Acordo de Processamento de Dados (DPA)
Arc OS — Modelo em Conformidade com o GDPR Art. 28
Versão: 1.0
Data: 2026-05-28
Issue: #166
Status: Modelo — preencha os placeholders antes de assinar
Como usar: Substitua todos os
[PLACEHOLDERS]pelos valores reais. Ambas as partes assinam e datam. Mantenha uma cópia assinada arquivada. Revise anualmente ou quando o Arc OS atualizar sua lista de suboperadores.
Acordo
Este Acordo de Processamento de Dados ("DPA") é celebrado entre:
Controlador (Cliente):
Razão social: [CUSTOMER LEGAL NAME]
Número de registro: [REG NUMBER]
Endereço: [REGISTERED ADDRESS]
Contato (proteção de dados): [DPO EMAIL OR RESPONSIBLE PERSON]
("Controlador")
Operador:
Arc OS, operado por [ARC OS LEGAL ENTITY — pending registration]
Endereço: [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Contato: [email protected]
("Operador")
As partes celebraram um Contrato Principal de Serviços ("MSA") / assinatura do arc-os.co datado de [DATE OF MSA] ("Contrato Principal"), pelo qual o Operador presta serviços de gestão de força de trabalho de IA ("Serviços").
Este DPA complementa e integra o Contrato Principal. Em caso de conflito entre este DPA e o Contrato Principal, este DPA prevalecerá no que diz respeito a matérias de proteção de dados.
1. Definições
| Termo | Significado |
|---|---|
| Dados Pessoais | Qualquer informação relativa a uma pessoa natural identificada ou identificável, conforme definido no GDPR Art. 4(1) |
| Processamento | Qualquer operação sobre Dados Pessoais, conforme definido no GDPR Art. 4(2) |
| Titular dos Dados | Pessoa natural cujos Dados Pessoais são processados |
| Suboperador | Terceiro contratado pelo Operador para processar Dados Pessoais em nome do Controlador |
| GDPR | Regulamento Geral de Proteção de Dados da UE 2016/679 |
| Cláusulas Contratuais-Padrão (SCCs) | Decisão da Comissão Europeia 2021/914/UE |
2. Objeto e Duração
2.1 O Operador processa Dados Pessoais em nome do Controlador em conexão com os Serviços descritos no Contrato Principal.
2.2 Este DPA entra em vigor na data do Contrato Principal e permanece válido até que o Contrato Principal seja rescindido ou o DPA seja substituído por uma versão revisada assinada por ambas as partes.
3. Natureza, Finalidade e Categorias de Processamento
3.1 Natureza do processamento:
Coleta, armazenamento, recuperação, transmissão e exclusão de Dados Pessoais em conexão com a operação da plataforma de gestão de força de trabalho de IA Arc OS.
3.2 Finalidade:
Fornecer ao Controlador orquestração de agentes de IA, gestão de projetos e sessões de IA com contexto persistente, conforme descrito no Contrato Principal.
3.3 Categorias de Dados Pessoais:
| Categoria | Exemplos | Obrigatório? |
|---|---|---|
| Identificadores de conta | Endereço de e-mail, ID OAuth (Google/GitHub) | ✅ Obrigatório |
| Dados de autenticação | Senha com hash (bcrypt), tokens JWT | ✅ Obrigatório |
| Dados de uso | Consumo de tokens de IA, duração de sessões | ✅ Obrigatório |
| Logs de atividade | Eventos de projetos, atividade de issues | ✅ Obrigatório |
| Conteúdo de chat | Mensagens de conversas com IA (criptografadas em repouso) | ✅ Obrigatório |
| Eventos de autenticação | Timestamps de login, endereço IP, user agent | ✅ Obrigatório |
| Dados de usuários finais enviados pelo Controlador | Depende do caso de uso do Controlador | ⚠️ Responsabilidade do Controlador |
3.4 Categorias de Titulares dos Dados:
Funcionários, contratados ou usuários do Controlador aos quais o Controlador concede acesso ao Arc OS.
4. Obrigações do Operador
O Operador deverá:
4.1 Processar Dados Pessoais apenas mediante instruções documentadas do Controlador, inclusive no que se refere a transferências de Dados Pessoais para um país terceiro, salvo quando exigido pelo direito da União ou de um Estado-Membro ao qual o Operador esteja sujeito (caso em que o Operador informará o Controlador sobre essa exigência legal antes do processamento, a menos que tal lei proíba essa informação por motivos de interesse público).
4.2 Garantir que as pessoas autorizadas a processar Dados Pessoais tenham assumido compromisso de confidencialidade ou estejam sujeitas a uma obrigação legal apropriada de confidencialidade.
4.3 Adotar todas as medidas exigidas nos termos do GDPR Art. 32 (segurança técnica e organizacional), incluindo:
- Criptografia AES-256-GCM das mensagens de chat em repouso
- Autenticação JWT HMAC-SHA256 com TTL de 24h
- E2EE de conhecimento zero via WebCrypto PBKDF2 para campos sensíveis
- TLS 1.2+ para todos os dados em trânsito
- Controles de acesso e barreiras de autenticação em todos os endpoints da API
- Backups automatizados diários com verificação de integridade
- Revisões de segurança anuais e testes de penetração
4.4 Respeitar as condições para a contratação de Suboperadores (ver Seção 6).
4.5 Auxiliar o Controlador a garantir a conformidade com as obrigações do GDPR relativas à segurança (Art. 32), notificação de violações (Arts. 33–34), avaliações de impacto à proteção de dados (Arts. 35–36) e consulta prévia (Art. 36), levando em conta a natureza do processamento e as informações disponíveis ao Operador.
4.6 A critério do Controlador, excluir ou devolver todos os Dados Pessoais após o término dos Serviços e excluir as cópias existentes, salvo se o direito da União ou de um Estado-Membro exigir o armazenamento.
4.7 Disponibilizar ao Controlador todas as informações necessárias para demonstrar a conformidade com o GDPR Art. 28, e permitir e contribuir para auditorias e inspeções conduzidas pelo Controlador ou por um auditor terceirizado por ele designado (com aviso prévio razoável, no máximo uma vez por ano, às custas do Controlador).
4.8 Notificar o Controlador sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais — em até 72 horas, na medida do possível — para: [CONTROLLER DPO EMAIL].
5. Obrigações do Controlador
O Controlador deverá:
5.1 Garantir que possui uma base legal (GDPR Art. 6) para o processamento dos Dados Pessoais transmitidos ao Operador.
5.2 Fornecer instruções claras e completas ao Operador sobre o processamento de Dados Pessoais.
5.3 Garantir que os Titulares dos Dados tenham sido informados sobre o processamento de seus Dados Pessoais (ou que outra base legal se aplique) antes de enviar seus dados ao Arc OS.
5.4 Não instruir o Operador a processar categorias especiais de dados (GDPR Art. 9) — dados de saúde, dados biométricos, origem racial etc. — sem acordo prévio explícito e salvaguardas apropriadas.
6. Suboperadores
6.1 O Controlador concede ao Operador autorização geral por escrito para contratar suboperadores conforme listado no Anexo B.
6.2 O Operador notificará o Controlador sobre quaisquer alterações pretendidas nos suboperadores (adições ou substituições) por e-mail para [CONTROLLER DPO EMAIL] com 14 dias de antecedência, dando ao Controlador a oportunidade de se opor.
6.3 O Operador imporá obrigações de proteção de dados equivalentes a todos os suboperadores por contrato, conforme estabelecido neste DPA.
6.4 O Operador permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações dos suboperadores.
7. Transferências Internacionais
7.1 Os Dados Pessoais são processados em servidores localizados na União Europeia (Contabo GmbH, Munique, Alemanha; Hetzner Online GmbH, Gunzenhausen, Alemanha).
7.2 Quando suboperadores processarem dados fora do EEE, o Operador garante que existam salvaguardas apropriadas, incluindo as Cláusulas Contratuais-Padrão (SCCs) nos termos da Decisão da Comissão 2021/914/UE ou decisões de adequação nos termos do GDPR Art. 45.
7.3 O Controlador autoriza as transferências internacionais de dados descritas no Anexo B, sujeitas às salvaguardas ali listadas.
8. Direitos dos Titulares dos Dados
8.1 O Operador auxiliará o Controlador a responder a solicitações de Titulares dos Dados (GDPR Arts. 15–22) — acesso, retificação, eliminação, limitação, portabilidade, oposição — por meio de:
GET /api/auth/export— portabilidade de dados conforme GDPR Art. 20 (limitado a 3/24h)DELETE /api/auth/account— direito ao apagamento conforme GDPR Art. 17 (em cascata por 15+ tabelas)
8.2 O Operador não responderá diretamente a solicitações de Titulares dos Dados em nome do Controlador sem autorização prévia, exceto para confirmar o recebimento e redirecionar ao Controlador.
9. Responsabilidade e Indenização
9.1 Cada parte será responsável pelos danos causados por processamento que infrinja o GDPR, nos termos do GDPR Art. 82.
9.2 O Operador ficará isento de responsabilidade se provar que não é, de nenhuma forma, responsável pelo evento que deu origem ao dano.
9.3 A responsabilidade total do Operador sob este DPA é limitada aos valores pagos pelo Controlador nos termos do Contrato Principal nos 12 meses anteriores ao evento que deu origem à reivindicação.
10. Lei Aplicável e Foro
Este DPA é regido pelas leis de [GOVERNING LAW — e.g. EU / EE / DE]. As disputas serão resolvidas em [JURISDICTION].
Assinaturas
| Controlador | Operador | |
|---|---|---|
| Nome | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Cargo | [TITLE] |
[TITLE] |
| Data | [DATE] |
[DATE] |
| Assinatura | _________________ | _________________ |
Anexo A — Resumo dos Detalhes do Processamento
| Campo | Valor |
|---|---|
| Objeto | Plataforma de gestão de força de trabalho de IA |
| Duração | Duração do Contrato Principal |
| Natureza | Coleta, armazenamento, recuperação, exclusão |
| Finalidade | Orquestração de agentes de IA, contexto de projeto persistente |
| Tipos de dados | Conta, autenticação, uso, atividade, chat (criptografado) |
| Titulares dos dados | Funcionários / usuários finais do Controlador |
Anexo B — Suboperadores Autorizados
| Suboperador | Finalidade | Localização | Salvaguarda |
|---|---|---|---|
| Contabo GmbH | Hospedagem principal de servidores (API, BD) | Munique, DE 🇩🇪 | Sediado na UE, sem transferência |
| Hetzner Online GmbH | Hospedagem de contêineres na nuvem (Starter Cloud) | Nuremberg, DE 🇩🇪 | Sediado na UE, sem transferência |
| Cloudflare, Inc. | CDN, proteção DDoS, DNS | EUA 🇺🇸 | SCCs (2021/914/UE) |
| Resend, Inc. | E-mail transacional (autenticação, convites) | EUA 🇺🇸 | SCCs |
| Anthropic, PBC | Inferência de modelos de IA (API do Claude — apenas créditos de teste) | EUA 🇺🇸 | SCCs + DPA com a Anthropic |
| Backblaze, Inc. | Armazenamento de backup externo do BD | EUA 🇺🇸 | SCCs |
Nota: o Cliente traz sua própria chave de API da Anthropic (Claude Pro). Nesse caso, a Anthropic é suboperadora do Cliente, não do Arc OS.
Anexo C — Medidas Técnicas e Organizacionais (TOMs)
| Medida | Implementação |
|---|---|
| Criptografia em repouso | AES-256-GCM para mensagens de chat e segredos do vault |
| Criptografia em trânsito | TLS 1.2+ imposto via nginx; HSTS habilitado |
| E2EE | WebCrypto PBKDF2 (100k iterações) → chave-mestra AES-256-GCM em sessionStorage |
| Autenticação | JWT HMAC-SHA256 (TTL de 24h), hashing de senhas com bcrypt |
| Controle de acesso | Barreira canAccessProject() por projeto em cada rota da API |
| Segurança da API | Cabeçalhos CSP, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Rede interna | Servidor da API vinculado apenas a 127.0.0.1; nginx faz o proxy |
| Backup | Backups automatizados diários; verificação de integridade (PRAGMA integrity_check); upload externo |
| Detecção de violações | Registro de eventos de autenticação; fail2ban no SSH; alertas de anomalias planejados (#223) |
| Exclusão de dados | Exclusão em cascata conforme GDPR Art. 17 em 15+ tabelas; cron de retenção de dados |
| Log de auditoria | Tabelas imutáveis activity_log + platform_audit_log |
| Testes de penetração | Meta de revisão anual; sprint Sentinel da Phase 53 concluída em 2026-05 |
| Acesso à produção | Apenas chave SSH; sem autenticação por senha; MFA no GitHub |