Política de Privacidade
Acordo de Tratamento de Dados Pessoais (DPA) e Aviso de Privacidade — Solução ALMA IA
Versão: 1 | Data de vigência: 22/05/2026 | Identificador de versão: DPA-ALMA IA-v1
Preâmbulo e natureza do documento
O presente Acordo de Tratamento de Dados Pessoais ("DPA") é instrumento autônomo e complementar aos Termos de Uso da Solução ALMA IA, fornecida pela ALMA IA TECNOLOGIA LTDA., sociedade empresária limitada, inscrita no CNPJ/ME sob o nº 58.757.230/0001-80, com sede na Rua Visconde de Inhaúma, nº 134, Sala 2001 Parte, Centro, Rio de Janeiro – RJ, CEP 20.091.901 ("CONTRATADA" ou "Operadora"), e regula as obrigações de proteção de dados pessoais entre o CONTRATANTE (na qualidade de Controlador) e a CONTRATADA (na qualidade de Operadora), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").
Este documento cumpre, ainda, função de Aviso de Privacidade quanto às atividades de tratamento realizadas pela CONTRATADA em nome do CONTRATANTE, devendo o CONTRATANTE, na qualidade de Controlador, manter Aviso de Privacidade próprio dirigido aos titulares de dados (pacientes), conforme art. 9º da LGPD.
A vinculação a este DPA ocorre exclusivamente por aceite eletrônico, em duas etapas, conforme procedimento descrito no item 12 e em consonância com o item 12 dos Termos de Uso.
1. Definições, papéis e categorias de dados
1.1. Controlador de Dados: CONTRATANTE, responsável pelas decisões sobre tratamento de dados pessoais de pacientes, incluindo finalidades, bases legais e instruções de tratamento.
1.2. Operadora de Dados: CONTRATADA, que trata dados pessoais em nome do Controlador, sob suas instruções documentadas e nos limites deste DPA.
1.3. Categorias de dados pessoais tratados. A Operadora trata, em nome e por conta e ordem do Controlador, no exercício de sua atividade assistencial, as seguintes categorias de dados pessoais dos titulares (pacientes):
- Dados de identificação: nome, CPF, RG, data de nascimento;
- Dados de contato: telefone, e-mail, endereço;
- Dados de agendamento: datas, horários e tipos de consultas;
- Informações relativas à saúde do titular fornecidas no curso do atendimento, incluindo queixas, sintomas e demais relatos clínicos compartilhados voluntariamente pelo paciente para fins de atendimento pelo Controlador;
- Histórico de interações com a ALMA IA e demais informações fornecidas pelo titular no curso do atendimento (mensagens e documentos trocados via WhatsApp, datas e horários de contato);
- Anotações administrativas inseridas pelo Controlador.
1.3.1. As informações de saúde aqui referidas constituem dados pessoais sensíveis, nos termos do art. 5º, II, da LGPD, e são tratados pela Operadora exclusivamente conforme as instruções documentadas do Controlador e a base legal por este indicada para o respectivo tratamento.
1.4. Dados pessoais sensíveis. A Operadora poderá tratar dados pessoais sensíveis dos titulares, em especial dados relativos à saúde, sempre por conta e ordem do Controlador, na estrita medida em que tais dados sejam necessários à finalidade do serviço contratado e nos limites das instruções documentadas do Controlador. A definição da base legal aplicável ao tratamento de dados sensíveis, nos termos do art. 11 da LGPD, é de responsabilidade do Controlador, que detém a relação assistencial com o titular. A Operadora não busca ativamente tratar categorias adicionais de dados sensíveis além daquelas necessárias à execução do contrato e adotará medidas técnicas e organizacionais para observar os princípios da finalidade, adequação, necessidade e minimização (art. 6º da LGPD), inclusive evitando a coleta excessiva de informações sensíveis fornecidas espontaneamente pelo titular fora do escopo definido pelo Controlador.
1.5. Suboperadora: Meta Platforms Inc. e demais terceiros listados no item 5, que tratam dados em nome da Operadora.
1.6. O CONTRATANTE declara ter ciência de que todos os dados pessoais tratados via ALMA IA trafegam pela infraestrutura da Meta Platforms Inc., sediada nos Estados Unidos, estando sujeitos ao Aviso de Privacidade do WhatsApp e à legislação norte-americana, incluindo o Cloud Act e a possibilidade de requisição por autoridades governamentais dos EUA.
2. Finalidades e bases legais
2.1. A Operadora tratará dados pessoais, inclusive com o uso de IA, exclusivamente para as seguintes finalidades:
- Execução dos serviços contratados (disponibilização da ALMA IA, envio/recebimento de mensagens, gestão de agendamentos);
- Armazenamento e backup de histórico de conversas;
- Geração de relatórios e métricas de uso para o Controlador;
- Suporte técnico e resolução de incidentes;
- Cumprimento de obrigações legais e regulatórias.
2.2. O Controlador declara que possui bases legais adequadas para o tratamento de dados pessoais dos pacientes, incluindo consentimento livre, informado e inequívoco ou outra base legal prevista nos arts. 7º ou 11 da LGPD.
2.3. A Operadora não utilizará dados pessoais para finalidades próprias, marketing, desenvolvimento de produtos, treinamento de modelos de inteligência artificial ou compartilhamento com terceiros não autorizados, ressalvados os suboperadores listados no item 5.
3. Uso de Inteligência Artificial
3.1. Este item complementa e detalha o item 3 dos Termos de Uso, ao qual deve ser lido em conjunto. A Operadora utiliza IA para processar dados pessoais, incluindo dados sensíveis de saúde, conforme finalidades listadas no item 2.1.
3.2. Obrigações da Operadora quanto ao uso de IA:
- a) Qualidade e segurança: desenvolver e manter modelos conforme melhores práticas da indústria; realizar testes periódicos de acurácia e segurança; implementar controles de qualidade antes do deploy; aplicar medidas técnicas adequadas de segurança da informação.
- b) Mitigação de riscos: identificar, testar e mitigar vieses algorítmicos; implementar detecção de outputs problemáticos; reduzir riscos de "alucinações" mediante validação técnica; manter processo de melhoria contínua.
- c) Transparência: documentar modelos, limitações, taxas de erro e vieses identificados; fornecer ao Controlador informações sobre funcionamento dos modelos; notificar mudanças significativas; disponibilizar relatórios periódicos de performance.
- d) Supervisão humana: permitir identificação de outputs gerados por IA (rastreabilidade); fornecer meios para revisão humana de processamentos relevantes; registrar em logs quando a IA é usada em decisões que afetem titulares.
- e) Finalidades autorizadas: usar dados exclusivamente para finalidades autorizadas; não usar dados identificáveis para treinamento sem anonimização efetiva ou consentimento; não comercializar ou compartilhar dados para fins alheios aos serviços contratados.
- f) Incidentes: notificar o Controlador em até 24 (vinte e quatro) horas sobre incidentes de segurança envolvendo dados processados por IA; falhas técnicas graves em modelos; vieses significativos não documentados; outputs que causem ou possam causar dano a titulares, em harmonia com o item 3.9 dos Termos de Uso.
- g) Direitos dos titulares: auxiliar no atendimento de solicitações relacionadas ao art. 20 da LGPD (revisão de decisões automatizadas); fornecer informações sobre lógica utilizada pela IA.
3.3. Obrigações do Controlador quanto ao uso de IA. O Controlador deve exercer supervisão ativa sobre outputs de IA, conforme item 5.6 dos Termos de Uso; revisar e validar informações antes de uso em contextos críticos; não delegar à IA decisões indelegáveis; utilizar IA conforme orientações técnicas; informar titulares sobre uso de tratamento automatizado no Aviso de Privacidade próprio; atender solicitações relacionadas ao art. 20 da LGPD; responder perante pacientes e autoridades por decisões clínicas; capacitar equipe sobre limitações de IA; e reportar à Operadora falhas identificadas.
3.4. Responsabilidades.
3.4.1. A Operadora responde principalmente por falhas técnicas graves não identificáveis por supervisão profissional diligente; vieses discriminatórios não mitigados; violações de segurança decorrentes de falha técnica/organizacional; uso de dados para finalidades não autorizadas.
3.4.2. O Controlador responde principalmente por decisões clínicas sem validação adequada; uso em desacordo com orientações técnicas; falta de supervisão profissional; ausência de informação aos titulares sobre tratamento automatizado.
3.4.3. As Partes respondem solidariamente quando dano decorrer de falha técnica e supervisão inadequada; descumprimento simultâneo de obrigações; impossibilidade de delimitar causa exclusiva (art. 42, § 1º, da LGPD). A Parte que comprovar que o dano decorreu exclusivamente de culpa da outra terá direito de regresso integral.
3.5. Revisão de decisões automatizadas (art. 20 da LGPD). Em harmonia com o item 3.5 dos Termos de Uso, o titular pode solicitar revisão de decisões baseadas unicamente em tratamento automatizado. A Operadora fornecerá, em até 7 (sete) dias úteis, informações sobre lógica, dados e parâmetros utilizados. O Controlador realizará revisão humana e responderá ao titular. Se identificado erro, a Operadora corrige o modelo e notifica as ações tomadas.
3.6. Treinamento de modelos de IA. Em harmonia com o item 3.6 dos Termos de Uso, se dados forem usados para treinamento ou melhoria de modelos, a Operadora realizará anonimização efetiva e irreversível (art. 12 da LGPD); dados anonimizados não permitirão identificação direta ou indireta de titulares; alternativamente, será obtido consentimento específico quando a anonimização não for viável. Dados pessoais identificáveis não serão utilizados para treinamento sem consentimento específico, salvo se anonimizados.
4. Medidas de segurança
4.1. A Operadora implementa as seguintes medidas técnicas e administrativas para proteção dos dados pessoais:
a) Criptografia:
- dados em trânsito: TLS 1.2 ou superior em todas as comunicações;
- dados em repouso: AES-256 para armazenamento em banco de dados e backups;
- chaves criptográficas gerenciadas em vault dedicado com rotação trimestral.
b) Controle de acesso:
- autenticação multifator (MFA) obrigatória para todos os colaboradores com acesso a dados;
- controle de acesso baseado em funções (RBAC) com princípio do menor privilégio;
- logs de acesso imutáveis retidos por 180 (cento e oitenta) dias;
- revisão trimestral de permissões com revogação de acessos não utilizados.
c) Segregação de dados:
- isolamento lógico de dados por cliente (tenant) em banco de dados multi-tenant;
- namespaces dedicados e consultas parametrizadas com filtros obrigatórios de tenant_id;
- proibição de consultas cross-tenant.
d) Monitoramento e detecção:
- sistema de detecção de intrusão (IDS/IPS) em perímetro de rede;
- monitoramento contínuo de anomalias de acesso e exfiltração de dados;
- alertas automáticos para eventos suspeitos (múltiplas tentativas de login, acesso fora de horário, download massivo de dados).
e) Gestão de vulnerabilidades:
- escaneamento automatizado de dependências (Dependabot e GitGuardian);
- política de patching com aplicação de atualizações críticas de segurança em até 72 horas;
- testes de penetração (pentest) externos anuais;
- testes periódicos de acurácia e segurança.
f) Backup e recuperação:
- backups automáticos diários com criptografia AES-256, em harmonia com o item 4.4 dos Termos de Uso;
- armazenamento em região geográfica distinta (multi-region);
- retenção de 30 (trinta) dias com teste trimestral de restauração;
- RTO (Recovery Time Objective): 8 horas / RPO (Recovery Point Objective): 24 horas.
g) Limitações de segurança inerentes ao WhatsApp:
- criptografia de ponta a ponta (E2EE) entre dispositivos dos usuários, mas metadados não criptografados (números de telefone, horários, tamanhos de mensagens) acessíveis à Meta;
- armazenamento de mensagens nos servidores da Meta por prazo indefinido conforme Aviso de Privacidade do WhatsApp;
- impossibilidade de implementação de controles adicionais de segurança (DLP, tokenização, mascaramento) sobre dados que trafegam pela API do WhatsApp;
- dependência das políticas de segurança e gestão de incidentes da Meta, sobre as quais a CONTRATADA não possui governança.
5. Suboperadores
5.1. A Operadora está autorizada a contratar os seguintes suboperadores para tratamento de dados pessoais:
| Subprocessador | Serviço prestado | Localização | Observações |
|---|---|---|---|
| Oracle Cloud Infrastructure (OCI) | Hospedagem de banco de dados e aplicação | São Paulo, Brasil | — |
| Meta Platforms Inc. (WhatsApp Business API) | Infraestrutura completa de mensageria, armazenamento e processamento de mensagens via WhatsApp Business API | Estados Unidos | Suboperador obrigatório e único — sem alternativa técnica |
| Twilio Inc. | Infraestrutura de mensageria (fallback) | Estados Unidos | — |
| Sentry | Monitoramento de erros e performance | Estados Unidos | Opcional |
| Cloudflare Inc. | CDN, DNS e proteção DDoS | Global (rede distribuída) | Opcional |
5.2. A contratação de novos suboperadores será notificada ao Controlador com antecedência mínima de 30 (trinta) dias. O Controlador poderá se opor à contratação mediante notificação escrita no prazo de 15 (quinze) dias, hipótese em que poderá rescindir o Contrato sem ônus, observado o item 8 dos Termos de Uso.
5.3. A Operadora é responsável por garantir que todos os suboperadores cumpram obrigações de proteção de dados equivalentes às estabelecidas neste DPA, mediante celebração de contratos específicos (Data Processing Agreements).
5.4. Para suboperadores localizados fora do Brasil, a transferência internacional de dados é realizada mediante Cláusulas Contratuais Padrão (Standard Contractual Clauses) ou outra base legal prevista no art. 33 da LGPD.
5.5. Dependência crítica da Meta Platforms Inc. O CONTRATANTE declara ter ciência de que a Meta Platforms Inc. (WhatsApp) é suboperadora obrigatória e insubstituível, não havendo alternativa técnica para prestação dos serviços, em consonância com os itens 1.3 e 2.2 dos Termos de Uso. Todos os dados pessoais tratados via ALMA IA são necessariamente processados, armazenados e transmitidos pela infraestrutura da Meta, localizada nos Estados Unidos, estando sujeitos a:
- WhatsApp Privacy Policy (whatsapp.com/legal/privacy-policy);
- Termos de Uso do WhatsApp Business API;
- legislação norte-americana, incluindo Cloud Act (possibilidade de requisição governamental de dados);
- retenção de metadados pela Meta (números de telefone, timestamps, padrões de uso) conforme Aviso de Privacidade do WhatsApp.
5.5.1. A CONTRATADA não possui controle sobre políticas de privacidade, segurança, retenção ou eliminação de dados implementadas pela Meta, e não pode garantir que a Meta não utilize metadados para finalidades próprias (melhoria de serviços, segurança, publicidade direcionada em outras plataformas Meta). Cabe ao Controlador comunicar essa circunstância aos titulares em seu Aviso de Privacidade próprio.
6. Direitos dos titulares
6.1. O Controlador é responsável por atender solicitações de direitos dos titulares previstas nos arts. 17 a 22 da LGPD, incluindo:
- confirmação de tratamento e acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados;
- portabilidade de dados;
- revogação de consentimento.
6.2. A Operadora fornecerá suporte técnico ao Controlador para atendimento de solicitações dos titulares, disponibilizando funcionalidades de exportação, correção e eliminação de dados na ALMA IA.
6.3. Solicitações de titulares recebidas diretamente pela Operadora serão encaminhadas ao Controlador em até 48 (quarenta e oito) horas para resposta.
7. Comunicação de incidentes de segurança
7.1. Em harmonia com o item 4.5 dos Termos de Uso, a Operadora notificará o Controlador em até 24 (vinte e quatro) horas após tomar conhecimento de qualquer incidente de segurança que possa resultar em risco ou dano relevante aos titulares, incluindo:
- acesso não autorizado a dados pessoais;
- vazamento, perda ou destruição acidental de dados;
- ransomware, malware ou comprometimento de sistemas;
- falhas de segurança que exponham dados pessoais.
7.2. A notificação de incidente conterá, no mínimo:
- descrição do incidente e data/hora de ocorrência;
- categorias e quantidade aproximada de titulares afetados;
- categorias e quantidade aproximada de registros de dados afetados;
- medidas técnicas imediatas adotadas para contenção;
- análise preliminar de impacto e riscos aos titulares;
- plano de ação para mitigação e prevenção de recorrência.
7.3. A Operadora cooperará com o Controlador em investigações de incidentes, fornecendo logs, evidências técnicas e informações necessárias para comunicação à ANPD (se aplicável) e aos titulares afetados.
7.4. A comunicação à ANPD e aos titulares é responsabilidade exclusiva do Controlador, conforme art. 48 da LGPD.
8. Auditoria e conformidade
8.1. O Controlador poderá, mediante notificação prévia de 15 (quinze) dias úteis e no máximo 1 (uma) vez ao ano, auditar a conformidade da Operadora com este DPA, mediante:
- análise de documentação de segurança e políticas internas;
- revisão de relatórios de pentest e certificações de segurança (se disponíveis);
- inspeção remota de controles técnicos e logs de acesso.
8.2. Auditorias presenciais nas instalações da Operadora dependerão de acordo específico sobre escopo, data e confidencialidade.
8.3. A Operadora fornecerá evidências razoáveis de conformidade, ressalvadas informações confidenciais ou proprietárias que possam comprometer a segurança de outros clientes.
9. Término do tratamento
9.1. Ao término dos Termos de Uso (item 8 dos ToU), a Operadora adotará uma das seguintes medidas, conforme instrução do Controlador:
a) Devolução: disponibilização de exportação de dados pessoais limitada ao histórico de conversas disponível na WhatsApp Business API no momento da solicitação. O CONTRATANTE reconhece que:
- a WhatsApp Business API não garante armazenamento perpétuo de mensagens;
- mensagens antigas podem ser deletadas automaticamente pela Meta conforme Aviso de Privacidade;
- não há garantia de recuperação de mídias (fotos, vídeos, áudios, documentos) após prazo de expiração determinado pela Meta;
- a exportação conterá exclusivamente dados aos quais a CONTRATADA tenha acesso via API no momento da solicitação.
b) Eliminação: exclusão definitiva e irreversível de todos os dados pessoais de sistemas produtivos, backups e logs, em até 30 (trinta) dias úteis após a devolução (ou imediatamente, se o Controlador dispensar a devolução).
9.2. A Operadora fornecerá declaração escrita certificando a eliminação completa dos dados, incluindo:
- data de eliminação;
- sistemas e repositórios abrangidos (produção, backups, logs);
- metodologia de eliminação (sobrescrita, destruição criptográfica);
- assinatura de responsável técnico.
9.3. A Operadora poderá reter dados pessoais exclusivamente nas seguintes hipóteses:
- cumprimento de obrigação legal ou regulatória (p. ex.: art. 16 da LGPD);
- dados anonimizados para fins estatísticos ou de melhoria de produto;
- cópia em backup arquivístico isolado por prazo legal de prescrição (5 anos).
9.4. Dados retidos nos termos do item 9.3 permanecerão protegidos pelas medidas de segurança previstas no item 4 e não poderão ser utilizados para finalidades operacionais.
10. Responsabilidades e indenização
10.1. Sem prejuízo da limitação de responsabilidade prevista no item 9 dos Termos de Uso, a Operadora responsabiliza-se por danos causados a titulares decorrentes de:
- tratamento de dados em desconformidade com instruções do Controlador;
- violação de obrigações previstas neste DPA;
- negligência na implementação de medidas de segurança.
10.2. O Controlador responsabiliza-se por danos causados a titulares decorrentes de:
- ausência de base legal adequada para tratamento de dados;
- instruções de tratamento em desconformidade com a LGPD;
- conteúdo de comunicações enviadas aos pacientes.
10.3. As Partes são solidariamente responsáveis perante titulares por danos decorrentes de tratamento de dados, conforme art. 42 da LGPD, ressalvado o direito de regresso.
11. Aviso de privacidade — destinado aos Controladores
11.1. Este item consolida, em formato de aviso de privacidade dirigido ao CONTRATANTE (Controlador), o conjunto mínimo de informações que devem, conforme o caso, ser replicadas pelo Controlador em seu próprio Aviso de Privacidade dirigido aos titulares (pacientes), em cumprimento ao art. 9º da LGPD.
11.2. Quais dados a Operadora trata: dados de identificação, contato, agendamento, informações sensíveis de saúde compartilhadas voluntariamente pelo titular no curso do atendimento, histórico de interações via WhatsApp e anotações administrativas (item 1.3).
11.3. Por que trata: prestação dos serviços contratados pelo Controlador, conforme finalidades do item 2.1.
11.4. Como compartilha: exclusivamente com os suboperadores listados no item 5, todos vinculados a Data Processing Agreements equivalentes. A Operadora não comercializa, vende ou compartilha dados para finalidades próprias, marketing, desenvolvimento de produtos ou treinamento de IA fora das hipóteses previstas no item 3.6, em harmonia com o item 3.7 dos Termos de Uso.
11.5. Onde os dados ficam: predominantemente no Brasil (Oracle Cloud — São Paulo) e, obrigatoriamente, na infraestrutura da Meta Platforms Inc. nos Estados Unidos, conforme limitações descritas no item 5.5.
11.6. Por quanto tempo: pelo período de vigência do contrato e pelos prazos descritos no item 9. Dados anonimizados e cópias arquivísticas podem ser retidos pelos prazos legais aplicáveis.
11.7. Direitos dos titulares (arts. 17 a 22 da LGPD): confirmação, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamentos, revogação de consentimento e revisão de decisões automatizadas. Tais direitos são exercidos perante o Controlador, que poderá acionar a Operadora para suporte técnico nos termos do item 6.
11.8. Encarregado pelo Tratamento de Dados (DPO) da Operadora: Raphael de Abreu da Silva — Contato: dpo@oialma.com.br. O Controlador deve indicar seu próprio Encarregado em seu Aviso de Privacidade dirigido aos titulares.
12. Aceite eletrônico em duas etapas e registro técnico
12.1. Em harmonia com o item 12 dos Termos de Uso, a vinculação do CONTRATANTE a este DPA dá-se exclusivamente por aceite eletrônico, realizado em conjunto com o aceite dos Termos de Uso, de forma livre, informada e inequívoca.
12.2. Aceite em duas etapas. O CONTRATANTE deverá manifestar concordância mediante a marcação afirmativa, separada e independente, de 2 (duas) caixas de seleção (checkboxes):
12.2.1. As duas caixas são independentes. A simples marcação de uma delas não supre a ausência da outra. A ausência de marcação em qualquer das duas impedirá a conclusão do procedimento de contratação.
12.2.2. Não serão admitidas caixas pré-marcadas, em conformidade com o art. 8º, § 4º, da LGPD.
12.3. Registro técnico do aceite. A Operadora armazenará, para cada aceite realizado, no mínimo os seguintes elementos comprobatórios, mantidos por prazo não inferior ao prazo prescricional aplicável:
- Endereço IP a partir do qual o aceite foi realizado;
- Data e hora do aceite (timestamp), em fuso UTC e em horário de Brasília;
- Identificador da versão do DPA aceita (ex.: DPA-ALMA IA-v1);
- Identificador da versão dos Termos de Uso aceita (ex.: ToU-ALMA IA-v1);
- Indicação separada da marcação do Checkbox 1 (dados sensíveis de saúde) e do Checkbox 2 (termos gerais);
- Identificadores do CONTRATANTE (e-mail, CNPJ/CPF ou identificador único de conta) e do dispositivo (user-agent), quando aplicável.
12.3.1. Os registros técnicos constituem prova válida do aceite eletrônico, nos termos do art. 10 da MP 2.200-2/2001 e do art. 411 do Código de Processo Civil, e poderão ser apresentados pela Operadora em qualquer tempo, judicial ou extrajudicialmente, inclusive para fins de demonstração de conformidade perante a ANPD.
12.4. Versionamento. Toda alteração material deste DPA gerará uma nova versão, identificada por código próprio. O CONTRATANTE será notificado por e-mail e/ou pelo painel administrativo e, conforme a relevância da alteração — especialmente quanto a categorias de dados sensíveis, suboperadores e transferências internacionais —, poderá ser exigido novo aceite eletrônico em duas etapas para continuidade do uso, em consonância com o item 12.4 dos Termos de Uso.
12.5. O CONTRATANTE poderá, a qualquer momento, solicitar à Operadora cópia do registro técnico do seu aceite e da versão exata do DPA aceita.
13. Disposições finais
13.1. Este DPA é instrumento autônomo e complementar aos Termos de Uso da ALMA IA e prevalece em caso de conflito com cláusulas contratuais sobre tratamento de dados pessoais.
13.2. Alterações à legislação de proteção de dados que impactem este DPA serão incorporadas mediante nova versão, sem ônus adicional às Partes.
13.3. Este DPA permanece em vigor durante toda a vigência da relação contratual e, quanto às obrigações de eliminação de dados e confidencialidade, por 5 (cinco) anos após o término.
13.4. Fica eleito o Foro da Comarca de São Paulo para dirimir quaisquer controvérsias decorrentes deste DPA, com renúncia expressa a qualquer outro, por mais privilegiado que seja, em consonância com o item 14 dos Termos de Uso.