ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA)

Anexo Contratual à Plataforma a2p2 Condomínio

Última atualização: 11 de maio de 2026 Versão: 1.0

PARTES

CONTROLADORA: a Administradora signatária do contrato principal de prestação de serviços da Plataforma a2p2 Condomínio, doravante denominada "Controladora".

OPERADORA: a2p2 Condomínio, doravante denominada "Operadora".

Considerando que:

(i) As Partes celebraram contrato para prestação de serviços de software como serviço (SaaS) destinados à administração de condomínios; (ii) No âmbito desse contrato, a Operadora realizará Tratamento de Dados Pessoais em nome e por instrução da Controladora; (iii) É necessário disciplinar formalmente as obrigações de ambas as Partes nos termos da Lei nº 13.709/2018 (LGPD), em especial os Arts. 5º, 6º, 7º, 39, 40 e seguintes;

as Partes celebram o presente Acordo de Tratamento de Dados Pessoais ("DPA"), regido pelas cláusulas a seguir.

1. OBJETO

1.1. Este DPA tem por objeto regular as obrigações das Partes em relação ao Tratamento de Dados Pessoais realizados pela Operadora em nome da Controladora durante a vigência do contrato principal.

1.2. Em caso de conflito entre este DPA e o contrato principal, prevalecerão as disposições deste DPA no que se refere especificamente ao tratamento de dados pessoais.

2. DEFINIÇÕES

Os termos em maiúscula têm o significado atribuído na Política de Privacidade e na Lei nº 13.709/2018. Em síntese:

• Dados Pessoais Tratados: dados pessoais de Usuários Finais da Plataforma — moradores, síndicos, conselheiros, funcionários do condomínio, prestadores de serviço e demais pessoas naturais cadastradas pela Controladora;
• Tratamento: operações descritas no Art. 5º, X, LGPD;
• Incidente de Segurança: qualquer evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais.

3. NATUREZA, DURAÇÃO E FINALIDADE DO TRATAMENTO

| Item | Especificação | |-----------------------------|------------------------------------------------------------------------------------------------------------------| | Natureza | Hospedagem, armazenamento, processamento, transmissão e exibição de dados pessoais para prestação do serviço SaaS| | Duração | Vigência do contrato principal + período de retenção pós-rescisão (30 + 15 dias) | | Finalidade | Suporte às operações administrativas do condomínio (cadastros, financeiro, reservas, ocorrências, comunicação) | | Tipo de operação | Coleta, registro, armazenamento, organização, modificação, recuperação, consulta, comunicação, eliminação | | Categorias de Titulares| Moradores (proprietários, inquilinos, dependentes), síndicos, conselheiros, funcionários, prestadores | | Categorias de dados | Identificação (nome, CPF, RG), contato (e-mail, telefone), endereço, financeiros (cota, lançamentos), fotos | | Dados sensíveis | Não tratados salvo upload voluntário pela Controladora — ver Cláusula 6 |

4. OBRIGAÇÕES DA CONTROLADORA

A Controladora declara e garante que:

4.1. Possui base legal válida para o Tratamento dos Dados Pessoais que insere ou autoriza inserir na Plataforma, em especial:

a) execução de contrato (Art. 7º, V, LGPD) — para cobrança de cotas, prestação de contas, vinculação a unidades; b) cumprimento de obrigação legal (Art. 7º, II, LGPD) — para registros obrigatórios pelo Código Civil aos condomínios edilícios (Arts. 1.331-1.358); c) legítimo interesse (Art. 7º, IX, LGPD) — para segurança, comunicação interna, controle de acesso a áreas comuns, devidamente avaliado e documentado.

4.2. Forneceu aos Titulares as informações exigidas pelo Art. 9º da LGPD, em especial:

• finalidade específica;
• forma e duração do tratamento;
• identificação do controlador;
• informações de contato do controlador;
• responsabilidades dos agentes que realizarão o tratamento;
• direitos do titular.

4.3. Não inserirá na Plataforma dados pessoais sensíveis (Art. 5º, II, LGPD) sem fundamento legal específico, e quando o fizer, comunicará previamente o DPO da Operadora.

4.4. Atenderá, em primeira instância, às requisições de exercício de direitos dos Titulares (Art. 18, LGPD), podendo contar com o suporte da Operadora conforme Cláusula 7 deste DPA.

4.5. Não utilizará a Plataforma para Tratamento de dados pessoais de menores de 18 anos sem o consentimento parental específico exigido pelo Art. 14, § 1º, LGPD.

4.6. Notificará imediatamente a Operadora caso receba reclamação, requisição administrativa, intimação ou ordem judicial relacionada ao Tratamento de Dados realizado pela Operadora.

5. OBRIGAÇÕES DA OPERADORA

A Operadora obriga-se a:

5.1. Tratar dados exclusivamente conforme instruções da Controladora, manifestadas:

a) por meio da configuração e uso da Plataforma; b) por meio de termos contratuais expressos; c) por meio do canal a2p2@a2p2.com.br.

A Operadora notificará a Controladora caso entenda que uma instrução viola a LGPD ou outras normas vigentes, abstendo-se da operação até esclarecimento.

5.2. Manter sigilo absoluto sobre os Dados Pessoais Tratados, vinculando seus empregados, contratados e subcontratados a obrigações equivalentes de confidencialidade.

5.3. Implementar as medidas técnicas e organizacionais detalhadas no Anexo I deste DPA, suficientes para proteger os dados contra acesso não autorizado, perda, destruição, alteração ou divulgação indevida.

5.4. Auxiliar a Controladora, mediante medidas técnicas e organizacionais apropriadas, no atendimento aos direitos dos Titulares (Art. 18, LGPD), em prazo razoável.

5.5. Auxiliar a Controladora na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) quando aplicável, fornecendo informações técnicas sobre o Tratamento realizado.

5.6. Notificar a Controladora em até 48 (quarenta e oito) horas sobre qualquer Incidente de Segurança que afete os Dados Pessoais Tratados, contendo:

a) descrição da natureza do incidente; b) categorias e quantidade aproximada de Titulares afetados; c) categorias e quantidade aproximada de registros de dados afetados; d) consequências prováveis; e) medidas adotadas para mitigar e remediar.

5.7. Cooperar com a Autoridade Nacional de Proteção de Dados (ANPD) em investigações, fornecendo informações relevantes mediante requisição válida.

5.8. Restituir ou eliminar os Dados Pessoais Tratados ao término do contrato, conforme Cláusula 9.

5.9. Manter registro das operações de Tratamento realizadas, conforme Art. 37 da LGPD.

6. DADOS PESSOAIS SENSÍVEIS

6.1. A Plataforma não foi projetada para o Tratamento de dados pessoais sensíveis (Art. 5º, II, LGPD).

6.2. Caso a Controladora, a seu exclusivo critério e risco, decida inserir dados sensíveis em campos abertos da Plataforma (ex.: anotações em ocorrências, descrição de solicitações), declara que:

a) possui base legal específica autorizativa; b) cumpriu o dever de informação aos Titulares; c) assume integral responsabilidade civil, administrativa e penal pela inserção.

6.3. A Operadora não responderá por consequências decorrentes da inserção de dados sensíveis pela Controladora sem fundamento legal adequado.

7. ATENDIMENTO AOS DIREITOS DOS TITULARES

7.1. Os Titulares de Dados Pessoais relativos à Plataforma deverão direcionar suas requisições primeiramente à Controladora, que é a responsável primária.

7.2. Caso o Titular contate diretamente a Operadora, esta encaminhará a requisição à Controladora em até 5 (cinco) dias úteis, salvo se o Titular for da relação direta da Operadora (ex.: contato comercial da Administradora).

7.3. A Operadora disponibiliza endpoints para facilitar o atendimento dos direitos:

• GET /me/lgpd/export — exportação completa de dados em formato JSON;
• POST /me/lgpd/delete — solicitação de anonimização (executável pela Controladora ou pelo próprio Titular autenticado).

8. SUBCONTRATAÇÃO (SUBPROCESSADORES)

8.1. Subprocessadores autorizados. A Controladora autoriza expressamente a contratação dos seguintes subprocessadores pela Operadora, observados os requisitos do Art. 39 da LGPD:

| Subprocessador | Finalidade | Localização | Salvaguarda | |-----------------------|--------------------------------------------------|-----------------|-------------------------------------------------------| | Oracle Cloud (OCI) | Hospedagem de servidores produtivos | Brasil | Dados em território nacional | | Cloudflare | DNS, CDN, proteção DDoS | EUA / Global | SCC, dados em trânsito apenas | | Resend Inc. | Envio de e-mails transacionais | EUA | SCC, criptografia TLS, scrubbing | | Sentry | Telemetria de erros e monitoramento | EUA | SCC, scrubbing de PII, retenção limitada | | MinIO (self-hosted) | Object storage (uploads, backups, PDFs) | Brasil | Servidor próprio |

8.2. A Operadora notificará a Controladora com no mínimo 30 (trinta) dias de antecedência sobre a inclusão ou substituição de subprocessadores, oportunizando objeção fundamentada.

8.3. Em caso de objeção razoável da Controladora, a Operadora oferecerá:

a) alternativa técnica equivalente; b) ou, não havendo, faculdade à Controladora de rescindir o contrato sem ônus.

8.4. A Operadora permanece integralmente responsável pelas obrigações dos subprocessadores perante a Controladora.

9. RESTITUIÇÃO E ELIMINAÇÃO DOS DADOS

9.1. Ao término do contrato principal, por qualquer motivo:

a) A Operadora disponibilizará, por 30 (trinta) dias corridos, ferramentas de exportação completa dos Dados Pessoais Tratados em formato estruturado (JSON), via painel administrativo;

b) Findo esse prazo, a Operadora procederá à exclusão definitiva e segura dos Dados Pessoais Tratados de seus sistemas produtivos no prazo adicional de 15 (quinze) dias úteis;

c) A exclusão definitiva inclui sobrescrita lógica do banco de dados primário e expurgo dos backups rotativos nos ciclos subsequentes (até 60 dias após o término os backups são totalmente expurgados);

d) Permanecerão arquivados, em mídias segregadas e de acesso restrito, apenas os dados cujo armazenamento seja determinado por lei (registros fiscais, comprovantes de cobrança), pelo prazo legal mínimo.

9.2. A Operadora emitirá certificado de exclusão mediante solicitação escrita da Controladora, contendo:

a) data efetiva da exclusão; b) sistemas e bases afetados; c) método empregado; d) dados retidos por força de lei (se houver).

10. AUDITORIA

10.1. A Controladora poderá solicitar, com 30 (trinta) dias de antecedência e no máximo uma vez por ano, evidências documentais das medidas de segurança adotadas pela Operadora, incluindo:

a) certificações em vigor (quando aplicáveis); b) relatórios de auditorias internas; c) políticas internas de segurança e privacidade.

10.2. Auditoria presencial nas instalações da Operadora dependerá de acordo prévio entre as Partes, justificada por suspeita razoável de descumprimento ou exigência regulatória, com custos arcados pela Controladora.

11. TRANSFERÊNCIA INTERNACIONAL

11.1. A transferência internacional de Dados Pessoais Tratados, quando ocorrer (Cláusula 8), observará uma das hipóteses dos Arts. 33 e 34 da LGPD, em especial cláusulas contratuais padrão (SCC) ou garantias específicas firmadas com o subprocessador.

11.2. A Operadora privilegia o armazenamento dos dados produtivos em território brasileiro, mantendo apenas operações acessórias (envio de e-mail, telemetria de erros, DNS) em subprocessadores no exterior.

12. RESPONSABILIDADE

12.1. Cada Parte responde pelos danos que causar no exercício de sua atividade de Tratamento, observadas as regras dos Arts. 42 a 45 da LGPD.

12.2. Em caso de responsabilidade solidária reconhecida judicialmente, a Parte que indenizar o Titular poderá exercer direito de regresso contra a outra, na proporção de sua culpa.

12.3. A limitação de responsabilidade prevista no contrato principal aplica-se também a este DPA, ressalvadas as hipóteses de dolo ou culpa grave.

13. VIGÊNCIA

13.1. Este DPA entra em vigor concomitantemente com o contrato principal e permanece vigente enquanto a Operadora realizar Tratamento de Dados Pessoais em nome da Controladora.

13.2. As obrigações de sigilo, restituição/eliminação de dados, cooperação com autoridades e auditoria subsistem ao término do contrato pelo prazo legalmente exigível.

14. DISPOSIÇÕES FINAIS

14.1. Eventuais alterações neste DPA exigirão manifestação expressa das Partes, salvo se decorrerem de imposição legal ou regulatória, hipótese em que serão comunicadas com antecedência razoável.

14.2. A invalidade de qualquer cláusula deste DPA não afetará as demais.

14.3. Este DPA é regido pelas leis da República Federativa do Brasil e qualquer controvérsia será dirimida no foro indicado no contrato principal.

ANEXO I — MEDIDAS TÉCNICAS E ORGANIZACIONAIS DE SEGURANÇA

A. Controle de acesso

• Autenticação por e-mail e senha com requisitos mínimos de complexidade;
• Senhas armazenadas com hash bcrypt (custo 12+);
• Controle de acesso baseado em papéis (RBAC) — super_admin, tenant_master, tenant_operator, sindico, subsindico, conselho, condomino;
• Isolamento lógico multi-tenant via escopo global de modelo (AdministradoraScope);
• Sessões com expiração configurável; revogação manual disponível.

B. Criptografia

• Em trânsito: TLS 1.2+ obrigatório, certificados Let's Encrypt renovados automaticamente;
• Em repouso: banco de dados em volume criptografado (LUKS); credenciais em campo bcrypt;
• CSP (Content Security Policy): ativo em produção, bloqueio de plugins legados, clickjacking, exfiltração.

C. Auditoria e rastreabilidade

• Registro automático de atividades sensíveis via spatie/laravel-activitylog;
• Logs de acesso preservados por 6 meses (Marco Civil, Art. 15);
• Endpoint /healthz/integrations para verificação operacional de integridade;
• Captura de erros via Sentry, com PII scrubbing automático.

D. Backup e continuidade

• Backup diário automatizado do banco de dados PostgreSQL;
• Armazenamento dos backups em bucket S3-compatível (MinIO) com versionamento;
• Retenção de 30 dias rotativa;
• Teste mensal de restauração documentado.

E. Gestão de vulnerabilidades

• composer audit em pipeline de integração contínua (CI), bloqueio em caso de severidade alta/crítica;
• Análise estática (Larastan), conformidade de estilo (Pint), 132+ testes automatizados;
• Atualização tempestiva de dependências (mensal regular, imediata para CVE crítica).

F. Resposta a incidentes

• Plano de resposta documentado;
• DPO como ponto de contato único interno e externo;
• Notificação à Controladora em até 48h; aos Titulares em até 72h;
• Cooperação com ANPD nos prazos regulamentares.

G. Recursos humanos

• Termo de Confidencialidade firmado por todos os colaboradores;
• Política de senhas e tela limpa;
• Treinamento periódico em LGPD;
• Revogação imediata de acessos no desligamento.

ASSINATURA

Este DPA integra o contrato principal e é firmado eletronicamente mediante aceitação dos Termos e Condições de Uso da Plataforma a2p2 Condomínio, vinculando ambas as Partes.

Local e data: definidos automaticamente pelo registro de aceite na Plataforma.

Versão 1.0 — 11 de maio de 2026

Documento juridicamente revisado em conformidade com a LGPD (Lei 13.709/2018), arts. 39, 40 e Anexo I do Decreto 8.638/2016. Última versão: 11 de maio de 2026. Em caso de dúvida, contate o Encarregado (DPO) em a2p2@a2p2.com.br.