Bespokely

Acordo de Processamento de Dados

Última atualização: 20 de maio de 2026
Versão: 1.0
Link permanente para esta versão: bespokely.io/legal/dpa/v1.0

Este Acordo de Processamento de Dados ("DPA") faz parte do acordo entre Bespokely Inc. ("Bespokely", "Processador") e o cliente identificado na Confirmação de Pedido relevante ("Cliente", "Controlador") para a prestação dos produtos da Bespokely (os "Serviços").

Ao aceitar os Termos de Serviço da Bespokely, o Cliente também aceita este DPA. O DPA se aplica sempre que a Bespokely processa dados pessoais em nome do Cliente em conexão com os Serviços.

Nota para o Cliente: este DPA é oferecido como o formulário padrão da Bespokely. Um Cliente que necessitar de uma cópia assinada em contrapartida para seus registros pode solicitar uma enviando um e-mail para privacy@bespokely.io com o assunto "Solicitação de contrassinalização do DPA — [nome do Cliente]". Cópias contrassinalizadas não alteram os termos substantivos deste DPA.

§1 Definições

Os termos em maiúsculas usados neste DPA têm os significados atribuídos no GDPR (Regulamento (UE) 2016/679), nas Cláusulas Contratuais Padrão da UE adotadas sob a Decisão de Execução da Comissão (UE) 2021/914 ("SCCs"), ou — onde definidos aqui — neste DPA.

  • Dados Pessoais significam qualquer informação relacionada a uma pessoa natural identificada ou identificável que a Bespokely processa em nome do Cliente na prestação dos Serviços.
  • Titular dos Dados significa uma pessoa natural a quem os Dados Pessoais se referem.
  • Subprocessador significa um terceiro contratado pela Bespokely para processar Dados Pessoais em nome do Cliente.
  • Lista de Subprocessadores significa a lista de Subprocessadores mantida em bespokely.io/legal/sub-processors, conforme atualizada de tempos em tempos.
  • TOMs significam as medidas técnicas e organizacionais publicadas em bespokely.io/legal/security, conforme atualizadas de tempos em tempos.
  • Lei de Proteção de Dados Aplicável significa o GDPR, o UK GDPR, a Lei Federal Suíça de Proteção de Dados, a Lei de Privacidade do Consumidor da Califórnia / Lei dos Direitos de Privacidade da Califórnia, e qualquer outra lei de proteção de dados aplicável ao uso dos Serviços pelo Cliente.

§2 Objeto, natureza e duração do processamento

§2.1 Objeto

A Bespokely processa Dados Pessoais em nome do Cliente exclusivamente para fornecer os Serviços descritos na Confirmação de Pedido.

§2.2 Natureza e finalidade

A natureza e a finalidade do processamento estão descritas no Anexo 1 deste DPA. Exemplos incluem: hospedagem do site do Cliente, operação do portal do cliente do Cliente, operação de um assistente de IA em nome do Cliente, envio de e-mails transacionais em nome do Cliente.

§2.3 Categorias de Titulares dos Dados e Dados Pessoais

As categorias de Titulares dos Dados e os tipos de Dados Pessoais estão descritos no Anexo 1.

§2.4 Duração

O processamento dura pelo período dos Serviços, mais qualquer período necessário para a devolução ou exclusão de Dados Pessoais sob o §13.

§3 Papéis das partes

  • O Cliente é o Controlador (ou Processador em nome de seus próprios controladores no caso de relações B2B a montante) dos Dados Pessoais.
  • Bespokely atua como o Processador.
  • Quando o Cliente é ele mesmo um Processador para um controlador a montante, o Cliente garante que tem autoridade para contratar a Bespokely como Subprocessador.

§4 Instruções do Cliente

§4.1 Instrução geral

O Cliente instrui a Bespokely a processar Dados Pessoais apenas na medida necessária para fornecer os Serviços, e apenas conforme documentado na Confirmação de Pedido, neste DPA, na configuração do Cliente dentro dos produtos da Bespokely, e em quaisquer instruções escritas adicionais que o Cliente fornecer.

§4.2 Conformidade com a lei

A Bespokely notificará o Cliente se considerar que uma instrução infringe a Lei de Proteção de Dados Aplicável. A Bespokely não é obrigada a seguir uma instrução que razoavelmente acredita que a faria violar a Lei de Proteção de Dados Aplicável.

§4.3 Divulgação legal

Quando a Bespokely for obrigada por lei a processar Dados Pessoais fora das instruções do Cliente, a Bespokely informará o Cliente antes do processamento, a menos que a lei relevante proíba tal aviso.

§5 Confidencialidade

A Bespokely garante que o pessoal autorizado a processar Dados Pessoais está vinculado por obrigações de confidencialidade apropriadas. As obrigações de confidencialidade sobrevivem à rescisão do emprego ou do contrato.

§6 Segurança do processamento

§6.1 TOMs

A Bespokely implementa medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, levando em consideração o estado da técnica, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento. As atuais TOMs estão publicadas em bespokely.io/legal/security e são incorporadas a este DPA por referência (Anexo 3).

§6.2 Atualizações das TOMs

A Bespokely pode atualizar suas TOMs de tempos em tempos, desde que as atualizações não reduzam materialmente o nível de segurança. Reduções materiais requerem o consentimento prévio por escrito do Cliente.

§6.3 Pseudonimização e criptografia

As TOMs incluem — sem limitação — criptografia de Dados Pessoais em repouso (AES-256) e em trânsito (TLS 1.2+), pseudonimização quando viável, e controles de acesso baseados no princípio do menor privilégio.

§7 Subprocessadores

§7.1 Autorização geral

O Cliente concede à Bespokely uma autorização geral para contratar os Subprocessadores listados na Lista de Subprocessadores no momento da conclusão deste DPA. A Lista de Subprocessadores é incorporada a este DPA por referência (Anexo 2).

§7.2 Mudanças

A Bespokely fornecerá pelo menos 30 dias de aviso antes de contratar um novo Subprocessador ou substituir um existente, por e-mail para o contato de notificação do Cliente e atualizando a Lista de Subprocessadores.

§7.3 Direito de objeção

O Cliente pode se opor a um novo Subprocessador dentro de 30 dias após a notificação, enviando um e-mail para privacy@bespokely.io com o assunto "Objeção ao Subprocessador". Se a Bespokely não puder acomodar a objeção por meios razoáveis (por exemplo, se o novo Subprocessador fornecer uma funcionalidade que não tenha alternativa), o Cliente poderá rescindir os Serviços afetados sem penalidade de rescisão antecipada, e a Bespokely reembolsará as taxas pré-pagas por meses não utilizados proporcionalmente.

§7.4 Fluxo

A Bespokely impõe a cada Subprocessador obrigações de proteção de dados não menos protetivas do que as deste DPA, por meio de um contrato escrito que inclui SCCs quando aplicável.

§7.5 Responsabilidade

A Bespokely continua responsável perante o Cliente pelo desempenho de seus Subprocessadores em relação às suas obrigações de proteção de dados.

§8 Assistência com direitos dos titulares de dados

§8.1 Solicitações de titulares de dados recebidas pela Bespokely

Se um Titular dos Dados entrar em contato diretamente com a Bespokely com um pedido para exercer direitos sob os Artigos 15–22 do GDPR (ou equivalente), a Bespokely encaminhará o pedido ao Cliente sem demora indevida e não responderá ao Titular dos Dados, exceto para confirmar o recebimento e encaminhá-lo ao Cliente.

§8.2 Assistência ao Cliente

A Bespokely fornecerá assistência razoável ao Cliente na resposta a solicitações de Titulares dos Dados, incluindo fornecimento de ferramentas dentro dos Serviços para que o Cliente acesse, exporte, corrija e exclua Dados Pessoais. Quando a Bespokely fornecer assistência além do que é razoavelmente disponível através dos Serviços, a Bespokely poderá cobrar uma taxa razoável à sua tarifa horária padrão.

§8.3 SLA

A Bespokely responderá a um pedido de assistência do Cliente dentro de 14 dias após o recebimento de uma solicitação documentada de Titular dos Dados.

§9 Assistência com obrigações do controlador

A Bespokely fornecerá assistência razoável ao Cliente com as obrigações do Cliente sob os Artigos 32–36 do GDPR (segurança do processamento, notificação de violação, avaliação de impacto sobre a proteção de dados, consulta prévia), levando em consideração a natureza do processamento e as informações disponíveis para a Bespokely.

§10 Violações de dados pessoais

§10.1 Cronograma de notificação

A Bespokely notificará o Cliente sobre qualquer Violação de Dados Pessoais confirmada que afete os Dados Pessoais do Cliente sem demora indevida e em qualquer caso dentro de 24 horas após a Bespokely tomar conhecimento da violação.

§10.2 Conteúdo da notificação

A notificação incluirá, na medida em que então conhecido: (a) a natureza da violação, (b) categorias e número aproximado de Titulares dos Dados e registros envolvidos, (c) consequências prováveis, (d) medidas tomadas ou propostas.

§10.3 Nenhuma admissão

A notificação sob este §10 não é uma admissão de culpa ou responsabilidade pela Bespokely.

§11 Transferências internacionais

§11.1 Mecanismo de transferência

Quando a Bespokely processa Dados Pessoais fora do EEE/Reino Unido/Suíça em nome do Cliente, a transferência é protegida por: (a) a decisão de adequação do EU-US Data Privacy Framework, onde o destinatário (Bespokely ou um Subprocessador) é certificado pelo DPF e a certificação cobre os dados relevantes; ou (b) as SCCs (Módulo 2 — Controlador-para-Processador ou Módulo 3 — Processador-para-Processador conforme aplicável), incorporadas por referência a este DPA (Anexo 4); ou (c) outro mecanismo de transferência permitido sob o Capítulo V do GDPR.

§11.2 Incorporação das SCCs

Quando as SCCs se aplicam, as SCCs são consideradas celebradas entre as partes nos seguintes termos:

  • Módulo: Módulo 2 (Controlador para Processador) por padrão; Módulo 3 (Processador para Processador) onde o Cliente é ele mesmo um Processador.
  • Cláusula de adesão (Cláusula 7): optado.
  • Cláusula de subprocessador (Cláusula 9): opção 2 (autorização escrita geral) conforme §7.1 acima com 30 dias de aviso.
  • Reparação (Cláusula 11): mecanismo de resolução de disputas independente não selecionado.
  • Responsabilidade (Cláusula 12): conforme acordado no Acordo de Serviços Principal subjacente.
  • Autoridade supervisora (Cláusula 13): [TBD conforme a localização do Cliente — tipicamente a autoridade supervisora do Estado Membro onde o Cliente está estabelecido].
  • Lei aplicável (Cláusula 17): lei do Estado Membro onde o Cliente está estabelecido.
  • Fórum (Cláusula 18): tribunais do Estado Membro onde o Cliente está estabelecido.
  • Anexo I.A (Partes) = Anexo 1.A deste DPA.
  • Anexo I.B (Descrição da transferência) = Anexo 1.B deste DPA.
  • Anexo II (TOMs) = bespokely.io/legal/security.
  • Anexo III (Subprocessadores) = bespokely.io/legal/sub-processors.

§11.3 Avaliação de Impacto da Transferência

A Bespokely mantém uma Avaliação de Impacto da Transferência (TIA) para cada Subprocessador onde a transferência não é coberta pelo DPF. A TIA é fornecida ao Cliente mediante solicitação.

§12 Auditoria e inspeção

§12.1 Auditoria por certificação

O direito de auditoria do Cliente sob o Art. 28(3)(h) do GDPR é satisfeito principalmente através das certificações e relatórios de terceiros da Bespokely (por exemplo, relatórios SOC 2 Tipo II da Bespokely ou de seus Subprocessadores). A Bespokely fornecerá tais relatórios sob NDA a pedido razoável do Cliente.

§12.2 Auditoria do Cliente

Quando as certificações no §12.1 não abordarem um controle específico que o Cliente razoavelmente exige ser auditado, o Cliente pode conduzir uma auditoria por meio de um questionário escrito. Auditorias no local são permitidas apenas (i) quando o questionário e as certificações forem insuficientes, (ii) após 30 dias de aviso por escrito, (iii) durante o horário comercial, (iv) sem interromper as operações da Bespokely, (v) não mais de uma vez a cada 12 meses, exceto quando exigido por ordem da autoridade supervisora ou após uma Violação de Dados Pessoais confirmada, e (vi) às custas do Cliente.

§12.3 Cooperação com autoridades supervisórias

A Bespokely cooperará com autoridades supervisórias conforme exigido por lei.

§13 Devolução ou exclusão de dados pessoais

§13.1 Fim dos Serviços

A critério do Cliente, expresso por escrito dentro de 30 dias após o término dos Serviços, a Bespokely fará: (a) a devolução dos Dados Pessoais em um formato estruturado, comumente usado e legível por máquina (JSON, CSV ou comparável), ou (b) a exclusão dos Dados Pessoais.

§13.2 Padrão

Se o Cliente não fizer uma escolha dentro do período de 30 dias, a Bespokely excluirá os Dados Pessoais dentro de mais 30 dias.

§13.3 Retenção por lei

Este §13 não se aplica onde a Bespokely é obrigada a reter Dados Pessoais por lei da União ou do Estado Membro.

§13.4 Backups

Os Dados Pessoais podem persistir em backups criptografados por até 30 dias após a exclusão; tais backups não são restaurados, exceto para recuperação de desastres, caso em que a re-exclusão é aplicada prontamente.

§14 Responsabilidade

A responsabilidade sob este DPA está sujeita às limitações e exclusões no Acordo de Serviços Principal subjacente e nos Termos de Serviço da Bespokely, exceto onde a Lei de Proteção de Dados Aplicável (em particular os Artigos 82–83 do GDPR) exigir de outra forma. Nada neste DPA limita os direitos de um Titular dos Dados sob a Lei de Proteção de Dados Aplicável.

§15 Prazo e rescisão

Este DPA entra em vigor na data efetiva do Acordo de Serviços Principal e continua enquanto a Bespokely processar Dados Pessoais em nome do Cliente. As disposições do §13 (Devolução ou exclusão), §10 (Violação relacionada a eventos durante o prazo), §12 (Auditoria relacionada a eventos durante o prazo) e §14 (Responsabilidade) sobrevivem à rescisão.

§16 Ordem de precedência

Em caso de conflito:

  1. As SCCs (quando aplicáveis) prevalecem sobre este DPA.
  2. Este DPA prevalece sobre o Acordo de Serviços Principal e os Termos de Serviço em relação ao processamento de Dados Pessoais.
  3. O Acordo de Serviços Principal e os Termos de Serviço regem todas as outras questões.

§17 Lei aplicável

Este DPA é regido pela lei do Estado de Delaware, EUA, exceto onde disposições obrigatórias da Lei de Proteção de Dados Aplicável na jurisdição do Cliente prevalecem. Onde as SCCs se aplicam, a lei aplicável para as SCCs é a especificada no §11.2.

§18 Atualizações deste DPA

A Bespokely pode atualizar este DPA de tempos em tempos. Atualizações materiais são notificadas aos Clientes ativos por e-mail com pelo menos 30 dias de antecedência antes de entrarem em vigor. Atualizações que restringem as obrigações da Bespokely ou fortalecem as proteções do Cliente entram em vigor imediatamente e são notificadas dentro de 30 dias após a publicação.

Anexo 1 — Detalhes do processamento

A. Partes

Controlador (exportador de dados): o Cliente identificado na Confirmação de Pedido.

Processador (importador de dados): Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, EUA. Contato: privacy@bespokely.io · +1 (512) 348-6588.

B. Descrição da transferência

Categorias de Titulares dos Dados

As categorias de Titulares dos Dados cujos Dados Pessoais são processados dependem do uso dos Serviços pelo Cliente e podem incluir:

  • visitantes do site do Cliente,
  • usuários registrados do portal do cliente do Cliente,
  • clientes, prospects, contatos e funcionários do Cliente,
  • destinatários de comunicações transacionais enviadas pelo Cliente.

Categorias de Dados Pessoais

  • identificadores (nome, e-mail, telefone, credenciais de conta),
  • atributos de perfil que o Cliente escolhe coletar (cargo, empresa, jurisdição, idioma),
  • dados de conteúdo submetidos via formulários, portal ou assistente de IA (mensagens, documentos, arquivos),
  • dados de uso (timestamps de login, visualizações de página, logs de interação),
  • dados técnicos (endereço IP, agente do usuário, metadados da sessão).

Categorias especiais de dados

Os Serviços da Bespokely não são projetados para processar categorias especiais de Dados Pessoais sob o Art. 9 do GDPR. Quando o uso dos Serviços pelo Cliente resultar no processamento de tais categorias, o Cliente é responsável pela legalidade desse processamento e deve informar a Bespokely para que salvaguardas adicionais possam ser acordadas.

Frequência

Contínua, durante a duração dos Serviços.

Natureza do processamento

Hospedagem, armazenamento, processamento de dados estruturados e não estruturados, transmissão, exibição, pesquisa e recuperação, inferência de IA (quando os Serviços incluem um assistente de IA), backup, exclusão.

Finalidade

Prestação dos Serviços conforme descrito na Confirmação de Pedido.

Período de retenção

Pelo período dos Serviços. Após a rescisão, veja §13 deste DPA.

Subprocessadores

Conforme listado na Lista de Subprocessadores em bespokely.io/legal/sub-processors.

C. Autoridade supervisora competente

A autoridade supervisora do Estado Membro (ou país) em que o Cliente está estabelecido, exceto onde outra autoridade supervisora tenha competência primária sob o Art. 56 do GDPR.

Anexo 2 — Subprocessadores

A Lista atual de Subprocessadores é publicada e mantida em:

bespokely.io/legal/sub-processors

Este Anexo é incorporado dinamicamente ao DPA. Cada versão da Lista de Subprocessadores possui um URL versionado permanente (por exemplo, /v1.0) preservado para referência evidencial.

Anexo 3 — Medidas técnicas e organizacionais

As atuais TOMs são publicadas e mantidas em:

bespokely.io/legal/security

Este Anexo é incorporado dinamicamente ao DPA. Cada versão possui um URL versionado permanente (por exemplo, /v1.0).

Anexo 4 — Cláusulas Contratuais Padrão

Quando aplicável sob o §11 deste DPA, as SCCs adotadas pela Decisão de Execução da Comissão (UE) 2021/914 de 4 de junho de 2021 são incorporadas por referência. O texto autoritativo atual é publicado em:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

O Módulo 2 (Controlador-para-Processador) se aplica por padrão. O Módulo 3 (Processador-para-Processador) se aplica onde o Cliente é ele mesmo um Processador.

Os Anexos I, II e III das SCCs são preenchidos por referência ao Anexo 1, Anexo 3 e Anexo 2 deste DPA, respectivamente, conforme estabelecido no §11.2.

Contato para perguntas sobre o DPA:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, EUA · privacy@bespokely.io · +1 (512) 348-6588

Este DPA é um modelo. Não substitui aconselhamento jurídico independente. A Bespokely recomenda que os Clientes busquem seu próprio advogado antes de confiar nos termos deste DPA para satisfazer requisitos regulatórios específicos aplicáveis ao seu negócio.