Recursos Precos Referencia API

Acordo de Processamento de Dados (DPA)

v1.0 -- Vigente desde marco de 2026

Morlivo está comprometida com o processamento de dados pessoais em conformidade com o Regulamento Geral de Proteção de Dados (UE) 2016/679 ("GDPR"), o GDPR do Reino Unido e todas as demais leis de proteção de dados aplicáveis. Este Acordo de Processamento de Dados rege o processamento de dados pessoais pela Morlivo ("Processador") em nome de nossos clientes ("Controlador").

1. Definições

Para os fins deste Acordo de Processamento de Dados:

  • "Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável, conforme definido no Artigo 4(1) do GDPR
  • "Processamento" significa qualquer operação realizada sobre Dados Pessoais, incluindo coleta, armazenamento, uso, divulgação ou exclusão, conforme definido no Artigo 4(2) do GDPR
  • "Controlador" significa o cliente que determina as finalidades e os meios do Processamento de Dados Pessoais
  • "Processador" significa Morlivo, que processa Dados Pessoais em nome do Controlador
  • "Subprocessador" significa qualquer terceiro contratado pelo Processador para processar Dados Pessoais em nome do Controlador
  • "Titular dos Dados" significa uma pessoa natural identificada ou identificável cujos Dados Pessoais são processados

2. Detalhes do Processamento

O Processador deve processar Dados Pessoais apenas mediante instruções documentadas do Controlador, inclusive no que diz respeito a transferências de Dados Pessoais para um país terceiro, a menos que seja obrigado a fazê-lo pela legislação da União ou do Estado-Membro à qual o Processador esteja sujeito.

Os detalhes do processamento são os seguintes:

  • Objeto: Prestação de serviços de tradução, transcrição e processamento linguístico
  • Duração: Pela vigência do contrato de serviço subjacente
  • Natureza e finalidade: Processamento do Conteúdo do Cliente para fornecer traduções, transcrições e serviços linguísticos relacionados
  • Categorias de titulares dos dados: Usuários finais e indivíduos cujos dados estão contidos no Conteúdo do Cliente
  • Tipos de dados pessoais: Nomes, informações de contato e quaisquer outros dados pessoais contidos em materiais enviados para processamento

3. Medidas de Segurança

O Processador deve implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, de acordo com o Artigo 32 do GDPR. Essas medidas incluem:

  • Criptografia de Dados Pessoais em repouso (AES-256) e em trânsito (TLS 1.2+)
  • Capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento
  • Capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil em caso de incidente físico ou técnico
  • Testes, avaliações e verificações regulares da eficácia das medidas técnicas e organizacionais
  • Pseudonimização de Dados Pessoais quando tecnicamente viável e apropriado
  • Controles de acesso rigorosos baseados no princípio do menor privilégio
  • Registro abrangente de auditoria e monitoramento de acesso a dados

O Processador deve garantir que as pessoas autorizadas a processar Dados Pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade.

4. Subprocessadores

O Controlador fornece autorização geral para o Processador contratar Subprocessadores. O Processador deve manter uma lista atualizada de Subprocessadores e disponibilizá-la ao Controlador mediante solicitação. A lista atual de Subprocessadores está publicada em nossa página de Política de Privacidade.

O Processador deve informar o Controlador sobre quaisquer alterações pretendidas relativas à adição ou substituição de Subprocessadores, concedendo ao Controlador uma oportunidade razoável de se opor a tais alterações. Quando o Processador contratar um Subprocessador, o Processador deve impor a esse Subprocessador, por meio de contrato, as mesmas obrigações de proteção de dados estabelecidas neste DPA.

O Processador permanece totalmente responsável perante o Controlador pelo cumprimento das obrigações de qualquer Subprocessador sob este DPA.

5. Direitos do Titular dos Dados

O Processador deve auxiliar o Controlador no cumprimento de sua obrigação de responder a solicitações de Titulares dos Dados exercendo seus direitos sob o Capítulo III do GDPR, incluindo:

  • Direito de acesso (Artigo 15)
  • Direito à retificação (Artigo 16)
  • Direito à exclusão (Artigo 17)
  • Direito à limitação do processamento (Artigo 18)
  • Direito à portabilidade dos dados (Artigo 20)
  • Direito de oposição (Artigo 21)

Se o Processador receber uma solicitação de um Titular dos Dados diretamente, o Processador deve encaminhar prontamente a solicitação ao Controlador e não deve responder ao Titular dos Dados diretamente, a menos que autorizado pelo Controlador.

6. Transferências Internacionais

O Processador não deve transferir Dados Pessoais para um país terceiro ou organização internacional a menos que salvaguardas apropriadas estejam em vigor conforme exigido pelo Capítulo V do GDPR. Os mecanismos de transferência aprovados incluem:

  • Cláusulas Contratuais Padrão (SCCs) adotadas pela Comissão Europeia (Decisão de Implementação da Comissão (UE) 2021/914)
  • Decisões de adequação nos termos do Artigo 45 do GDPR
  • Regras Corporativas Vinculativas aprovadas por uma autoridade supervisora competente

Clientes empresariais podem configurar as definições de residência de dados para restringir o processamento e armazenamento de Dados Pessoais a regiões geográficas específicas (UE, EUA ou APAC), minimizando a necessidade de transferências transfronteiriças.

7. Notificação de Violação

O Processador deve notificar o Controlador sem demora injustificada e, em qualquer caso, no máximo quarenta e oito (48) horas após tomar conhecimento de uma violação de Dados Pessoais, conforme definido no Artigo 4(12) do GDPR.

A notificação deve incluir:

  • Uma descrição da natureza da violação de Dados Pessoais, incluindo as categorias e o número aproximado de Titulares dos Dados e registros afetados
  • O nome e os dados de contato do ponto de contato de proteção de dados do Processador
  • Uma descrição das consequências prováveis da violação
  • Uma descrição das medidas tomadas ou propostas para tratar a violação, incluindo medidas para mitigar seus efeitos adversos

8. Auditorias e Inspeções

O Processador deve disponibilizar ao Controlador todas as informações necessárias para demonstrar conformidade com as obrigações estabelecidas no Artigo 28 do GDPR. O Processador deve permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Controlador ou por um auditor designado pelo Controlador, sujeitas a aviso prévio razoável e obrigações de confidencialidade.

9. Vigência e Exclusão de Dados

Este DPA permanecerá em vigor durante a vigência do contrato de serviço subjacente. Após a rescisão do contrato de serviço, o Processador deve, a critério do Controlador, excluir ou devolver todos os Dados Pessoais e excluir cópias existentes, a menos que a legislação da União ou do Estado-Membro exija o armazenamento dos Dados Pessoais. O Processador deve certificar por escrito que cumpriu esta obrigação mediante solicitação do Controlador.

Solicitar um DPA

Para solicitar um Acordo de Processamento de Dados, entre em contato com nossa equipe de conformidade. Trabalharemos com você para executar um DPA que atenda aos requisitos de proteção de dados da sua organização.

Contatar Equipe de Conformidade Baixar Modelo de DPA