Acordo de Tratamento de Dados (DPA)

Este Acordo de Tratamento de Dados ("DPA") faz parte do contrato entre você ("Controlador") e o Candidatoo ("Operador") e disciplina o tratamento de dados pessoais realizado pelo Candidatoo em nome do Controlador. É oferecido como aditivo pré-assinado aos nossos Termos de Uso. Ao utilizar o Serviço você aceita este DPA.

1. Definições

Termos não definidos aqui têm o significado dado pela LGPD (Lei nº 13.709/2018), pelo GDPR da UE/Reino Unido, pelo CCPA/CPRA da Califórnia e pela PIPEDA do Canadá. "Dados Pessoais" significa qualquer informação relacionada a pessoa natural identificada ou identificável.

2. Papéis

• O Controlador define os propósitos e os meios do tratamento.
• O Candidatoo atua como Operador (LGPD: "operador"; GDPR: "processor"; CCPA: "service provider"; PIPEDA: "service provider"), tratando dados apenas conforme instruções documentadas do Controlador.

3. Objeto, duração e natureza

Objeto: prestação da plataforma de carreira Candidatoo. Duração: vigência do contrato principal acrescida do período de retenção. Natureza: armazenamento, organização, estruturação, recuperação, geração assistida por IA e exclusão de dados de currículo e carreira.

4. Categorias de titulares e de dados

• Titulares: usuários finais do Controlador (candidatos).
• Dados pessoais: identificação (nome, e-mail, telefone), histórico profissional, currículos, cartas de apresentação, registros de candidatura, prompts/saídas de IA e dados técnicos (IP, dispositivo).
• Não tratamos dados sensíveis (saúde, biométricos, criminais) para o uso ordinário do Serviço.

5. Obrigações do Operador

• Tratar Dados Pessoais apenas conforme instruções documentadas do Controlador (art. 39, LGPD).
• Garantir que as pessoas autorizadas estejam vinculadas a dever de confidencialidade.
• Implementar medidas técnicas e organizacionais adequadas (Seção 8).
• Auxiliar o Controlador a responder solicitações de titulares dentro dos prazos legais (LGPD: 15 dias; GDPR: 1 mês; CCPA: 45 dias; PIPEDA: 30 dias).
• Notificar o Controlador, sem demora injustificada e em até 48 horas, sobre qualquer Incidente de Segurança confirmado (art. 48, LGPD).
• Disponibilizar as informações necessárias para demonstrar conformidade e permitir auditorias.
• Eliminar ou devolver os Dados Pessoais ao final do serviço, salvo obrigação legal de retenção.

6. Suboperadores

O Controlador autoriza, em caráter geral, o uso dos suboperadores listados a seguir. O Candidatoo informará o Controlador sobre qualquer alteração com no mínimo 30 dias de antecedência e oferecerá mecanismo de objeção.

• Supabase Inc. — banco de dados gerenciado, autenticação e armazenamento (regiões EUA/UE)
• Cloudflare, Inc. — CDN, WAF, proteção DDoS (global)
• Stripe, Inc. — processamento de pagamentos (EUA, somente faturamento)
• OpenAI / Google / Anthropic via Lovable AI Gateway — inferência de IA (EUA/UE). Prompts e saídas não são utilizados para treinar modelos de terceiros.

7. Transferências internacionais

Quando Dados Pessoais forem transferidos para fora do Brasil, do EEE, do Reino Unido ou do Canadá, o Candidatoo utiliza (a) decisões de adequação quando disponíveis, (b) Cláusulas Contratuais Padrão com medidas suplementares e (c) outros mecanismos aprovados pela ANPD, EDPB, ICO ou OPC (art. 33, LGPD).

8. Medidas de segurança

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Controle de acesso baseado em função, com privilégio mínimo e MFA para acessos administrativos.
• Row-Level Security em dados multi-tenant; segregação por usuário.
• Logs, monitoramento contínuo e alertas para acessos anômalos.
• Backups diários criptografados com retenção de 30 dias e procedimentos de restauração testados.
• Testes anuais de intrusão e varredura contínua de vulnerabilidades em dependências.
• Plano de resposta a incidentes documentado, com RTO/RPO definidos.
• Verificação de antecedentes e treinamento anual de segurança para a equipe.

9. Direitos dos titulares

O Candidatoo disponibiliza ao Controlador e aos titulares ferramentas de autoatendimento para acessar, corrigir, portar, restringir, opor-se e eliminar Dados Pessoais, em conformidade com os arts. 17 a 22 da LGPD, arts. 15 a 22 do GDPR, §1798.100 e seguintes do CCPA/CPRA e Princípios 4.9 e 4.10 da PIPEDA.

10. Incidentes de segurança

O Candidatoo comunicará o Controlador em até 48 horas após tomar conhecimento de qualquer incidente confirmado, indicando categorias e número aproximado de titulares afetados, consequências prováveis e medidas adotadas ou propostas. O Controlador é responsável por comunicar a ANPD e os titulares quando exigido (art. 48, LGPD; arts. 33-34, GDPR; s. 10.1, PIPEDA; §1798.82, CCPA).

11. Auditorias

O Candidatoo disponibilizará, mediante solicitação razoável e sujeita a confidencialidade, os relatórios SOC 2 / ISO 27001 mais recentes de seus suboperadores e os resultados de seu pentest anual. Auditorias on-site podem ser realizadas uma vez por ano, mediante aviso de 30 dias.

12. Responsabilidade e rescisão

A responsabilidade decorrente deste DPA segue a cláusula de limitação de responsabilidade dos Termos de Uso. A rescisão segue o Contrato de Serviço; ao término, o Candidatoo eliminará ou, a critério do Controlador, devolverá todos os Dados Pessoais em até 30 dias, salvo obrigação legal de retenção.

13. Lei aplicável e foro

Este DPA é regido pelas leis da República Federativa do Brasil, sem prejuízo das normas imperativas do país de residência do titular. Elege-se o foro da Comarca de São Paulo - SP, ressalvado o foro do consumidor quando aplicável.

14. Contato

Encarregado pelo Tratamento de Dados (DPO): info@candidatoo.com.br.