Versão: v1.0 Vigência a partir de: 31 de maio de 2026 Base legal: Lei nº 13.709/2018 (LGPD), arts. 5º, 6º, 37, 39 e 41
Este Acordo de Tratamento de Dados (Data Processing Agreement — "DPA") rege a relação entre:
OPERADORA Devon — Tesscol Comércio, Importação e Exportação Ltda. CNPJ: 09.662.114/0001-71 E-mail DPO: [email protected]
E
CONTROLADORA
A Marca contratante (pessoa jurídica representada pelo Usuário com perfil marca que aceita este DPA, doravante "Marca").
Este DPA integra e complementa o Termo de Uso e a Política de Privacidade do Moov. Em caso de conflito, prevalecem as disposições deste DPA quanto ao tratamento de dados dos vendedores e gerentes.
| Termo | Definição |
|---|---|
| Dados Pessoais | Informação relacionada a pessoa natural identificada ou identificável (vendedores e gerentes cadastrados na Plataforma) |
| Titular | Pessoa natural a quem se referem os dados — neste DPA, os vendedores e gerentes de loja |
| Controladora (Marca) | Quem decide finalidades e meios essenciais do tratamento |
| Operadora (Devon) | Quem realiza o tratamento em nome da Controladora, conforme suas instruções |
| Tratamento | Toda operação realizada com dados pessoais (coleta, armazenamento, classificação, etc.) |
| Sub-operadora | Terceiro contratado pela Operadora para realizar parte do tratamento |
| Incidente de Segurança | Evento que possa acarretar risco ou dano relevante aos titulares |
a) Definir as finalidades do tratamento (campanha de incentivo, ranking, premiação); b) Garantir base legal válida (art. 7º da LGPD) para cada operação; c) Coletar consentimento dos titulares quando essa for a base legal escolhida; d) Atender às requisições dos titulares (direitos do art. 18 da LGPD); e) Assegurar a veracidade e atualização dos dados inseridos; f) Comunicar à ANPD eventuais incidentes que envolvam riscos relevantes.
a) Tratar os dados exclusivamente conforme instruções documentadas da Controladora; b) Disponibilizar medidas técnicas e administrativas de segurança proporcionais ao risco; c) Auxiliar a Controladora no atendimento aos direitos dos titulares; d) Notificar a Controladora sobre incidentes de segurança; e) Manter registros das operações de tratamento (art. 37 da LGPD); f) Eliminar ou devolver os dados ao final da relação contratual.
a) Garantir o funcionamento e manutenção da Plataforma; b) Atender solicitações da Controladora; c) Cumprir obrigações legais ou ordens judiciais.
| Categoria | Exemplos |
|---|---|
| Identificação | Nome, sobrenome, e-mail, telefone/WhatsApp |
| Profissional / vínculo | Função (vendedor/gerente), Loja/PDV, Grupo e Marca de vínculo |
| Desempenho de vendas | Vendas atribuídas, pontuação na métrica da campanha, posição no ranking |
| Premiação | Elegibilidade e condição de premiado, conforme regras da campanha |
| Consentimentos | Aceites LGPD, opt-ins por canal, datas e versões |
Coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, utilização, atribuição de vendas, apuração de ranking, classificação, restrição, eliminação ou destruição.
a) Gestão de campanhas de incentivo de sell-out entre Marca e vendedores/gerentes; b) Atribuição de vendas, apuração de ranking e progresso de meta; c) Apuração e gestão de premiação aos vendedores e gerentes; d) Comunicação direta com os titulares (via Brevo ou outro canal contratado); e) Geração de relatórios e indicadores para a Marca; f) Cumprimento de obrigações legais e regulatórias.
[REVISAR JURÍDICO: o tratamento de "desempenho de vendas vinculado a pessoa" e a apuração de ranking individual podem ter implicações trabalhistas/concorrenciais; confirmar redação e base legal com assessoria jurídica.]
4.1. A Marca autoriza a Devon a contratar as seguintes sub-operadoras:
| Sub-operadora | Finalidade | Localização |
|---|---|---|
| Hostinger | Hospedagem de servidores | Brasil |
| Cloudflare | CDN e proteção contra ataques | Global (proxy reverso) |
| Brevo | Envio de e-mail/WhatsApp | UE |
| Stripe | Processamento de pagamentos da Marca | EUA |
4.2. A Devon assegura que as sub-operadoras observem nível de proteção equivalente ao previsto neste DPA.
4.3. Alterações na lista de sub-operadoras serão comunicadas com antecedência mínima de 30 dias, podendo a Marca opor-se motivadamente.
4.4. Para sub-operadoras localizadas fora do Brasil, a Devon adota as garantias de transferência internacional previstas no art. 33 da LGPD (cláusulas-padrão, certificações, etc.).
A Devon implementa, no mínimo:
6.1. A responsabilidade primária pelo atendimento aos direitos dos vendedores e gerentes é da Marca (Controladora).
6.2. A Devon auxilia a Marca fornecendo:
a) Funcionalidades de exportação de dados (portabilidade); b) Funcionalidades de edição e exclusão de cadastros (correção e eliminação); c) Logs de aceites LGPD (transparência); d) Exclusão completa mediante solicitação documentada da Marca; e) Atendimento direto ao titular quando a solicitação for encaminhada à Devon, em até 15 dias úteis (com ciência da Marca).
7.1. A Devon notificará a Marca em até 48 horas após tomar ciência de incidente de segurança que envolva dados dos vendedores e gerentes, fornecendo:
a) Descrição da natureza do incidente; b) Categorias e quantidade aproximada de dados afetados; c) Medidas adotadas para mitigação; d) Riscos identificados aos titulares.
7.2. Caberá à Marca, na qualidade de Controladora, decidir sobre comunicação à ANPD e aos titulares, com suporte da Devon.
8.1. A Devon disponibilizará à Marca, mediante solicitação razoável e com 15 dias de antecedência:
a) Relatórios de logs de auditoria; b) Evidências de medidas de segurança implementadas; c) Lista atualizada de sub-operadoras; d) Histórico de incidentes ocorridos no período.
8.2. Auditoria presencial poderá ser realizada uma vez por ano, mediante agendamento prévio, sob compromisso de confidencialidade, com escopo restrito ao tratamento de dados da Marca solicitante.
9.1. Os dados dos vendedores e gerentes serão mantidos enquanto vigente o contrato entre a Marca e a Devon.
9.2. Após o término do contrato, a Marca terá:
| Prazo | Disponibilidade |
|---|---|
| 30 dias | Acesso para exportação completa dos dados |
| 12 meses | Dados mantidos em modo arquivado (sem acesso operacional) — para fins de cumprimento de obrigação legal, exercício de direitos e possíveis disputas |
| Após 12 meses | Eliminação definitiva dos dados (art. 16 da LGPD), exceto hipóteses legais de retenção (art. 16, I a IV) |
9.3. Mediante solicitação expressa da Marca, a Devon fornecerá declaração formal de eliminação.
10.1. Este DPA entra em vigor na data do aceite eletrônico pelo Usuário com perfil marca da Marca e permanece vigente enquanto perdurar a relação contratual com o Moov.
10.2. As obrigações de segurança, confidencialidade e eliminação subsistem após o término contratual pelos prazos previstos na legislação aplicável.
11.1. Cada parte responderá pelos danos causados por atos próprios em violação à LGPD ou a este DPA, observados os arts. 42 a 45 da LGPD.
11.2. Responsabilidade solidária ocorrerá apenas nas hipóteses do art. 42, §1º da LGPD.
11.3. A responsabilidade total da Devon neste DPA limita-se aos valores pagos pela Marca nos 12 meses anteriores ao evento que originou a responsabilização, ressalvados dolo ou culpa grave.
12.1. A Devon compromete-se a manter estrito sigilo sobre os dados dos vendedores e gerentes, estendendo essa obrigação a todos os colaboradores e sub-operadoras.
12.2. A obrigação de confidencialidade subsiste por prazo indeterminado após o término deste DPA.
13.1. Comunicações oficiais entre as partes serão realizadas pelos e-mails:
- Devon: [email protected]
- Marca: e-mail do Usuário com perfil marca cadastrado na Plataforma
13.2. Alterações neste DPA decorrentes de mudanças legislativas serão comunicadas com 30 dias de antecedência, exigindo novo aceite expresso pelo Usuário com perfil marca.
13.3. O histórico de versões está disponível em https://e-moov.io/compliance.
Este DPA é regido pelas leis da República Federativa do Brasil, em especial a Lei nº 13.709/2018 (LGPD).
Fica eleito o foro da Comarca de Nova Lima/MG para dirimir controvérsias decorrentes deste DPA, com expressa renúncia a qualquer outro.
Devon | Tesscol Comércio, Importação e Exportação Ltda. Encarregado pelo Tratamento de Dados (DPO): [email protected]
Aceite eletrônico: este DPA foi aceito pelo Usuário com perfil marca da Marca contratante, com registro de IP, user-agent, data/hora e versão em marca_termos_aceite, constituindo prova válida da manifestação de vontade da Marca.