Legal

Acordo de Processamento
de Dados (DPA)

Última atualização: 03 de junho de 2026

Este Acordo de Processamento de Dados ("DPA") é parte integrante dos Termos de Uso do Privorio e se aplica automaticamente a todos os Usuários que utilizam a Plataforma para gestão de consentimento em seus sites.

Ele estabelece os termos sob os quais a PRIVORIO, inscrita no CNPJ sob o nº 22.203.523/0001-78, com sede em Dourados, Mato Grosso do Sul, Brasil ("Privorio" ou "Operador"), processa dados pessoais em nome do Usuário ("Controlador"), em conformidade com a LGPD (Lei nº 13.709/2018).

Termos de Uso Política de Privacidade Voltar ao site

Este DPA é parte integrante dos Termos de Uso e deve ser interpretado em conjunto com eles.

01 Definições

Para os fins deste DPA, aplicam-se as seguintes definições:

  • Dados Pessoais — qualquer informação relacionada a pessoa natural identificada ou identificável, conforme Art. 5º, I da LGPD.
  • Tratamento — toda operação realizada com dados pessoais (coleta, recepção, classificação, utilização, acesso, transmissão, armazenamento, eliminação, modificação, transferência, entre outras), conforme Art. 5º, X da LGPD.
  • Controlador — o Usuário do Privorio, que determina as finalidades e os meios do tratamento de dados pessoais dos visitantes de seu(s) site(s).
  • Operador — o Privorio, que realiza o tratamento de dados pessoais em nome e conforme as instruções do Controlador.
  • Titulares — os visitantes dos sites do Controlador cujos dados pessoais são processados por meio da Plataforma Privorio.
  • Plataforma — o software de gestão de consentimento (CMP) do Privorio, incluindo o script cmp.js, o dashboard e a API.
  • Suboperador — terceiro contratado pelo Operador para auxiliar no tratamento de dados pessoais em nome do Controlador.

02 Objeto e natureza do tratamento

2.1. Papel do Privorio

O Privorio atua exclusivamente como Operador de dados pessoais, nos termos do Art. 5º, VII da LGPD. O Privorio não é Controlador dos dados pessoais dos visitantes dos sites do Controlador e não determina as finalidades nem os meios do tratamento desses dados.

2.2. Dados tratados pelo Privorio

No exercício de suas funções como Operador, o Privorio trata os seguintes dados pessoais em nome do Controlador:

DadoDescriçãoFinalidade
Identificador anonimizadoHash SHA-256 do IP combinado com o ID do site — irreversívelRegistrar o consentimento sem armazenar o IP em texto claro
Preferências de consentimentoAceitar/rejeitar por categoria (analytics, marketing, funcional)Registrar a decisão do titular (LGPD Art. 7º, I)
TimestampData e hora da decisãoComprovação jurídica do consentimento
Tipo de eventoaccept_all, reject_all, custom, revoke, gpcAuditoria e conformidade
User-agentDesktop/mobile/tablet — não identifica o usuárioEstatísticas agregadas de conformidade

2.3. O que o Privorio NÃO coleta

O Privorio não coleta, armazena nem processa:

  • Endereços IP em texto claro;
  • Nome, e-mail ou qualquer dado cadastral dos visitantes;
  • Conteúdo de navegação ou histórico de páginas visitadas;
  • Dados sensíveis conforme Art. 5º, II da LGPD;
  • Dados de crianças e adolescentes.

2.4. Finalidade do tratamento

O tratamento realizado pelo Privorio tem exclusivamente as seguintes finalidades:

  • Registrar e armazenar o consentimento dos titulares para comprovação jurídica;
  • Transmitir os sinais de consentimento ao Google Consent Mode v2 e demais integrações configuradas pelo Controlador;
  • Permitir ao Controlador gerar relatórios de conformidade com a LGPD;
  • Processar solicitações de exercício de direitos dos titulares encaminhadas pelo Controlador.

03 Obrigações do Operador (Privorio)

O Privorio compromete-se a:

3.1. Tratar apenas conforme instruções documentadas do Controlador, salvo obrigação legal em contrário — notificando o Controlador previamente sempre que legalmente permitido.

3.2. Garantir a confidencialidade dos dados pessoais tratados, assegurando que apenas pessoas autorizadas e sujeitas a obrigações de confidencialidade tenham acesso.

3.3. Implementar medidas técnicas e administrativas adequadas para proteger os dados pessoais, incluindo:

  • Comunicação criptografada via HTTPS/TLS em todas as transmissões;
  • Armazenamento em banco de dados com acesso restrito e autenticado;
  • Anonimização de identificadores de visitantes (hash SHA-256 irreversível);
  • Backups regulares com retenção definida;
  • Controle de acesso baseado em autenticação JWT.

3.4. Notificar o Controlador em até 36 (trinta e seis) horas úteis após tomar conhecimento de qualquer incidente de segurança que possa afetar dados pessoais tratados em seu nome, contendo data e hora do incidente, tipos de dados afetados, estimativa de titulares impactados e medidas adotadas para conter e remediar.

3.5. Auxiliar o Controlador no atendimento de solicitações de exercício de direitos dos titulares (Art. 18 da LGPD), fornecendo as informações e funcionalidades disponíveis na Plataforma.

3.6. Eliminar ou devolver os dados pessoais ao término da relação contratual, conforme opção do Controlador, ressalvadas as hipóteses legais de retenção.

3.7. Disponibilizar informações necessárias para demonstrar o cumprimento das obrigações previstas neste DPA e na LGPD, mediante solicitação fundamentada do Controlador.

3.8. Manter registros das atividades de tratamento realizadas em nome do Controlador, conforme Art. 37 da LGPD.

04 Obrigações do Controlador (Usuário)

O Controlador declara e garante que:

4.1. Possui base legal adequada para o tratamento de dados pessoais dos visitantes de seu(s) site(s), conforme Art. 7º da LGPD.

4.2. Forneceu informações claras e precisas aos titulares sobre o tratamento de seus dados, conforme Art. 9º da LGPD.

4.3. Configura a Plataforma de forma alinhada com as finalidades de tratamento declaradas em sua Política de Privacidade.

4.4. É responsável exclusivo pela definição das finalidades, categorias de dados e vendors terceiros configurados em sua conta Privorio.

4.5. Notificará o Privorio em até 24 (vinte e quatro) horas ao receber qualquer solicitação, ordem judicial ou comunicação oficial relacionada ao tratamento de dados realizados por meio da Plataforma.

4.6. Não instruirá o Privorio a realizar tratamentos que violem a LGPD ou qualquer outra legislação aplicável.

05 Suboperadores

5.1. O Privorio utiliza os seguintes Suboperadores para o tratamento de dados pessoais em nome do Controlador:

SuboperadorFunçãoLocalização
Railway (Railway Corp.)Hospedagem da API e processamentoEUA
Vercel Inc.Hospedagem do DashboardEUA
Cloudflare Inc.CDN e entrega do script cmp.jsEUA
Neon Inc. (PostgreSQL)Armazenamento do banco de dadosEUA
Browserless Inc.Scan de cookies e tags (quando ativado)EUA

5.2. O Privorio garante que todos os Suboperadores estão sujeitos a obrigações contratuais de proteção de dados equivalentes ou superiores às previstas neste DPA.

5.3. O Privorio notificará o Controlador com pelo menos 30 (trinta) dias de antecedência sobre qualquer alteração nos Suboperadores que possa impactar o tratamento de dados pessoais, salvo em situações emergenciais devidamente justificadas.

06 Transferência internacional de dados

6.1. Os Suboperadores listados na Cláusula 5 operam parcial ou integralmente fora do Brasil. O Privorio adota as seguintes salvaguardas para transferências internacionais:

  • Contratação de Suboperadores que aderem a padrões reconhecidos de proteção de dados (GDPR, SOC 2, ISO 27001);
  • Cláusulas contratuais que obrigam os Suboperadores a tratar os dados conforme padrões compatíveis com a LGPD.

6.2. Ao aceitar os Termos de Uso e este DPA, o Controlador autoriza as transferências internacionais descritas nesta cláusula, nos termos do Art. 33 da LGPD.

07 Retenção e eliminação de dados

7.1. O Privorio retém os dados pessoais tratados em nome do Controlador pelos seguintes prazos:

DadoPrazo de retençãoFundamento
Logs de consentimento5 anos após o registroPrazo recomendado pela ANPD para comprovação
Histórico de scans de tags12 mesesFinalidade operacional
Logs de requisições de privacidade5 anosObrigação legal

7.2. Após o encerramento da conta do Controlador: dados de configuração do site são eliminados em até 30 dias; logs de consentimento são mantidos pelo prazo legal de 5 anos, salvo solicitação expressa de eliminação antecipada; após o prazo legal, há eliminação definitiva e irreversível.

7.3. O Controlador pode solicitar a eliminação antecipada dos dados a qualquer momento, observadas as hipóteses legais de retenção obrigatória.

08 Direitos dos titulares

8.1. O Controlador é o responsável principal pelo atendimento das solicitações de exercício de direitos dos titulares (Art. 18 da LGPD).

8.2. O Privorio disponibiliza ao Controlador as seguintes ferramentas para auxílio no atendimento:

  • Portal de privacidade para recebimento de solicitações de acesso, exclusão e revogação;
  • Relatórios de conformidade com histórico de consentimentos por visitante (via hash anonimizado);
  • Funcionalidade de revogação de consentimento acessível ao titular diretamente no FAB do banner.

8.3. O Privorio responderá às solicitações do Controlador relacionadas ao exercício de direitos dos titulares em até 36 (trinta e seis) horas úteis.

09 Auditoria e conformidade

9.1. O Controlador tem o direito de solicitar ao Privorio, mediante aviso prévio de 15 (quinze) dias úteis, informações e documentos que demonstrem a conformidade com este DPA e com a LGPD.

9.2. O Privorio poderá atender tais solicitações por meio de declarações escritas de conformidade, relatórios de auditoria de terceiros (quando disponíveis) e acesso supervisionado a registros relevantes.

9.3. As solicitações de auditoria não poderão interferir nas operações normais da Plataforma nem comprometer a confidencialidade de outros Controladores.

10 Responsabilidade

10.1. Cada parte é responsável pelo cumprimento de suas respectivas obrigações previstas neste DPA e na LGPD.

10.2. O Privorio é responsável pelos danos causados ao Controlador ou aos titulares decorrentes do descumprimento das obrigações previstas neste DPA que sejam de sua responsabilidade como Operador.

10.3. O Controlador é responsável pelos danos decorrentes de:

  • Configuração inadequada da Plataforma;
  • Ausência de base legal para o tratamento de dados;
  • Não fornecimento de informações adequadas aos titulares;
  • Instruções fornecidas ao Privorio que resultem em tratamento ilícito.

EM NENHUMA HIPÓTESE A RESPONSABILIDADE TOTAL DO PRIVORIO PERANTE O CONTROLADOR NESTE DPA EXCEDERÁ O VALOR TOTAL PAGO PELO CONTROLADOR AO PRIVORIO NOS ÚLTIMOS 3 (TRÊS) MESES ANTERIORES AO EVENTO GERADOR DO DANO.

11 Vigência e rescisão

11.1. Este DPA entra em vigor na data de aceite dos Termos de Uso pelo Controlador e permanece vigente enquanto o Controlador utilizar a Plataforma Privorio.

11.2. A rescisão dos Termos de Uso implica automaticamente a rescisão deste DPA, sem prejuízo das obrigações de retenção e eliminação de dados previstas na Cláusula 7.

11.3. As obrigações de confidencialidade e proteção de dados previstas neste DPA sobrevivem à rescisão contratual pelo prazo de retenção aplicável.

12 Disposições gerais

12.1. Este DPA prevalece sobre qualquer disposição conflitante nos Termos de Uso no que diz respeito ao tratamento de dados pessoais.

12.2. Qualquer alteração a este DPA será comunicada ao Controlador com pelo menos 30 (trinta) dias de antecedência.

12.3. O presente DPA é regido pela legislação brasileira, especialmente pela LGPD (Lei nº 13.709/2018) e suas regulamentações emitidas pela ANPD.

12.4. Para dirimir quaisquer controvérsias decorrentes deste DPA, fica eleito o Foro da Comarca de Dourados, Estado de Mato Grosso do Sul, com renúncia expressa a qualquer outro.

13 Contato

Para questões relacionadas a este DPA, proteção de dados ou exercício de direitos:

Razão social
PRIVORIO
CNPJ
22.203.523/0001-78
Sede
Dourados, Mato Grosso do Sul, Brasil
E-mail geral
admin@privorio.com
Encarregado (DPO)
admin@privorio.com

Ao utilizar a Plataforma Privorio, o Controlador declara ter lido, compreendido e concordado integralmente com este Acordo de Processamento de Dados. Versão vigente a partir de 03 de junho de 2026.