1. Introdução
Este Acordo de Processamento de Dados ("DPA") faz parte dos Termos de Serviço ("Contrato") entre a organização cliente ("Controlador", "você") e a Anima HR ("Operador", "nós"), localizada em New Jersey, Estados Unidos.
Este DPA se aplica quando processamos Dados Pessoais em seu nome em conexão com a plataforma Anima HR. Ele reflete os requisitos do Regulamento Geral de Proteção de Dados da UE (GDPR), do UK GDPR, da Lei Federal Suíça de Proteção de Dados (FADP), da Lei Geral de Proteção de Dados do Brasil (LGPD — Lei nº 13.709/2018), da California Consumer Privacy Act (CCPA/CPRA) e de outras leis de proteção de dados aplicáveis.
Ao utilizar o serviço Anima HR, você aceita este DPA. Se precisar de uma cópia assinada, entre em contato conosco através do nosso formulário de contato.
2. Definições
- "Dados Pessoais" — qualquer informação relacionada a uma pessoa natural identificada ou identificável, conforme definido na legislação de proteção de dados aplicável (incluindo o conceito de "dados pessoais" da LGPD, Art. 5º, I).
- "Tratamento" — qualquer operação realizada com Dados Pessoais, incluindo coleta, armazenamento, consulta, uso, divulgação, eliminação ou destruição (conforme Art. 5º, X da LGPD).
- "Controlador" — a entidade que determina as finalidades e os meios do Tratamento de Dados Pessoais (você, a organização cliente).
- "Operador" — a entidade que realiza o Tratamento de Dados Pessoais em nome do Controlador (Anima HR).
- "Suboperador" — um terceiro contratado pelo Operador para realizar o Tratamento de Dados Pessoais em nome do Controlador.
- "Titular dos Dados" — a pessoa natural a quem os Dados Pessoais se referem (seus funcionários e usuários do workspace).
- "Violação de Dados" — uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais (conforme Art. 46 da LGPD e Art. 4(12) do GDPR).
- "SCCs" — as Cláusulas Contratuais Padrão adotadas pela Comissão Europeia para transferências internacionais de dados (Decisão de Execução (UE) 2021/914).
- "Serviço" — a plataforma Anima HR e os serviços relacionados fornecidos sob o Contrato.
3. Escopo e Funções
Você é o Controlador. A Anima HR é o Operador. Processamos Dados Pessoais exclusivamente com base em suas instruções documentadas para fornecer o Serviço.
Este DPA não se aplica aos dados que coletamos como Controlador por direito próprio (por exemplo, formulários de contato do site de marketing, dados de faturamento). Nossa Política de Privacidade rege esse tratamento.
Isolamento multi-tenant
Cada organização cliente recebe um banco de dados dedicado e isolado. Seus dados nunca são misturados com os dados de outros clientes. A identidade do tenant é verificada criptograficamente em cada requisição à API.
4. Detalhes do Tratamento
Os detalhes do Tratamento estão descritos no Anexo A. Em resumo:
| Elemento | Descrição |
|---|---|
| Objeto | Fornecimento da plataforma Anima HR |
| Duração | Vigência do Contrato mais o período de exclusão de dados (90 dias) |
| Natureza e finalidade | Gestão de RH — licenças, avaliações, feedback, salários, pesquisas, people analytics, notas de 1:1 |
| Categorias de Titulares dos Dados | Seus funcionários, prestadores de serviço e usuários do workspace |
| Tipos de Dados Pessoais | Nome, e-mail, cargo, departamento, gestor, datas de emprego, salário, registros de licenças, dados de desempenho, feedback, respostas de pesquisas, campos personalizados |
5. Obrigações do Operador
A Anima HR deverá:
- Tratar Dados Pessoais somente com base em suas instruções documentadas, salvo quando exigido por lei aplicável (caso em que informaremos você antes do tratamento, exceto se proibido por lei).
- Garantir que as pessoas autorizadas a tratar Dados Pessoais tenham se comprometido com a confidencialidade ou estejam sob obrigação legal de confidencialidade adequada.
- Implementar e manter as medidas técnicas e organizacionais de segurança descritas no Anexo B.
- Respeitar as condições para contratação de Suboperadores estabelecidas na Seção 6.
- Auxiliá-lo no atendimento a solicitações de Titulares dos Dados conforme descrito na Seção 10.
- Auxiliá-lo no cumprimento de suas obrigações relativas à notificação de violação de dados, DPIAs e consulta prévia.
- A seu critério, excluir ou devolver todos os Dados Pessoais após o encerramento do Serviço, e excluir cópias existentes, salvo quando a lei aplicável exigir a retenção.
- Disponibilizar a você todas as informações necessárias para demonstrar conformidade com este DPA e permitir auditorias conforme descrito na Seção 13.
- Informá-lo imediatamente se, em nossa opinião, uma instrução sua violar a legislação de proteção de dados aplicável.
6. Suboperadores
Você fornece autorização geral para que contratemos Suboperadores. A lista atual está no Anexo C.
- Notificaremos você com pelo menos 30 dias de antecedência antes de adicionar ou substituir um Suboperador, atualizando esta página e, para clientes Enterprise, por notificação por e-mail.
- Você pode se opor a um novo Suboperador dentro de 14 dias após a notificação. Se não pudermos acomodar razoavelmente sua objeção, você poderá rescindir o Serviço afetado.
- Impomos obrigações de proteção de dados a cada Suboperador que não sejam menos protetivas do que as deste DPA.
- Permanecemos totalmente responsáveis pelos atos e omissões de nossos Suboperadores.
7. Transferências Internacionais de Dados
Você escolhe sua região de dados durante o cadastro. Seu banco de dados de tenant é criado exclusivamente nessa região.
- Região EEE selecionada — seus dados permanecem no EEE. Nenhuma transferência internacional ocorre.
- Região fora do EEE selecionada — se você ou seus funcionários estiverem no EEE, as transferências são regidas pelas Cláusulas Contratuais Padrão da UE (SCCs), Módulo 2 (Controlador para Operador), que são incorporadas a este DPA por referência.
- Transferências do Reino Unido — aplica-se o Adendo de Transferência Internacional de Dados do Reino Unido às SCCs da UE.
- Transferências da Suíça — aplicam-se as SCCs conforme modificadas pelo Comissário Federal Suíço de Proteção de Dados e Informação.
- Transferências do Brasil — as transferências internacionais de dados pessoais de titulares localizados no Brasil são realizadas em conformidade com o Capítulo V da LGPD (Arts. 33–36), incluindo cláusulas contratuais específicas e garantias adequadas de proteção.
Nosso principal provedor de infraestrutura participa do EU-U.S. Data Privacy Framework, fornecendo um mecanismo adicional de adequação para transferências da UE para os EUA.
8. Medidas de Segurança
Implementamos as medidas técnicas e organizacionais descritas no Anexo B, em conformidade com o Art. 46 da LGPD e o Art. 32 do GDPR. As principais medidas incluem:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
- Banco de dados dedicado por tenant — sem armazenamento compartilhado
- Chaves criptográficas de assinatura por tenant (RSA-2048, criptografadas com AES-256-GCM)
- Controle de acesso baseado em funções aplicado na camada da API
- Registro de auditoria de todas as operações de escrita
- Limitação de taxa por janela deslizante por usuário autenticado
- Validação da identidade do tenant em cada chamada à API
- Redação de campos sensíveis com base na função do usuário
Revisamos e atualizamos regularmente essas medidas para refletir ameaças em evolução e as melhores práticas do setor. Não reduziremos materialmente o nível geral de segurança durante a vigência do Contrato.
9. Notificação de Violação de Dados
No caso de uma Violação de Dados que afete seus Dados Pessoais, nós iremos:
- Notificá-lo sem demora injustificada e, em qualquer caso, dentro de 48 horas após tomarmos conhecimento da violação, em conformidade com o Art. 48 da LGPD e o Art. 33 do GDPR.
- Fornecer informações suficientes para permitir que você cumpra suas obrigações de notificar autoridades supervisoras e Titulares dos Dados, incluindo:
- Natureza da violação (categorias e número aproximado de Titulares dos Dados e registros afetados)
- Consequências prováveis da violação
- Medidas tomadas ou propostas para tratar a violação e mitigar seus efeitos
- Ponto de contato para mais informações
- Cooperar com você e tomar medidas razoáveis para auxiliar na investigação, mitigação e remediação da violação.
- Não notificar terceiros (incluindo autoridades supervisoras ou Titulares dos Dados) em seu nome, a menos que você nos instrua explicitamente a fazê-lo ou que sejamos obrigados por lei.
10. Solicitações de Titulares dos Dados
Se recebermos uma solicitação de um Titular dos Dados referente aos seus Dados Pessoais tratados em seu nome, nós iremos:
- Redirecionar prontamente o Titular dos Dados a você, salvo se proibido por lei.
- Notificá-lo da solicitação dentro de 5 dias úteis.
- Auxiliá-lo no atendimento da solicitação por meio dos recursos integrados de exportação, correção e exclusão de dados do Serviço.
- Não responder independentemente ao Titular dos Dados, salvo se instruído por você ou exigido por lei.
O Serviço fornece ferramentas de autoatendimento para que administradores exportem, corrijam e excluam dados de funcionários sem necessidade de nosso envolvimento. Isso inclui o atendimento aos direitos dos titulares previstos nos Arts. 17 e 18 da LGPD.
11. Avaliações de Impacto à Proteção de Dados
Quando exigido pela legislação aplicável (incluindo o Relatório de Impacto à Proteção de Dados Pessoais previsto no Art. 38 da LGPD), forneceremos assistência razoável a você na condução de Avaliações de Impacto à Proteção de Dados (DPIAs) e consultas prévias com autoridades supervisoras, levando em consideração a natureza do Tratamento e as informações disponíveis para nós.
12. Retenção e Exclusão de Dados
- Durante a vigência — retemos seus Dados Pessoais pela duração do Contrato, conforme necessário para fornecer o Serviço.
- Após o encerramento — a seu critério, excluiremos ou devolveremos todos os Dados Pessoais dentro de 90 dias após o encerramento da conta. Você pode exportar seus dados a qualquer momento durante a vigência usando os recursos de exportação integrados do Serviço.
- Exceções — podemos reter Dados Pessoais na medida exigida pela lei aplicável (por exemplo, registros de faturamento para conformidade fiscal). Tais dados permanecerão sujeitos às proteções deste DPA.
- Confirmação de exclusão — mediante solicitação, forneceremos confirmação por escrito de que os Dados Pessoais foram excluídos.
13. Direitos de Auditoria
- Disponibilizaremos a você todas as informações razoavelmente necessárias para demonstrar conformidade com este DPA.
- Você pode realizar uma auditoria (ou designar um auditor terceirizado qualificado) no máximo uma vez por ano, com pelo menos 30 dias de aviso prévio por escrito, durante o horário comercial normal e sujeito a obrigações razoáveis de confidencialidade.
- Podemos atender solicitações de auditoria fornecendo:
- Relatórios SOC 2 Tipo II (quando disponíveis)
- Certificação ISO 27001 (quando disponível)
- Questionários de segurança preenchidos (SIG, CAIQ ou personalizado)
- Resumos de testes de penetração
- Se um relatório de auditoria de terceiros atender razoavelmente à sua solicitação de auditoria, podemos fornecer esse relatório em vez de uma auditoria presencial.
14. Responsabilidade
A responsabilidade de cada parte sob este DPA está sujeita às limitações de responsabilidade estabelecidas no Contrato. Este DPA não limita a responsabilidade de nenhuma das partes por violações da legislação de proteção de dados na medida em que tal limitação seja proibida pela lei aplicável, incluindo a LGPD e o GDPR.
15. Vigência e Rescisão
Este DPA entra em vigor quando você aceita o Contrato e permanece em vigor até que todos os Dados Pessoais tenham sido excluídos ou devolvidos de acordo com a Seção 12. As obrigações deste DPA sobrevivem à rescisão do Contrato na medida necessária para proteger os Dados Pessoais.
16. Lei Aplicável
- Se você estiver estabelecido no EEE, este DPA é regido pelas leis do Estado-Membro da UE em que você está estabelecido.
- Se você estiver estabelecido no Reino Unido, este DPA é regido pelas leis da Inglaterra e País de Gales.
- Se você estiver estabelecido na Suíça, este DPA é regido pela lei suíça.
- Se você estiver estabelecido no Brasil, este DPA é regido pelas leis da República Federativa do Brasil, incluindo a LGPD (Lei nº 13.709/2018), e a Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade supervisora competente.
- Em todos os demais casos, este DPA é regido pelas leis do Estado de New Jersey, Estados Unidos.
Anexo A — Detalhes do Tratamento
A.1 Objeto e duração
Tratamento de Dados Pessoais conforme necessário para fornecer a plataforma Anima HR sob o Contrato, pela duração do Contrato mais o período de exclusão de 90 dias.
A.2 Natureza e finalidade do Tratamento
A Anima HR trata Dados Pessoais para fornecer as seguintes capacidades de gestão de RH:
- Diretório de funcionários e gestão de perfis
- Gestão de licenças (solicitações, aprovações, acompanhamento de saldos, acúmulo)
- Ciclos de avaliação de desempenho (perguntas, respostas, classificações, histórico)
- Feedback contínuo, reconhecimento entre pares (kudos) e feedback ascendente
- Gestão salarial (histórico, fluxos de solicitação e aprovação)
- Pesquisas com funcionários (criação, distribuição, coleta de respostas, análises)
- People analytics (avaliações GWC, acompanhamento de competências)
- Notas de reuniões 1:1 (texto livre e modelos estruturados)
- Hierarquia organizacional e estrutura de reporte
- Autenticação e controle de acesso
A.3 Categorias de Titulares dos Dados
- Funcionários do Controlador
- Prestadores de serviço e trabalhadores temporários do Controlador
- Administradores do workspace
A.4 Tipos de Dados Pessoais
| Categoria | Elementos de dados |
|---|---|
| Identidade | Nome completo, endereço de e-mail corporativo, ID do funcionário |
| Emprego | Cargo, departamento, gestor, data de início, status de emprego |
| Remuneração | Histórico salarial, solicitações e aprovações de alteração salarial |
| Licenças | Solicitações de licença, saldos, registros de acúmulo, histórico de aprovações |
| Desempenho | Respostas de ciclos de avaliação, classificações, pontuações de competência, histórico de avaliações |
| Feedback | Registros de feedback, solicitações de feedback, kudos, mensagens de reconhecimento |
| Pesquisas | Respostas de pesquisas, análises anonimizadas |
| Reuniões | Notas de 1:1 (texto livre, respostas de modelos estruturados) |
| Analytics | Pontuações de avaliação GWC, dados de people analytics |
| Campos personalizados | Quaisquer campos adicionais configurados pelo Controlador |
| Técnico | Credenciais de autenticação (com hash), tokens de sessão, logs de auditoria (ID do usuário, timestamp, ação) |
A.5 Categorias especiais de dados
O Serviço não foi projetado para tratar categorias especiais de Dados Pessoais (Art. 9 do GDPR) ou dados pessoais sensíveis (Art. 5º, II e Art. 11 da LGPD), como dados de saúde, dados biométricos ou dados que revelem origem racial ou étnica. Se você configurar campos personalizados que contenham tais dados, você é responsável por garantir uma base legal apropriada e salvaguardas adicionais.
Anexo B — Medidas Técnicas e Organizacionais de Segurança
B.1 Criptografia
- Todos os dados em trânsito criptografados com TLS 1.2 ou superior
- Todos os dados em repouso criptografados com AES-256 (bancos de dados, armazenamento de arquivos, backups)
- Chaves de assinatura por tenant criptografadas com AES-256-GCM, armazenadas em um gerenciador de segredos seguro
B.2 Isolamento de tenant
- Cada organização cliente recebe um banco de dados dedicado — sem armazenamento de dados compartilhado entre tenants
- A identidade do tenant é validada criptograficamente em cada requisição à API
- A reutilização de tokens entre tenants é impedida pela vinculação dos tokens de autenticação ao identificador do tenant
B.3 Controle de acesso
- Controle de acesso baseado em funções (RBAC) aplicado na camada da API em cada requisição
- Duas funções: funcionário (dados próprios + dados da equipe se gestor) e admin (todos os dados + configuração)
- Campos sensíveis redatados com base na função do usuário e configuração do tenant
- Status de gestor derivado em tempo de execução da hierarquia organizacional — não armazenado como uma função
B.4 Auditoria e monitoramento
- Todas as operações de escrita registradas com identidade do usuário, timestamp e valores alterados
- Limitação de taxa por janela deslizante por usuário autenticado
- Sanitização de entrada em todos os endpoints da API
- Cabeçalhos de segurança aplicados a todas as respostas
B.5 Infraestrutura
- Arquitetura multi-conta — dados do tenant isolados no nível da conta na nuvem
- Residência de dados aplicada — banco de dados do tenant criado exclusivamente na região escolhida
- Nenhum dado de cliente armazenado em dispositivos de funcionários ou sistemas locais
- Certificações do provedor de infraestrutura: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, PCI DSS, HIPAA eligible, FedRAMP
B.6 Continuidade de negócios
- Backups automatizados com recuperação point-in-time
- Replicação multi-região disponível (plano Enterprise)
- Infraestrutura projetada para alta disponibilidade com failover automático
Anexo C — Suboperadores Autorizados
Os seguintes Suboperadores estão autorizados a tratar Dados Pessoais sob este DPA:
| Suboperador | Finalidade | Localização | Certificações |
|---|---|---|---|
| Amazon Web Services (AWS) | Infraestrutura em nuvem, banco de dados, armazenamento de arquivos, CDN e computação | Sua(s) região(ões) escolhida(s) | SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, PCI DSS, HIPAA eligible, FedRAMP |
| Stripe | Processamento de pagamentos | Estados Unidos | PCI DSS Level 1, SOC 1/2, ISO 27001 |
Esta lista foi atualizada pela última vez em 27 de abril de 2026. Atualizaremos esta página e notificaremos clientes Enterprise com pelo menos 30 dias de antecedência antes de adicionar ou substituir um Suboperador.