Acordo de Processamento de Dados (DPA)

1. Identificação das Partes

Este Acordo é celebrado entre a RHSign ("Operador"), na qualidade de fornecedora da plataforma de automação de documentos, e o Cliente ("Controlador"), na qualidade de empregador ou responsável legal pelos dados dos colaboradores processados na plataforma.

2. Objeto

O Operador tratará dados pessoais dos colaboradores do Controlador exclusivamente para a finalidade de processamento, distribuição e coleta de assinatura de documentos trabalhistas, conforme contratado. Qualquer tratamento fora dessa finalidade é expressamente vedado.

3. Obrigações do Operador (RHSign)

• a) Tratar os dados somente mediante instrução documentada do Controlador.
• b) Garantir que as pessoas autorizadas a tratar os dados estejam sob obrigação de confidencialidade.
• c) Notificar o Controlador em até 72 horas em caso de incidente de segurança que envolva dados pessoais dos colaboradores, conforme Art. 48 da LGPD.
• d) Auxiliar o Controlador no atendimento de requisições dos titulares (colaboradores) nos termos do Art. 18 da LGPD.
• e) Eliminar ou devolver todos os dados pessoais ao término da relação contratual, conforme prazos definidos na Política de Privacidade.

4. Obrigações do Controlador (Cliente)

• a) Garantir que possui base legal para compartilhar os dados dos colaboradores com o Operador.
• b) Manter o cadastro de colaboradores atualizado, incluindo números de WhatsApp e dados de identificação.
• c) Informar os colaboradores sobre o uso da plataforma RHSign para entrega e assinatura de documentos, conforme exigido pelo Art. 9º da LGPD.
• d) Responder perante os titulares e a ANPD como Controlador dos dados, não transferindo essa responsabilidade ao Operador.

5. Suboperadores

O Operador utiliza os seguintes suboperadores para prestação do serviço:

• Amazon Web Services (AWS): infraestrutura de servidores e armazenamento em nuvem.
• Supabase: banco de dados com isolamento por RLS.
• Vercel: hospedagem, CDN e processamento de requisições da aplicação web.
• Asaas: processamento de pagamentos e cobrança (não acessa dados de colaboradores).
• Evolution API: integração para envio de notificações via WhatsApp (acessa número de telefone dos destinatários).

6. Transferência Internacional de Dados

Os suboperadores listados acima podem processar dados em servidores fora do Brasil. Todas as transferências são realizadas com garantias adequadas de proteção, conforme Art. 33 da LGPD, mediante cláusulas contratuais padrão e certificações de segurança internacionais (SOC 2, ISO 27001).

7. Medidas Técnicas e Administrativas

• a) Criptografia em trânsito (TLS 1.3) e em repouso (AES-256) para todos os dados pessoais armazenados.
• b) Isolamento de dados por tenant via Row Level Security (RLS) diretamente no banco de dados.
• c) Controle de acesso baseado em funções (RBAC) com autenticação multifator disponível para administradores.
• d) Monitoramento contínuo de integridade e disponibilidade dos serviços.
• e) Backups automatizados com retenção conforme prazos definidos na Política de Privacidade.

8. Registro de Operações de Tratamento (ROPA)

O Operador mantém um Registro de Operações de Tratamento de Dados Pessoais (ROPA), conforme Art. 37 da LGPD, contendo as categorias de dados tratados, finalidades, bases legais, prazos de retenção e medidas de segurança aplicáveis. Este registro está disponível para apresentação à Autoridade Nacional de Proteção de Dados (ANPD) mediante requisição formal.