Acordo de Privacidade e Confidencialidade
Entre MMSoft Digital Ltda. ("MMSoft") e [RAZÃO SOCIAL DO CLIENTE] ("Cliente").
Vigência a partir de: [DATA DE INÍCIO] • Versão: [v1.0]
1. Partes e Contatos
MMSoft
CNPJ: [CNPJ MMSoft]
Endereço: [ENDEREÇO MMSoft]
E-mail: [CONTATO@MMSOFT.COM.BR]
Encarregado (DPO): [NOME DPO] — [DPO@MMSOFT.COM.BR]
Cliente
Razão Social: [RAZÃO SOCIAL DO CLIENTE]
CNPJ: [CNPJ DO CLIENTE]
Endereço: [ENDEREÇO DO CLIENTE]
E-mail: [EMAIL DO CLIENTE]
Encarregado (DPO): [NOME DPO CLIENTE] — [EMAIL DPO CLIENTE]
2. Objeto
Este Acordo regula: (i) o Tratamento de Dados Pessoais realizado pela MMSoft em nome do Cliente, em conformidade com a Lei nº 13.709/2018 (LGPD) e demais normas aplicáveis; e (ii) as obrigações de confidencialidade quanto a Informações Confidenciais trocadas entre as Partes no âmbito de avaliações, propostas, prova de conceito (PoC), contratos e/ou prestação de serviços.
3. Definições Essenciais
- Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
- Controlador/Operador: conforme definições da LGPD; por padrão, o Cliente atua como Controlador e a MMSoft como Operador.
- Informação Confidencial: toda informação técnica, comercial, jurídica, financeira, de produto, código-fonte, dados, modelos de IA, prompts, arquiteturas, chaves, credenciais, datasets, segredos de negócio e quaisquer materiais não públicos, em qualquer meio, marcada ou não como “confidencial”.
4. Bases Legais e Finalidades (LGPD)
A MMSoft realizará o Tratamento de Dados Pessoais somente conforme instruções documentadas do Cliente e para as finalidades contratadas, com base, quando aplicável, no art. 7º da LGPD (p. ex., execução de contrato, legítimo interesse do Controlador, cumprimento de obrigação legal/regulatória ou consentimento — quando exigido pelo Controlador).
5. Direitos dos Titulares
A MMSoft auxiliará o Cliente, na medida aplicável, no atendimento a solicitações de titulares previstas na LGPD (acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamentos e revogação de consentimento), bem como na resposta a autoridades competentes.
6. Segurança da Informação
- Implementar medidas técnicas e administrativas proporcionais ao risco (controle de acesso, criptografia em trânsito e em repouso quando aplicável, segregação de ambientes, hardening, logging, backup e testes).
- Restringir acesso por necessidade de conhecer (need-to-know) e manter registro de acessos relevantes.
- Garantir que colaboradores e subcontratados sujeitos a obrigações de confidencialidade equivalentes assinem termos específicos.
7. Subprocessadores
A MMSoft poderá contratar provedores (p. ex., cloud, e-mail, monitoramento, IA) para apoiar o Tratamento, responsabilizando-se por exigir compromissos equivalentes de proteção de dados e confidencialidade. A lista de subprocessadores poderá ser disponibilizada ao Cliente mediante solicitação, com direito de objeção razoável por motivos de proteção de dados.
8. Compartilhamento e Transferências Internacionais
Qualquer compartilhamento de Dados Pessoais com terceiros ou transferência internacional deverá observar as hipóteses legais e salvaguardas adequadas (art. 33 e seguintes da LGPD). Quando aplicável, MMSoft e Cliente celebrarão aditivos com cláusulas padrão ou garantias contratuais apropriadas.
9. Retenção e Eliminação
Os Dados Pessoais serão retidos pelo tempo necessário para cumprir as finalidades contratadas e exigências legais/regulatórias. Ao término, por solicitação do Cliente, a MMSoft promoverá a eliminação segura ou devolução, salvo conservação mínima para defesa em processos, auditoria e cumprimento legal.
10. Confidencialidade (NDA)
- Dever de Sigilo: cada Parte manterá confidenciais as Informações Confidenciais da outra Parte e as usará exclusivamente para a finalidade do relacionamento.
- Exceções: informação que (i) já era pública sem violação; (ii) já era conhecida legitimamente; (iii) foi obtida de terceiro legítimo; (iv) foi desenvolvida independentemente; ou (v) deve ser revelada por ordem legal (com aviso prévio, quando permitido).
- Prazo: as obrigações persistem durante a vigência contratual e por [5 anos] após o término, ou por prazo maior exigido por lei.
- Proteções: adoção de salvaguardas razoáveis contra acesso, cópia, engenharia reversa, descompilação ou uso indevido.
- Devolução/Destruição: mediante solicitação, devolver ou destruir materiais confidenciais, certificando por escrito a destruição, exceto retenções mínimas legais.
11. Incidentes e Notificações
Em caso de incidente de segurança que possa acarretar risco ou dano relevante, a MMSoft notificará o Cliente em prazo razoável, cooperará na contenção, avaliação de impactos e medidas de remediação, bem como apoiará comunicações a titulares e autoridades, quando aplicável.
12. Auditoria e Conformidade
Mediante aviso prévio razoável e sem revelar segredos de negócio desnecessários, o Cliente poderá realizar avaliações documentais ou solicitar relatórios de conformidade. Auditorias presenciais devem ser previamente acordadas quanto a escopo, frequência e confidencialidade.
13. Propriedade Intelectual
Salvo ajuste contratual específico, cada Parte mantém a titularidade de seus ativos preexistentes (incluindo código, modelos, bibliotecas, prompts, bases de conhecimento, fluxos n8n, diagramas e documentação). Entregáveis desenvolvidos sob encomenda e efetivamente pagos observarão o disposto no contrato principal (cessão, licença ou uso restrito).
14. Obrigações das Partes
| MMSoft (Operador) | Cliente (Controlador) |
|---|---|
| Tratar dados conforme instruções documentadas; manter segurança; notificar incidentes; apoiar direitos de titulares. | Definir finalidades e bases legais; fornecer instruções lícitas; responder titulares; manter base legal e comunicações exigidas. |
15. Responsabilidade
Cada Parte será responsável por suas condutas e de seus prepostos na medida de sua culpa, dolo ou inobservância legal/contratual. Quando atuando como Operador, a MMSoft responde nos termos do art. 42, §1º, da LGPD, limitada aos danos diretos comprovados decorrentes de descumprimento de suas obrigações. (Opcional: incluir limite de responsabilidade e exclusão de danos indiretos, mediante negociação.)
16. Vigência e Término
Este Acordo entra em vigor na data indicada e permanece vigente enquanto houver Tratamento de Dados ou troca de Informações Confidenciais entre as Partes. Cláusulas de confidencialidade, propriedade intelectual, responsabilidade e foro sobrevivem ao término.
17. Disposições Gerais
- Ordem Legal: a Parte obrigada a divulgar informação confidencial por lei/ordem deverá, se permitido, notificar a outra previamente.
- Cessão: vedada a cessão deste Acordo sem consentimento prévio por escrito, exceto em reorganização societária sem prejuízo de garantias.
- Forma: alterações apenas por escrito. Assinaturas eletrônicas são válidas.
- Prevalência: em caso de conflito com o contrato principal, prevalecerá o que tratar especificamente do tema, salvo acordo em contrário.
18. Lei Aplicável e Foro
Aplica-se a legislação brasileira. Fica eleito o foro da Comarca de São José dos Campos/SP, com renúncia a qualquer outro, por mais privilegiado que seja.
19. Assinaturas
MMSoft Digital Ltda.
Nome: ________________________________
Cargo: ________________________________
Data: ____ / ____ / ______
[RAZÃO SOCIAL DO CLIENTE]
Nome: ________________________________
Cargo: ________________________________
Data: ____ / ____ / ______
Última atualização: [DATA]
Anexo A — Escopo de Serviços/Finalidades (Opcional)
Descrever sucintamente os sistemas, integrações, módulos (ex.: n8n, APIs, RAG/IA, pipelines de dados) e finalidades do Tratamento.
- Sistemas/Plataformas: [descrever]
- Tipos de dados: [colaboradores, clientes, leads, logs, telemetria etc.]
- Finalidades: [execução contratual, suporte, analytics, segurança etc.]
- Prazos de retenção: [definir]
Anexo B — Subprocessadores (Opcional)
| Fornecedor | Serviço | País | Observações |
|---|---|---|---|
| [Ex.: AWS/Azure/GCP] | Infra/Cloud | [país] | [região, certificações] |
| [Ex.: OpenAI] | IA | [país] | [modelo, retenção] |
| [Ex.: Mail/SMS] | Comunicação | [país] | [volumetria] |
Anexo C — Padrões Mínimos de Segurança (Opcional)
- Gestão de identidades (MFA, least privilege), rotação de chaves e secrets.
- Criptografia TLS 1.2+ em trânsito; AES-256 em repouso quando aplicável.
- Monitoramento e logging com retenção por [X] dias; plano de resposta a incidentes.
- Backups testados, disaster recovery e RTO/RPO acordados.
- Teste de vulnerabilidade/atualizações periódicas; hardening de containers e CI/CD.