Skip to content
GoDesk
LEGAL · DPA

Aditivo de Processamento de Dados

Este DPA se aplica entre a upDevTeam LTD (o 'Processador') e qualquer cliente do serviço GoDesk que, ao utilizar o serviço, processa dados pessoais de indivíduos identificáveis como um 'Controlador' sob o GDPR. Está incorporado aos Termos de Serviço por referência.

Última atualização: 2026-05-06
TL;DR

Se você usa o GoDesk para suportar clientes empresariais, funcionários, ou qualquer outra pessoa identificável, você é o Controlador e nós somos o Processador. Este DPA rege como tratamos dados pessoais em seu nome sob o Artigo 28 do GDPR.

Ao aceitar nossos Termos de Serviço, você também aceita este DPA. Clientes empresariais que precisam de um PDF assinado podem solicitar um em info@godeskflow.com.

Conteúdos
  1. 01Definições
  2. 02Escopo e papéis
  3. 03Detalhes do processamento (Artigo 28(3) GDPR
  4. 04Obrigações do Processador
  5. 05Sub-processadores
  6. 06Medidas de segurança
  7. 07Transferências internacionais
  8. 08Solicitações de sujeitos de dados
  9. 09Violação de dados pessoais
  10. 10Auditorias
  11. 11Retorno e exclusão
  12. 12Responsabilidade
  13. 13Prazo
  14. 14Legislação aplicável
  15. 15Contato

01Definições

Os termos em maiúsculas têm os significados atribuídos a eles no GDPR. Os seguintes termos têm os significados abaixo.

Dados Pessoais do Cliente
Dados pessoais que o Cliente ou seus usuários finais transmitem através ou armazenam no Serviço GoDesk, e que processamos em nome do Cliente como Processador.
GDPR
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (o Regulamento Geral sobre a Proteção de Dados), e qualquer legislação nacional implementadora, incluindo o GDPR do Reino Unido.
Processador
upDevTeam LTD.
Controlador
Cliente.
Sub-processador
Qualquer processador terceirizado contratado pela upDevTeam LTD para processar Dados Pessoais do Cliente.
Cláusulas Contratuais Padrão
As Cláusulas Contratuais Padrão para a transferência de dados pessoais para países terceiros nos termos do GDPR, adotadas pela Decisão de Implementação da Comissão (UE) 2021/914 (Módulo 2 / Módulo 3 conforme aplicável).

02Escopo e papéis

Este DPA se aplica ao processamento de Dados Pessoais do Cliente realizados pela upDevTeam LTD em nome do Cliente durante a prestação do Serviço.

As partes reconhecem que, em relação a esse processamento, o Cliente é o Controlador e a upDevTeam LTD é o Processador.

A upDevTeam LTD também processa dados como Controlador em relação às suas próprias operações comerciais (cobrança de contas, anti-abuso, marketing). A Política de Privacidade descreve esse processamento.

03Detalhes do processamento (Artigo 28(3) GDPR

Objeto
Prestação do serviço de desktop remoto GoDesk ao Cliente.
Duração
Enquanto o Cliente utilizar o Serviço, mais qualquer retenção pós-rescisão acordada na seção 11.
Natureza e propósito
Hospedagem, transmissão, autenticação, telemetria, suporte e outros processamentos necessários para operar o Serviço.
Categorias de dados
Identificadores de contas (email, ID do par), metadados de conexão (timestamps, IP) e quaisquer dados pessoais que o Cliente optar por inserir em nomes de dispositivos ou metadados de sessão. O conteúdo da sessão é criptografado de ponta a ponta e não é acessível a nós em texto plano.
Categorias de sujeitos dos dados
Usuários finais do Cliente, funcionários, contratados e quaisquer indivíduos cujos dispositivos sejam acessados pelo Serviço pelo Cliente.
Categorias especiais de dados
Não coletados pela upDevTeam LTD como Processador. O Cliente não deve inserir dados de categorias especiais em nomes de dispositivos ou outros metadados em texto plano.

04Obrigações do Processador

A upDevTeam LTD irá:

  • processar os Dados Pessoais do Cliente apenas sob instruções documentadas do Cliente, incluindo as estabelecidas nos Termos e neste DPA, exceto onde exigido por lei da UE ou dos estados membros;
  • assegurar que o pessoal autorizado a processar os Dados Pessoais do Cliente esteja vinculado a obrigações de confidencialidade adequadas;
  • implementar e manter as medidas técnicas e organizacionais descritas na seção 6;
  • respeitar as condições do Artigo 28(2) e (4) GDPR para contratar Sub-processadores (seção 5);
  • ajudar o Cliente, levando em consideração a natureza do processamento, a cumprir com suas obrigações sob os Artigos 32 a 36 do GDPR;
  • disponibilizar todas as informações necessárias para demonstrar conformidade com o Artigo 28 do GDPR.

05Sub-processadores

O Cliente autoriza a upDevTeam LTD a contratar os seguintes Sub-processadores:

Supabase, Inc.
Banco de dados de contas, autenticação, armazenamento de telemetria. Hospedado na UE.
Hetzner Online GmbH
Cálculo e largura de banda para relés e infraestrutura web (Chipre e Alemanha).
Cloudflare, Inc.
DNS, CDN, segurança de borda.
Google Ireland Ltd.
Analytics opcionais, somente quando os usuários finais optarem via o banner de cookies.
Stripe Payments Europe Ltd.
Processamento de cartão para planos pagos.

Nós daremos ao Cliente pelo menos 30 dias de aviso antes de adicionar ou substituir um Sub-processador, publicando a mudança em godeskflow.com/dpa ou enviando um e-mail para o contato da conta. Se o Cliente objetar razoavelmente por motivos de proteção de dados, trabalharemos de boa-fé para encontrar uma solução; se nenhuma puder ser acordada, o Cliente poderá rescindir o Serviço afetado por conveniência.

Permanecemos responsáveis perante o Cliente pelos atos e omissões de nossos Sub-processadores como se fossem nossos.

06Medidas de segurança

Implementamos e mantemos medidas técnicas e organizacionais apropriadas ao risco, incluindo:

  • TLS 1.3 em trânsito, AES-256-GCM em repouso para backups, troca de chaves X25519 + ED25519 para conteúdo de sessão criptografado de ponta a ponta;
  • controle de acesso baseado em função com privilégios mínimos e autenticação de dois fatores obrigatória para a equipe;
  • registro de auditoria centralizado de ações administrativas em sistemas de produção;
  • gestão de vulnerabilidades, verificação de dependências e correções de segurança em tempo hábil;
  • segurança física delegada a operadores de centros de dados certificados ISO 27001;
  • procedimento de resposta a incidentes documentado com rodízio de plantão.

07Transferências internacionais

Os Dados Pessoais do Cliente são hospedados na EEE. Quando a transferência de Dados Pessoais do Cliente para fora da EEE for necessária (por exemplo, quando um Subprocessador com sede nos EUA estiver envolvido), as partes incorporam as Cláusulas Contratuais Padrão por referência, com a upDevTeam LTD atuando como 'exportador de dados' para essa transferência e o Sub-processador como 'importador de dados'.

Quando o Cliente estiver estabelecido fora do EEE e os dados pessoais fluírem da upDevTeam LTD para o Cliente, as partes incorporam as SCCs (Módulo 4) para a transferência correspondente.

Realizamos uma avaliação de impacto da transferência para cada Subprocessador não EEE e aplicamos medidas suplementares (criptografia, pseudonimização) onde a avaliação as recomenda.

08Solicitações de sujeitos de dados

Se recebermos uma solicitação de um sujeito de dados em relação a Dados Pessoais do Cliente, não responderemos diretamente, exceto para confirmar o recebimento e direcionar o sujeito de dados para o Cliente. Encaminharemos a solicitação ao Cliente sem atrasos indevidos.

Forneceremos assistência razoável ao Cliente na resposta a solicitações de acesso, retificação, exclusão, restrição, portabilidade e objeção, levando em conta a natureza do processamento e as informações disponíveis para nós. Onde a solicitação for excessiva ou manifestamente infundada, poderemos cobrar uma taxa razoável.

09Violação de dados pessoais

Notificaremos o Cliente sem atrasos indevidos e, em qualquer caso, dentro de 72 horas após tomarmos conhecimento, de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A notificação incluirá as informações exigidas pelo Artigo 33(3) do GDPR, na medida do conhecido, com atualizações à medida que a investigação avança.

Cooperaremos com o Cliente para conter, investigar e documentar a violação, e não faremos qualquer declaração pública sobre isso sem o consentimento prévio do Cliente, exceto onde a lei exigir.

10Auditorias

Fornecemos ao Cliente as informações necessárias para demonstrar conformidade com o Artigo 28 do GDPR através de (a) este DPA, (b) o documento de segurança disponível mediante solicitação, e (c) os relatórios de auditoria mais recentes de terceiros dos Subprocessadores relevantes (por exemplo, relatórios SOC 2).

Se o Cliente acreditar razoavelmente que os materiais referidos na seção 10.1 são insuficientes, o Cliente poderá, às suas custas e com pelo menos 30 dias de aviso prévio por escrito, auditar nossa conformidade com este DPA não mais do que uma vez por ano (exceto em caso de violação material), desde que a auditoria (i) seja conduzida durante o horário comercial normal, (ii) não interfira em nossas operações, (iii) seja realizada por um auditor independente obrigado a obrigações de confidencialidade apropriadas, e (iv) não inclua acesso a instalações ou dados de outros clientes.

Os relatórios de auditoria são informações confidenciais da upDevTeam LTD e podem ser compartilhados apenas com reguladores e consultores jurídicos sob confidencialidade.

11Retorno e exclusão

Ao término do Serviço, nós, a escolha do Cliente e dentro de 30 dias a partir da data de término, devolveremos todos os Dados Pessoais do Cliente em um formato eletrônico estruturado ou os excluiremos de forma segura, exceto na medida em que a retenção seja exigida pela legislação da UE ou de Estados membros.

Cópias de backup serão excluídas de acordo com nossa retenção padrão de backup rotativo (atualmente 35 dias). Backups permanecem protegidos pelas medidas de segurança na seção 6 até serem sobrescritos.

12Responsabilidade

A responsabilidade decorrente deste DPA é regida pela seção de limitação de responsabilidade dos Termos de Serviço.

Onde o Artigo 82 do GDPR aloca a responsabilidade entre controladores conjuntos, processadores e subprocessadores, as partes concordam em seguir essa alocação estatutária.

13Prazo

Este DPA entra em vigor na data em que o Cliente aceita os Termos de Serviço e continua enquanto a upDevTeam LTD processa Dados Pessoais do Cliente em nome do Cliente, além de qualquer período de sobrevivência necessário para cumprir obrigações nos artigos 9, 10 e 11.

14Legislação aplicável

Este DPA é regido pelas leis da República de Chipre, exceto que, onde as SCCs se aplicam, a legislação aplicável identificada nas SCCs prevalece para assuntos dentro do escopo das SCCs.

15Contato

Notificações sob este DPA devem ser enviadas para info@godeskflow.com (questões de processamento de dados) e para info@godeskflow.com (questões de sujeitos de dados e autoridades supervisoras).

Se você precisar de uma cópia contra-assinada deste DPA no papel timbrado da upDevTeam LTD, escreva para info@godeskflow.com. A versão em inglês deste DPA é a versão controladora.