Blocks2Work
Sign inSign up

Acordo de Tratamento de Dados

Data Processing Agreement (DPA) — versão 1.0 · 22 de junho de 2026

Plano Enterprise: este documento é o modelo standard. Para uma versão assinada com a tua entidade, contacta-nos em legal@blocks2work.com.

1. Definições

Para fins deste DPA aplicam-se as seguintes definições:

  • "Controlador": o Cliente do Blocks2Work, responsável pela decisão sobre o tratamento dos dados pessoais.
  • "Operador": a Blocks2Work, que processa dados pessoais em nome do Controlador.
  • "Dados Pessoais": qualquer informação relativa a pessoa singular identificada ou identificável (LGPD art. 5.º I; GDPR art. 4.º 1).
  • "Tratamento": qualquer operação realizada com dados pessoais (recolha, armazenamento, consulta, eliminação, etc).

2. Objecto e duração

O presente DPA regula o tratamento de Dados Pessoais pelo Operador em nome do Controlador no contexto da prestação do serviço Blocks2Work. Vigora enquanto durar a subscrição activa do Controlador e enquanto houver dados pessoais armazenados pelo Operador em nome do Controlador.

3. Natureza e finalidade do tratamento

O Operador trata Dados Pessoais para fornecer as funcionalidades contratadas: CRM, inbox multi-canal, automações conversacionais, campanhas, agendamentos e billing. O tratamento limita-se ao estritamente necessário para entrega do serviço.

4. Categorias de titulares e tipos de dados

Categoria de titularTipos de dados
Membros da equipa do ControladorNome, email, password hash, role, último login.
Contactos / clientes do ControladorNome, telefone, email, mensagens trocadas, etiquetas, estágio CRM, agendamentos.

5. Obrigações do Operador

O Operador compromete-se a:

  • Tratar dados apenas em conformidade com instruções documentadas do Controlador (este DPA é a instrução padrão).
  • Garantir confidencialidade — todos os colaboradores com acesso assinam NDAs e estão sujeitos a dever de sigilo.
  • Aplicar medidas técnicas e organizacionais apropriadas: encriptação em trânsito (TLS 1.3) e em repouso (AES-256), autenticação multi-factor opcional, audit logs, sign-out de todos os dispositivos, backups encriptados.
  • Notificar incidentes de segurança envolvendo dados pessoais no prazo máximo de 48 horas após detecção.
  • Assistir o Controlador na resposta a pedidos de titulares (acesso, correcção, eliminação, portabilidade).
  • Eliminar ou devolver os dados ao fim da prestação do serviço (ver secção 9).

6. Sub-processadores

O Controlador autoriza o Operador a utilizar os sub-processadores listados em /sub-processors. Qualquer alteração à lista é notificada com pelo menos 30 dias de antecedência. O Controlador pode opor-se a uma alteração; nesse caso pode rescindir o contrato sem penalização.

7. Transferências internacionais

Os Dados Pessoais são armazenados primariamente na União Europeia (Neon, AWS Frankfurt). Quando o tratamento envolva transferência para outras jurisdições (ex: APIs Meta nos EUA), o Operador garante salvaguardas adequadas: Standard Contractual Clauses (SCCs) da Comissão Europeia ou decisões de adequação aplicáveis.

8. Direitos dos titulares

O Operador disponibiliza ferramentas para o Controlador atender pedidos LGPD/GDPR dos titulares:

  • Acesso e portabilidade: exportação completa em /dashboard/settings/security > "Exportar dados" (formato JSON + CSV).
  • Correcção: edição directa no CRM ou via API.
  • Eliminação: apagamento da conta do tenant + cascata em /dashboard/settings/security > "Apagar conta" (30 dias de graça).
  • Oposição: opt-out por contacto via botão dedicado no CRM.

9. Devolução e eliminação de dados

No fim da relação contratual, o Operador apaga ou devolve todos os Dados Pessoais no prazo máximo de 30 dias, salvo obrigação legal de retenção. Dados em backups são purgados em ciclo de 90 dias após cancelamento.

10. Direito a auditoria

Clientes Enterprise podem requerer relatórios de conformidade (relatórios SOC 2 dos sub-processadores quando disponíveis) ou — para subscrições anuais > R$ 50.000 — auditorias em sítio com 30 dias de aviso, durante horário comercial, sem interferir com a operação normal.

11. Responsabilidade

A responsabilidade do Operador pelo não cumprimento deste DPA está limitada ao valor pago pelo Controlador nos 12 meses imediatamente anteriores ao evento, salvo nos casos de dolo ou negligência grave.

12. Lei aplicável e foro

Este DPA rege-se pela lei brasileira em particular pela LGPD (Lei 13.709/2018) e, quando aplicável, pelo Regulamento Geral sobre a Protecção de Dados (UE) 2016/679. Foro: Comarca de São Paulo, SP.

Este documento é informativo. Para uma versão assinada com a tua entidade, contacta-nos em legal@blocks2work.com com o teu CNPJ e dados do signatário.