Acordo de Tratamento de Dados Pessoais.

AI Focus como Operador: Quando prestamos serviços a clientes (desenvolvimento, hospedagem, operação de agentes), atuamos como Operador dos dados pessoais de titulares do Cliente, seguindo estritamente as instruções do Cliente (que atua como Controlador).

AI Focus como Controlador: Para dados coletados diretamente de prospects e parceiros via site, WhatsApp ou e-mail, a AI Focus atua como Controlador nos termos descritos na Política de Privacidade.

Todo tratamento de dados pessoais respeita os princípios do art. 6º da LGPD:

• Finalidade: propósitos legítimos, específicos e explicitados
• Adequação: compatibilidade com as finalidades informadas
• Necessidade: limitação ao mínimo necessário
• Livre acesso: consulta facilitada pelos titulares
• Qualidade dos dados: exatidão, clareza, relevância
• Transparência: informações claras sobre o tratamento
• Segurança: medidas técnicas e administrativas de proteção
• Prevenção: medidas para evitar danos
• Não discriminação: vedação ao uso discriminatório
• Responsabilização: demonstração do cumprimento

Tratamos dados pessoais com fundamento em:

• Consentimento (art. 7º, I): coletado de forma livre, informada e inequívoca, quando necessário
• Execução de contrato (art. 7º, V): para viabilizar prestação dos serviços contratados
• Cumprimento de obrigação legal (art. 7º, II): emissão de notas fiscais, retenção de documentos
• Legítimo interesse (art. 7º, IX): segurança de sistemas, prevenção a fraudes, melhorias de serviço

• Criptografia em trânsito: TLS 1.3 em todas as conexões
• Criptografia em repouso: AES-256 em bancos de dados e storage
• Controle de acesso: autenticação multifator, princípio do menor privilégio
• Segregação de ambientes: produção isolada de desenvolvimento
• Logs de auditoria: todos os acessos a dados pessoais são logados
• Backup: rotina diária com retenção de 30 dias e replicação geográfica
• Atualizações de segurança: patches aplicados em até 7 dias após divulgação
• Monitoração: detecção de intrusão 24/7 com alertas automáticos

• Designação formal de Encarregado de Proteção de Dados (DPO)
• Registro de Operações de Tratamento (ROT) mantido e atualizado
• Avaliação de Impacto à Proteção de Dados (DPIA) em projetos de risco
• Acordos de confidencialidade com todos os fornecedores e parceiros
• Cláusulas padrão de proteção de dados em contratos com terceiros que tenham acesso a dados pessoais
• Plano de resposta a incidentes documentado e testado

Qualquer titular de dados pode, a qualquer momento:

1. Enviar solicitação para contato@aifocus.dev com o assunto “LGPD — [tipo do pedido]”
2. Informar: nome, CPF (para verificação), direito que deseja exercer e detalhes da solicitação
3. Verificaremos a identidade (podemos solicitar documentos adicionais) para evitar divulgação indevida
4. Responderemos em até 15 dias úteis (prorrogáveis mediante justificativa)
5. A resposta será gratuita, salvo casos de solicitações reiteradas, excessivas ou manifestamente infundadas

Caso a resposta não seja satisfatória, o titular pode peticionar à ANPD em gov.br/anpd.

Para prestar serviços, utilizamos subprocessadores com os quais mantemos contratos que incluem cláusulas de proteção de dados equivalentes à LGPD:

• Vercel Inc. (EUA): hospedagem de aplicações web, analytics anônimo
• Hetzner Online GmbH (Alemanha): infraestrutura de servidores dedicados
• Hostinger International (Chipre): infraestrutura complementar
• Supabase Inc. (EUA): banco de dados gerenciado
• Anthropic PBC (EUA): modelo Claude
• OpenAI Inc. (EUA): modelo GPT
• Google LLC (EUA): modelo Gemini
• Groq Inc. (EUA): inferência acelerada
• Meta Platforms Inc. (EUA): WhatsApp Business API, Instagram, Messenger

A inclusão ou substituição de subprocessadores que processem dados pessoais será comunicada com antecedência mínima de 30 dias, permitindo ao Cliente objetar por motivo razoável.

Transferências internacionais ocorrem para provedores listados acima, todos com nível adequado de proteção conforme art. 33 da LGPD (certificações SOC 2, ISO 27001, compliance GDPR, cláusulas contratuais padrão). O Cliente autoriza expressamente essas transferências ao contratar serviços cuja execução dependa desses provedores.

Dados pessoais são retidos apenas pelo tempo necessário às finalidades informadas ou por obrigação legal. Após esse prazo, são eliminados de forma segura (wipe criptográfico + deleção de backups no próximo ciclo).

Ao término de contrato com Cliente, todos os dados tratados em seu nome são devolvidos (em formato interoperável) ou eliminados, conforme sua instrução expressa, no prazo de 30 dias.

Em caso de incidente que envolva dados pessoais:

1. Contenção imediata e isolamento do vetor de ataque
2. Investigação técnica forense
3. Notificação à ANPD em até 72 horas quando o incidente puder acarretar risco ou dano relevante aos titulares
4. Comunicação aos titulares afetados em prazo razoável e, se aplicável, ao Cliente-Controlador
5. Medidas corretivas e preventivas documentadas

Conforme art. 41 da LGPD, a AI Focus designa formalmente como Encarregado:

• Nome: Paulo Henrique Guedes Sampaio
• Cargo: Sócio-administrador e DPO
• E-mail: contato@aifocus.dev
• WhatsApp: +55 (99) 99229-1983

Competências: receber comunicações da ANPD, atender requisições dos titulares, orientar colaboradores e prestadores, executar demais atribuições legais.

A AI Focus se compromete a revisar e atualizar este acordo sempre que houver mudança material na legislação, nos subprocessadores contratados ou nas medidas de segurança adotadas. A versão atual está sempre publicada em aifocus.dev/lgpd.