Acordo de Tratamento de Dados (DPA)
Última atualização: 17 de junho de 2026
Minuta para validação jurídica (Diretoria da Factorya). Este documento descreve as práticas de tratamento de dados da plataforma e serve de base contratual entre as partes.
1. Objeto e Partes
Este Acordo de Tratamento de Dados Pessoais (Data Processing Agreement, “DPA”) integra os Termos de Uso da plataforma Veliq e disciplina o tratamento de dados pessoais realizado por conta e ordem do cliente, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, “LGPD”).
- Controlador: o cliente lojista (pessoa jurídica ou física) que contrata o Veliq e decide sobre as finalidades e os meios essenciais do tratamento dos dados pessoais de seus clientes, colaboradores e leads.
- Operador: Instituto Innvicton Ltda (CNPJ 23.285.285/0001-50), mantenedora da plataforma Veliq, que trata os dados pessoais em nome e segundo as instruções do Controlador.
2. Papel das Partes
O Controlador determina as finalidades do tratamento dos dados pessoais inseridos na Plataforma. O Operador atua exclusivamente como operador (Art. 5º, VII, da LGPD), tratando esses dados apenas para prestar os serviços contratados e conforme as instruções documentadas do Controlador. O Operador é controlador autônomo apenas em relação aos dados cadastrais e de faturamento do próprio Controlador, conforme descrito na Política de Privacidade.
3. Instruções de Tratamento
O Operador tratará os dados pessoais somente para: (i) viabilizar a gestão de estoque, CRM, financeiro e atendimento da revenda; (ii) executar integrações autorizadas pelo Controlador (portais de anúncios, WhatsApp, redes sociais); (iii) prestar suporte técnico; e (iv) cumprir obrigações legais e regulatórias. O Operador não utilizará os dados para finalidades próprias incompatíveis com este DPA e comunicará o Controlador caso uma instrução, a seu ver, viole a LGPD.
4. Natureza dos Dados e Titulares
| Categoria de titular | Dados tratados |
|---|---|
| Leads e clientes do lojista | Nome, CPF/CNPJ, e-mail, telefone, veículos de interesse, histórico de conversas, origem do lead. |
| Colaboradores do lojista | Nome, e-mail, telefone, cargo, credenciais de acesso. |
| Visitantes do site da revenda | Dados de navegação, IP, cookies, formulários de contato. |
5. Sub-operadores
O Controlador autoriza o Operador a contratar sub-operadores para a prestação do serviço. Os sub-operadores atuais são:
| Sub-operador | Finalidade | País |
|---|---|---|
| Supabase | Banco de dados, autenticação e armazenamento | Brasil / EUA |
| Asaas | Processamento de pagamentos (Pix, boleto, cartão) | Brasil |
| Meta (Facebook/Instagram) | Automotive Inventory Ads e captação de leads | EUA |
O Operador mantém com cada sub-operador obrigações de proteção de dados equivalentes às deste DPA e comunicará o Controlador, com antecedência razoável, sobre a inclusão ou substituição de sub-operadores, oportunizando eventual objeção fundamentada.
6. Medidas de Segurança (Art. 46 da LGPD)
O Operador adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação:
- Criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256) para dados sensíveis.
- Isolamento de dados por loja via Row Level Security (RLS), garantindo segregação entre tenants.
- Hash de senhas com bcrypt e suporte a autenticação multifator.
- Controle de acesso pelo princípio do menor privilégio e registro de auditoria das operações.
- Backups criptografados com retenção e monitoramento contínuo da infraestrutura.
7. Incidentes de Segurança (Art. 48 da LGPD)
Ao tomar conhecimento de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Operador comunicará o Controlador sem demora injustificada, fornecendo informações sobre a natureza do incidente, os dados e titulares afetados, as medidas adotadas para conter os efeitos e as recomendações para mitigação. O Controlador, na qualidade de controlador, é responsável pela comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, quando cabível, com o apoio do Operador.
8. Direitos dos Titulares
O Operador auxiliará o Controlador no atendimento às requisições dos titulares (acesso, correção, eliminação, portabilidade e demais direitos do Art. 18 da LGPD), disponibilizando recursos da Plataforma e respondendo às solicitações encaminhadas pelo Controlador em prazo compatível com a legislação.
9. Eliminação de Dados
Encerrado o contrato, ou mediante solicitação do Controlador, o Operador eliminará ou devolverá os dados pessoais tratados em nome do Controlador em até 30 dias, ressalvada a retenção mínima exigida por obrigação legal ou regulatória (por exemplo, dados fiscais e logs de acesso). Após o decurso desses prazos, os dados são eliminados de forma segura e irreversível.
10. Transferência Internacional
Quando o tratamento envolver sub-operadores com infraestrutura no exterior, a transferência internacional observará o Art. 33 da LGPD, mediante cláusulas contratuais padrão e garantias de nível de proteção equivalente ao da legislação brasileira.
11. Encarregado e Contato
O Encarregado pelo tratamento de dados (DPO) do Operador pode ser contatado pelo e-mail privacidade@veliq.com.br. Questões relacionadas a este DPA, requisições de titulares e comunicações de incidentes devem ser endereçadas a esse canal.
12. Disposições Finais
Este DPA complementa os Termos de Uso e a Política de Privacidade do Veliq. Em caso de conflito sobre o tratamento de dados pessoais por conta e ordem do Controlador, prevalecem as disposições deste documento. Alterações relevantes serão comunicadas com antecedência razoável.
Instituto Innvicton Ltda (CNPJ 23.285.285/0001-50) — Operador
Itapema, Santa Catarina, Brasil
Encarregado (DPO): privacidade@veliq.com.br
Reclamações ANPD: gov.br/anpd