA são opcionais.
5. Assistir razoavelmente o Cliente para responder solicitações de Titulares.
6. Notificar incidentes de segurança sem demora indevida e, quando possível, dentro de 72 horas desde a confirmação interna.
7. Eliminar ou devolver os dados ao término do contrato conforme a Política de privacidade e às instruções do Cliente.
8. Disponibilizar ao Cliente a informação razoável que demonstre o cumprimento deste DPA.

5. Suboperadores

1. O Cliente autoriza a AppByte a utilizar suboperadores conforme a Lista pública de suboperadores.
2. A AppByte notificará a incorporação de suboperadores materiais com pelo menos 30 dias corridos de antecedência, salvo urgência de segurança. O Cliente poderá opor-se motivadamente; não se resolvendo, poderá terminar o contrato sem penalidade.
3. A AppByte imporá aos suboperadores obrigações equivalentes no que for aplicável.

6. Transferências internacionais

A infraestrutura produtiva opera sobre fornecedores de hospedagem cloud, CDN e demais serviços que podem estar localizados em diferentes regiões. A AppByte adota salvaguardas contratuais e técnicas razoáveis para as transferências internacionais. O detalhe por fornecedor é publicado na Lista de suboperadores.

7. Direitos dos Titulares

A AppByte assistirá o Cliente com meios razoáveis (interfaces da Plataforma, exportação, eliminação lógica) para atender direitos de acesso, retificação, supressão, oposição, limitação e portabilidade. As solicitações de Titulares cujos dados foram carregados pelo Cliente são canalizadas via o Cliente; a AppByte executa tecnicamente o solicitado.

8. Incidentes

Conteúdo mínimo da notificação de incidente: natureza do incidente, data estimada, dados e Titulares afetados, medidas adotadas, recomendações para o Cliente, ponto de contato e atualizações posteriores. A AppByte poderá limitar detalhes quando a investigação estiver em curso ou quando justificado por motivos de segurança ou confidencialidade.

9. Auditoria

O Cliente poderá solicitar informação razoável e certificações disponíveis. As auditorias presenciais exigirão aviso prévio, alcance limitado, acordos de confidencialidade e custos por conta do Cliente, salvo descumprimento confirmado da AppByte.

10. Devolução e eliminação

Ao término do contrato: janela de exportação de 30 dias corridos (apenas dados operacionais do Cliente); eliminação produtiva posterior; sobrescrita de backups dentro de um prazo máximo de 90 dias corridos, salvo conservação legal. A exportação não compreende código-fonte, esquemas de base de dados, arquitetura técnica, modelos internos, lógica de negócio do software nem elementos estruturais da Plataforma.

11. Responsabilidade

A limitação de responsabilidade estabelecida nos Termos do serviço (limite total equivalente aos valores efetivamente pagos pelo Cliente durante os 12 meses anteriores ao evento que origina a reclamação, salvo que uma lei aplicável exija um padrão distinto ou que um anexo validamente firmado estabeleça outro limite) aplica-se também a este DPA, sem prejuízo das normas imperativas aplicáveis que não possam ser validamente renunciadas.

12. Conflito entre documentos

Em caso de conflito entre este DPA e os Termos do serviço em matéria de proteção de dados pessoais, prevalecerá este DPA.

13. Contato

Consultas relativas a este DPA ou ao tratamento de dados pessoais: dpo@uwod.app.