Termo de Tratamento de Dados (DPA)

Este Termo de Tratamento de Dados Pessoais ("DPA") integra os Termos de Uso e a Política de Privacidade da plataforma Sis Atos e disciplina o tratamento de dados pessoais realizado por força da prestação do serviço, nos termos da Lei nº 13.709/2018 (LGPD).

1. Partes e Papéis

• Controlador: a igreja, associação ou instituição religiosa Cliente, que determina as finalidades e os meios do tratamento dos dados de seus membros.
• Operador: Associação Promessa (CNPJ 55.322.384/0001-50), por meio da plataforma Sis Atos, que trata os dados pessoais em nome e conforme as instruções do Controlador.

Ao aceitar os Termos de Uso, o Controlador celebra este DPA com o Operador.

2. Objeto e Instruções

O Operador tratará dados pessoais exclusivamente para viabilizar as funcionalidades da plataforma contratadas pelo Controlador (gestão de membros, finanças, eventos, relatórios e correlatas) e de acordo com as instruções documentadas do Controlador, representadas pelo uso da própria plataforma e por estes documentos. O Operador não tratará os dados para finalidades próprias distintas das aqui previstas.

3. Categorias de Dados e Titulares

• Titulares: membros, líderes, dependentes e contribuintes cadastrados pelo Controlador.
• Dados: identificação e contato, foto, documentos, endereço, data de nascimento, dados familiares, situação eclesiástica e dados financeiros de contribuições.

O Controlador é o único responsável por garantir a existência de base legal adequada (consentimento ou outra hipótese do art. 7º/art. 11 da LGPD) para inserir tais dados na plataforma, especialmente quando se tratar de dados sensíveis (como convicção religiosa).

4. Obrigações do Operador

• Tratar os dados apenas conforme as instruções do Controlador e a legislação aplicável.
• Adotar medidas técnicas e organizacionais de segurança apropriadas (criptografia de credenciais e segredos, controle de acesso por nível, autenticação em duas etapas opcional, limitação de tentativas de login, registros de auditoria e isolamento lógico multi-tenant).
• Garantir o dever de confidencialidade de quem tiver acesso aos dados.
• Auxiliar o Controlador no atendimento às requisições dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD).
• Comunicar ao Controlador, sem demora injustificada, incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
• Manter registro das operações de tratamento que realizar em nome do Controlador.

5. Obrigações do Controlador

• Determinar finalidades lícitas e dispor de base legal válida para o tratamento.
• Obter consentimento dos titulares quando exigido, e fornecer-lhes as informações de transparência cabíveis.
• Atender, como responsável principal, às requisições dos titulares (acesso, correção, eliminação, portabilidade etc.).
• Inserir e manter na plataforma apenas dados necessários e adequados às finalidades.

6. Suboperadores

O Controlador autoriza o Operador a contratar suboperadores para a prestação do serviço, notadamente provedor de infraestrutura/hospedagem e gateway de pagamento (Asaas). O Operador permanece responsável por exigir desses suboperadores nível de proteção compatível com este DPA.

7. Transferência Internacional

Caso haja tratamento ou armazenamento fora do Brasil, o Operador adotará as garantias exigidas pela LGPD, assegurando grau de proteção adequado aos dados pessoais.

8. Segurança e Incidentes

Em caso de incidente de segurança relevante, o Operador comunicará o Controlador para que este, na qualidade de responsável, avalie a necessidade de comunicação à ANPD e aos titulares, prestando o Operador o apoio técnico necessário.

9. Eliminação e Devolução

Encerrado o contrato, o Operador, conforme instrução do Controlador, eliminará ou devolverá os dados pessoais, ressalvada a guarda obrigatória por prazos legais. O Controlador pode exportar os dados por meio dos recursos disponíveis na plataforma antes do encerramento.

10. Vigência

Este DPA vigora enquanto durar o tratamento de dados pessoais decorrente da prestação do serviço, e suas disposições de confidencialidade e segurança subsistem ao término do contrato no que for aplicável.

11. Encarregado (DPO)

O Encarregado de Proteção de Dados do Operador é Pr. Marcio Junior, contatável em contato@sisatos.com.br. O Controlador deve indicar seu próprio Encarregado, quando aplicável, sendo o responsável pela interface com seus titulares e com a ANPD.