Entre:
Firma (1600 Holdings LLC) ("Processador" ou "Firma.dev")
E:
A entidade que concorda com os Termos & Condições da Firma.dev ("Controlador" ou "Cliente")
Data de Vigência: Após a aceitação dos Termos & Condições da Firma.dev pelo Cliente
1. Definições
"Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável processada pela Firma.dev em nome do Cliente através do Serviço.
"Titular dos Dados" significa uma pessoa natural identificada ou identificável cujos Dados Pessoais são processados.
"Processamento" significa qualquer operação realizada sobre Dados Pessoais, seja automatizada ou manual, incluindo coleta, armazenamento, recuperação, uso, divulgação e eliminação.
"Sub-processador" significa qualquer terceiro contratado pela Firma.dev para processar Dados Pessoais em nome do Cliente.
"Serviço" significa a API de assinatura eletrônica da Firma.dev e serviços relacionados conforme descrito nos Termos & Condições.
"Cláusulas Contratuais Tipo" significa as Cláusulas Contratuais Tipo para a transferência de dados pessoais para países terceiros, de acordo com o Regulamento (UE) 2016/679, conforme adotadas pela Comissão Europeia.
"Regulamento Geral sobre a Proteção de Dados (GDPR)" significa o Regulamento (UE) 2016/679.
2. Âmbito e Funções
2.1 Este DPA aplica-se quando a Firma.dev processa Dados Pessoais em nome do Cliente em relação ao Serviço.
2.2 O Cliente atua como Controlador. O Cliente determina as finalidades e os meios de processamento de Dados Pessoais.
2.3 A Firma.dev atua como o Processador. A Firma.dev processa Dados Pessoais somente com base em instruções documentadas do Cliente, conforme descrito neste DPA e nos Termos & Condições.
3. Detalhes do Processamento de Dados
3.1 Categorias de Titulares dos Dados
Funcionários, contratados e usuários autorizados do Cliente
Assinantes finais que interagem com documentos enviados através do Serviço
3.2 Tipos de Dados Pessoais
Nomes e endereços de email
Dados da assinatura (assinaturas desenhadas, digitadas ou carregadas)
Endereços IP e carimbos de data/hora
Conteúdo do documento (na medida em que contém Dados Pessoais)
Informações de trilhas de auditoria
3.3 Atividades de Processamento
Armazenar e renderizar documentos para assinatura
Capturar e aplicar assinaturas eletrônicas
Gerar trilhas de auditoria e certificados de conclusão
Enviar notificações de solicitação de assinatura
Fornecer acesso à API e webhooks
3.4 Duração do Processamento
A Firma.dev processará Dados Pessoais pela duração do acordo e conforme necessário para a conformidade legal, conforme especificado na Política de Privacidade.
4. Obrigações da Firma.dev
A Firma.dev deverá:
4.1 Processar Dados Pessoais somente com base em instruções documentadas do Cliente, incluindo transferências para países terceiros, a menos que exigido pela legislação da UE ou de um Estado-Membro. A Firma.dev informará o Cliente sobre qualquer tal exigência legal antes do processamento, a menos que a lei proíba.
4.2 Garantir que as pessoas autorizadas a processar Dados Pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária adequada de confidencialidade.
4.3 Implementar medidas técnicas e organizacionais adequadas conforme descrito no Anexo 1 (Medidas Técnicas e Organizacionais).
4.4 Respeitar as condições para envolver Sub-processadores conforme descrito na Seção 6.
4.5 Ajudar o Cliente, levando em consideração a natureza do processamento, com medidas técnicas e organizacionais adequadas para a execução das obrigações do Cliente de responder às solicitações dos Titulares dos Dados.
4.6 Ajudar o Cliente a garantir a conformidade com as obrigações sob os Artigos 32-36 do GDPR, considerando a natureza do processamento e as informações disponíveis para a Firma.dev.
4.7 A escolha do Cliente, excluir ou devolver todos os Dados Pessoais após a rescisão do Serviço, exceto quando a retenção for requerida por lei aplicável.
4.8 Disponibilizar ao Cliente todas as informações necessárias para demonstrar conformidade com as obrigações no Artigo 28 do GDPR e permitir e contribuir para auditorias conforme descrito na Seção 10.
5. Obrigações do Cliente
O Cliente deverá:
5.1 Garantir que os Dados Pessoais sejam coletados e processados em conformidade com as leis de proteção de dados aplicáveis, incluindo a obtenção de quaisquer consentimentos necessários ou fornecendo avisos exigidos aos Titulares dos Dados.
5.2 Fornecer instruções documentadas à Firma.dev sobre o processamento de Dados Pessoais.
5.3 Garantir que o uso do Serviço pelo Cliente esteja em conformidade com todas as leis e regulamentos aplicáveis.
6. Sub-processadores
6.1 O Cliente autoriza a Firma.dev a contratar os Sub-processadores listados no Anexo 2 (Lista de Sub-processadores).
6.2 A Firma.dev informará o Cliente sobre quaisquer mudanças pretendidas nos Sub-processadores através da atualização da Lista de Sub-processadores. O Cliente pode se opor a tais mudanças dentro de 30 dias da notificação. Se o Cliente se opuser e a Firma.dev não puder acomodar razoavelmente a objeção, o Cliente pode terminar o Serviço afetado.
6.3 A Firma.dev assinará acordos escritos com cada Sub-processador impondo obrigações de proteção de dados não menos protetivas do que as deste DPA.
6.4 A Firma.dev permanece totalmente responsável pelo desempenho de seus Sub-processadores.
7. Transferências Internacionais
7.1 Residência de Dados da UE: Os Dados Pessoais do Cliente são armazenados e processados dentro da União Europeia. A infraestrutura principal da Firma.dev está localizada na AWS eu-west-3 (Paris, França), com serviços CDN na AWS eu-north-1 (Estocolmo, Suécia).
7.2 Se a Firma.dev transferir Dados Pessoais para fora do Espaço Econômico Europeu, a Firma.dev garantirá que existam salvaguardas adequadas, como Cláusulas Contratuais Tipo (SCCs) aprovadas pela Comissão Europeia.
7.3 Mediante solicitação, a Firma.dev executará SCCs com o Cliente para quaisquer transferências para países terceiros que não tenham uma decisão de adequação.
8. Solicitações de Titulares dos Dados
8.1 A Firma.dev notificará prontamente o Cliente se receber uma solicitação de um Titular dos Dados para exercer direitos sob o GDPR (acesso, retificação, eliminação, portabilidade, restrição ou objeção).
8.2 A Firma.dev não responderá diretamente às solicitações de Titulares dos Dados, a menos que esteja autorizado pelo Cliente ou exigido por lei.
8.3 A Firma.dev fornecerá assistência razoável ao Cliente na resposta a tais solicitações, considerando a natureza do processamento.
9. Incidentes de Segurança
9.1 A Firma.dev notificará o Cliente sem demora injustificada (e, em qualquer caso, dentro de 72 horas) ao tomar conhecimento de uma violação de Dados Pessoais que afete os dados do Cliente.
9.2 A notificação incluirá, na medida do conhecido:
A natureza da violação, incluindo categorias e número aproximado de Titulares dos Dados afetados
As prováveis consequências da violação
Medidas tomadas ou propostas para solucionar a violação
9.3 A Firma.dev cooperará com o Cliente e tomará medidas razoáveis para ajudar na investigação e mitigação de cada violação.
10. Auditorias
10.1 A Firma.dev disponibilizará ao Cliente informações razoavelmente necessárias para demonstrar conformidade com este DPA. Esta obrigação será satisfeita através do fornecimento de:
Documentação e políticas de segurança
Avaliações de segurança de terceiros, quando disponíveis
Questionários de segurança concluídos
10.2 A Firma.dev não permite auditorias no local. Todas as solicitações de auditoria serão atendidas por meio de documentação, respostas por escrito e métodos de verificação remota, a critério da Firma.dev.
10.3 Solicitações de auditoria além da documentação padrão (como questionários de segurança personalizados, revisões técnicas detalhadas ou chamadas com pessoal de segurança) estarão sujeitas a uma taxa de €500 por solicitação, paga antecipadamente.
10.4 Nada nesta Seção 10 requer que a Firma.dev divulgue informações que comprometeriam a segurança de seus sistemas, violariam obrigações de confidencialidade para com outros clientes ou infringiriam a lei aplicável.
11. Prazo e Rescisão
11.1 Este DPA entra em vigor após a aceitação dos Termos & Condições pelo Cliente e permanece em vigor durante o processamento de Dados Pessoais pela Firma.dev em nome do Cliente.
11.2 Após a rescisão do Serviço, a Firma.dev excluirá ou devolverá os Dados Pessoais conforme especificado na Seção 4.7, sujeito a requisitos de retenção legal.
12. Lei Aplicável
Este DPA é regido pelas leis especificadas nos Termos & Condições. Para questões relacionadas à conformidade com o GDPR, aplicam-se as disposições do GDPR e da legislação do Estado-Membro aplicável.
Anexo 1: Medidas Técnicas e Organizacionais
A Firma.dev implementa as seguintes medidas para proteger Dados Pessoais:
Controle de Acesso
Chaves de API únicas por Cliente com permissões configuráveis
Workspaces de Cliente fornecem isolamento lógico entre conjuntos de dados de Clientes
Criptografia
TLS 1.2 ou superior para todos os dados em trânsito
Criptografia AES-256 para dados em repouso
Conexões de banco de dados criptografadas
Segurança da Infraestrutura
Hospedado na AWS com residência de dados na UE (eu-west-3 Paris)
Segmentação de rede e proteção por firewall
Atualização e correção de segurança regular
Proteção contra DDoS via AWS CloudFront
Monitoramento e Registro
Trilhas de auditoria completas para todos os eventos de assinatura
Alertas automatizados para atividade anômala
Retenção de logs para análise de segurança
Integridade dos Dados
Trilhas de auditoria à prova de violação com selos criptográficos
Verificação de hash de documentos
Backups automáticos com recuperação de ponto no tempo
Resposta a Incidentes
Procedimentos documentados de resposta a incidentes
Compromisso de notificação de violação em 72 horas
Segurança do Pessoal
Acordos de confidencialidade para todo o pessoal
Continuidade de Negócios
Infraestrutura redundante dentro das regiões da UE
Testes regulares de backup
Anexo 2: Lista de Sub-processadores
Sub-processador | Propósito | Localização |
|---|---|---|
Amazon Web Services (AWS) | Infraestrutura de nuvem, computação, armazenamento, CDN | UE (Paris, França - eu-west-3; Estocolmo, Suécia - eu-north-1) |
Supabase | Serviços de banco de dados (hospedados na AWS) | UE (Paris, França - eu-west-3) |
Última atualização: Janeiro de 2026
O Cliente será notificado sobre mudanças nesta lista via email para o administrador da conta ou através do painel de controle da Firma.dev.
Anexo 3: Cláusulas Contratuais Tipo
Para transferências de Dados Pessoais para países fora do Espaço Econômico Europeu que não beneficiam de uma decisão de adequação, as partes concordam que as Cláusulas Contratuais Tipo (Módulo Dois: Controlador para Processador) adotadas pela Decisão de Implementação da Comissão Europeia (UE) 2021/914 se aplicam e são incorporadas por referência.
As SCCs serão consideradas concluídas da seguinte forma:
Cláusula 7 (Cláusula de adição): Não usada
Cláusula 9 (Uso de sub-processadores): Opção 2 (Autorização por escrito geral) aplica-se
Cláusula 11 (Reparação): Linguagem opcional não usada
Cláusula 17 (Lei aplicável): Leis da Irlanda
Cláusula 18 (Escolha do foro): Tribunais da Irlanda
Contato para Consultas sobre Proteção de Dados:
Firma.dev (1600 Holdings LLC) Email: Via formulário de suporte em firma.dev/contact
Ao usar o Serviço da Firma.dev, o Cliente reconhece e concorda com os termos deste Acordo de Processamento de Dados.