Sob o GDPR Artigo 28, qualquer empresa que use um operador (como o Zenovay) para processar dados pessoais da UE precisa ter um Data Processing Agreement (DPA) em vigor com esse operador. Publicamos um DPA padrão pré-assinado pelo Zenovay — você não precisa negociar ou perseguir uma assinatura.
Onde o DPA fica
O DPA atual está publicado em zenovay.com/legal/dpa em todos os seis idiomas (en, de, fr, es, pt-BR, ja). Você pode ler na íntegra sem fazer login.
Como ele se torna vinculante
Você não precisa clicar em um botão "aceitar" separado ou devolver nada. O DPA publicado automaticamente se torna uma parte vinculante de seu contrato quando você entra no acordo Zenovay — isto é, quando aceita nossos Termos de Serviço no cadastro. A partir de então, o DPA rege o processamento de seus dados pessoais pelo Zenovay.
Se sua equipe jurídica precisar de uma cópia contra-assinada (uma assinatura manuscrita ou digital no documento) ou de um adendo personalizado, envie um e-mail para [email protected] com o nome legal da sua organização e os dados de contato do signatário, e providenciaremos. Não há cobrança.
O que está coberto
O DPA cobre:
- Objeto e duração do processamento.
- Natureza, finalidade e tipos de dados pessoais processados.
- Obrigações do Zenovay como operador (segurança, confidencialidade, notificação de violação).
- Lista de suboperadores e seu direito de objeção.
- Mecanismos de transferência internacional (Cláusulas Contratuais Padrão + EU-US Data Privacy Framework).
- Direitos de auditoria, exclusão / devolução de dados na rescisão.
- Termos de responsabilidade e indenização.
Lista de suboperadores
O DPA enumera cada suboperador que o Zenovay utiliza. A lista atual também está na página pública /legal/subprocessors e inclui:
- Cloudflare (hospedagem, edge compute, armazenamento de objetos R2)
- Supabase (banco Postgres, auth)
- Stripe (processamento de pagamentos)
- Resend (e-mail transacional)
- Mapbox (geolocalização, globo 3D)
- OpenAI (AI insights, via Cloudflare AI Gateway)
A página /legal/subprocessors é a lista de autoridade e atualizada. Notificamos você pelo menos 30 dias antes de adicionar um novo suboperador. Se você se opuser, pode rescindir o contrato conforme o DPA.
Residência de dados na UE
Desde 2026-04-24, o banco primário está em Frankfurt (eu-central-1). O DPA reflete isso na cláusula de transferências internacionais — para suboperadores baseados nos EUA, nos baseamos nas Cláusulas Contratuais Padrão respaldadas pelas certificações do EU-US Data Privacy Framework.
Veja residência de dados para o mapa completo de residência.
Atualizações do DPA
Mudanças materiais no DPA são versionadas. Notificamos por e-mail pelo menos 30 dias antes de uma nova versão se tornar vinculante. Você pode se opor às mudanças — as opções legais seguem o direito contratual padrão.
Aplicabilidade por plano
O DPA padrão está disponível em todos os planos, incluindo Free. Para organizações que precisem de adendos personalizados ao DPA (cláusulas setoriais, equivalente a BAA para saúde, etc.), clientes Enterprise podem negociar termos adicionais com seu time de conta.