Apresentação
Este Adendo de Tratamento de Dados Pessoais ("DPA" ou "Adendo") integra os documentos contratuais que disciplinam a relação entre a WLabs Soluções Tecnológicas Ltda. ("WLabs") e o Cliente. Sua finalidade é detalhar os termos do tratamento de dados pessoais realizado pela WLabs por conta do Cliente, em conformidade com o Art. 39 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — "LGPD") e com as resoluções do Conselho Diretor da Autoridade Nacional de Proteção de Dados ("ANPD") aplicáveis.
Este DPA aplica-se a todo Cliente da WLabs, por incorporação por referência ao Contrato Principal ou como anexo assinado em separado a contrato bilateral entre as partes, conforme cláusula 2.3.
1. Definições
Os termos abaixo, sempre que iniciados com letra maiúscula neste DPA, têm o significado a seguir, salvo quando o contexto exigir interpretação distinta.
1.1. Acordo Principal ou Contrato Principal
Conjunto formado pelos Termos de Uso Gerais, pelos Termos de Uso específicos do produto contratado (WBudget, WPages e outros que venham a ser publicados), pela Política de Uso Aceitável e pela Política de Privacidade, todos disponíveis em wlabs.com.br/legal, aceitos pelo Cliente em mecanismo de click-wrap (modalidade de aceite eletrônico mediante caixa de marcação no onboarding). Para clientes enterprise, inclui ainda o contrato bilateral assinado — MSA (Master Services Agreement, contrato-mestre de serviços) — e respectivos SOWs (Statement of Work, escopo de serviço específico), quando existentes.
1.2. ANPD
Autoridade Nacional de Proteção de Dados, autarquia federal responsável por zelar pela proteção dos dados pessoais e fiscalizar e aplicar a LGPD.
1.3. Cliente
Pessoa que contrata a Plataforma WLabs, podendo ser: (i) pessoa jurídica regularmente constituída; (ii) empresário individual; (iii) microempreendedor individual (MEI); ou (iv) pessoa natural no exercício de atividade profissional autônoma. Em todos os casos, o uso é para fins profissionais.
1.4. Controlador
Controller — agente a quem competem as decisões referentes ao tratamento de dados pessoais, conforme Art. 5º, VI LGPD. Em relação aos Dados Pessoais inseridos pelo Cliente na Plataforma, o Controlador é o próprio Cliente.
1.5. Dados Pessoais
Informações relacionadas a pessoa natural identificada ou identificável, nos termos do Art. 5º, I, LGPD.
1.6. Dados Pessoais Sensíveis
Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do Art. 5º, II, LGPD.
1.7. DPA
Este Adendo de Tratamento de Dados Pessoais.
1.8. Encarregado
DPO (Data Protection Officer) — função prevista no Art. 41 LGPD, responsável por canal de comunicação com Titulares e com a ANPD. A indicação atual é Bruno Filardi (dpo@wlabs.com.br); eventual substituição é comunicada via Política de Privacidade e canais oficiais.
1.9. Incidente
Incidente de segurança envolvendo dados pessoais, conforme Art. 48 LGPD e Resolução CD/ANPD nº 15/2024 — evento adverso confirmado, intencional ou acidental, lícito ou ilícito, que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade dos Dados Pessoais tratados na Plataforma.
1.10. LGPD
Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais, e suas alterações.
1.11. Operador
Processor — agente que realiza o tratamento de dados pessoais em nome do Controlador, conforme Art. 5º, VII LGPD. Em relação aos Dados Pessoais inseridos pelo Cliente na Plataforma, a WLabs atua como Operadora.
1.12. Output
Conteúdo gerado por funcionalidades de inteligência artificial generativa da Plataforma a partir de inputs do Cliente, conforme Termos de Uso Gerais §9.3 e §9.4 — sugestões textuais, classificações, transcrições, extrações estruturadas e outros artefatos produzidos pela Plataforma em resposta a comandos ou conteúdo inseridos pelo Cliente.
1.13. Plataforma
Sistemas WLabs disponibilizados sob modelo SaaS (Software as a Service — software fornecido como serviço, sem entrega de código-fonte ao Cliente), incluindo os produtos WBudget, WPages e demais produtos publicados pela WLabs, e suas funcionalidades, integrações e interfaces.
1.14. Subprocessador
Sub-processor — terceiro contratado pela Operadora para realizar parte do tratamento sob sua responsabilidade. Fornecedor terceiro contratado pela WLabs para tratamento de Dados Pessoais por conta da WLabs em decorrência da execução do Contrato Principal.
1.15. Titular
Pessoa natural a quem se referem os Dados Pessoais.
1.16. Tratamento
Toda operação realizada com Dados Pessoais — tal como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do Art. 5º, X, LGPD.
1.17. WLabs
WLabs Soluções Tecnológicas Ltda., pessoa jurídica de direito privado, com sede em Belo Horizonte/MG. O CNPJ, endereço completo e demais dados cadastrais estão disponíveis em wlabs.com.br/legal e nos instrumentos contratuais formais entre as partes.
2. Objeto e papéis das partes
2.1. Objeto
Este DPA estabelece os termos do tratamento de Dados Pessoais realizado pela WLabs por conta do Cliente, no contexto da execução do Contrato Principal, em conformidade com a LGPD, com as resoluções da ANPD aplicáveis e com as instruções documentadas do Cliente.
2.2. Papéis das partes
2.2.1. Cliente como Controlador
Em relação aos Dados Pessoais que o Cliente insere, importa ou faz tratar por meio da Plataforma — incluindo, sem limitação, dados de seus próprios clientes, leads, prospects, signatários de documentos, destinatários de comunicações omnichannel e colaboradores —, o Cliente é o Controlador. Cabe ao Cliente, exclusivamente, definir as finalidades e os meios desses tratamentos, garantir base legal adequada e atender aos direitos dos respectivos Titulares.
2.2.2. WLabs como Operadora
Em relação aos mesmos Dados Pessoais referidos na cláusula 2.2.1, a WLabs atua como Operadora — trata os dados por conta do Cliente, em decorrência da execução do Contrato Principal, conforme as instruções documentadas neste DPA, nos demais documentos do Contrato Principal e nas configurações disponibilizadas ao Cliente na Plataforma.
2.2.3. WLabs como Controladora dos próprios dados cadastrais do Cliente
Em relação aos dados pessoais do Cliente coletados pela WLabs para fins de cadastro, faturamento, cobrança, suporte, comunicação contratual e cumprimento de obrigações legais próprias (regulatórias, fiscais, prescricionais), a WLabs é Controladora. Esses tratamentos são regidos pela Política de Privacidade.
2.3. Forma de adesão
Este DPA aplica-se a todo Cliente da WLabs:
(a) por incorporação por referência ao Contrato Principal, quando o Cliente aceita os Termos de Uso Gerais;
(b) como anexo assinado em separado ao Contrato Principal, quando há contrato bilateral entre o Cliente e a WLabs.
Em qualquer das duas modalidades, este DPA tem força contratual entre as partes e prevalece sobre disposições conflitantes do Contrato Principal naquilo que tratar especificamente de proteção de dados, conforme hierarquia formal prevista nos Termos de Uso Gerais.
3. Finalidade do tratamento
3.1. Limitação à execução do Contrato Principal
A WLabs trata os Dados Pessoais do Cliente exclusivamente para as finalidades necessárias à execução do Contrato Principal, conforme as instruções documentadas do Cliente.
3.2. Vedação de uso diverso
A WLabs não trata os Dados Pessoais do Cliente para finalidade própria ou diversa da prevista no Contrato Principal, salvo quando a finalidade adicional decorrer de obrigação legal aplicável à WLabs — caso em que será comunicada ao Cliente, salvo vedação legal de comunicação.
3.3. Não-treinamento de modelos de inteligência artificial
A WLabs não utiliza Dados Pessoais ou Outputs do Cliente para treinamento, ajuste fino ou aprimoramento de seus próprios modelos de inteligência artificial ou dos modelos dos provedores que utiliza como Subprocessadores. Esse compromisso decorre da configuração contratada com tais provedores — em que a WLabs adota a opção que impede o uso dos dados para treinamento — e está alinhado ao previsto nos Termos de Uso Gerais e na Política de Privacidade.
4. Categorias de Dados Pessoais tratados
4.1. Visão geral
As categorias abaixo refletem o tratamento típico realizado pela WLabs para cada produto. Categorias adicionais podem decorrer da utilização concreta da Plataforma pelo Cliente, sob sua responsabilidade como Controlador.
4.2. Produto WBudget
(a) dados cadastrais de clientes do Cliente: nome, contato, identificadores, vínculos comerciais;
(b) dados de leads e prospects: nome, contato, registros de qualificação, histórico de interações;
(c) conversas em canais omnichannel: WhatsApp (modalidades Cloud API oficial Meta e WAHA), e-mail, Instagram Direct, LinkedIn Messaging e SMS, conforme integração contratada;
(d) Outputs gerados pelas funcionalidades de inteligência artificial generativa: sugestões de resposta, classificações de intenção, extrações estruturadas, transcrições de áudio.
4.3. Produto WPages
(a) dados de signatários: nome, documento, contato, identificadores de autenticação;
(b) conteúdo dos documentos disponibilizados para assinatura;
(c) trilha de auditoria de assinatura: hash do documento, timestamp, endereço IP, agente de usuário, fluxo de autenticação;
(d) Outputs gerados pelas funcionalidades de inteligência artificial generativa: transcrições, extrações estruturadas.
4.4. Tratamento do Output como dado do Cliente
Os Outputs são, para fins deste DPA, tratados como categoria de dados do Cliente. A WLabs, como Operadora, trata os Outputs nos mesmos termos dos demais dados que o Cliente insere ou faz tratar pela Plataforma.
4.5. Aplicação a projetos de Desenvolvimento de Funcionalidades
Este DPA aplica-se ao tratamento de Dados Pessoais realizado pela WLabs na execução de contratos de Desenvolvimento de Funcionalidades específicas. A propriedade intelectual da funcionalidade desenvolvida é regida pelo respectivo contrato de Desenvolvimento, fora do escopo deste DPA.
5. Categorias de Titulares
Os Titulares dos Dados Pessoais tratados pela WLabs por conta do Cliente incluem, conforme o uso concreto da Plataforma:
(a) o próprio Cliente quando pessoa natural (empresário individual, MEI, profissional autônomo) e seus representantes legais quando pessoa jurídica;
(b) colaboradores do Cliente cadastrados como usuários da Plataforma;
(c) clientes do Cliente cujos dados são inseridos em CRM, propostas, documentos ou comunicações;
(d) leads e prospects do Cliente captados ou trabalhados pela Plataforma;
(e) signatários de documentos disponibilizados via WPages;
(f) destinatários finais de comunicações enviadas pelo Cliente por meio dos canais omnichannel.
6. Instruções do Controlador
6.1. Instruções documentadas
A WLabs trata os Dados Pessoais do Cliente conforme instruções documentadas pelo próprio Cliente. Constituem instruções documentadas, para todos os fins:
(a) os Termos de Uso Gerais e os Termos de Uso específicos do produto contratado;
(b) este DPA;
(c) a Política de Privacidade;
(d) as configurações disponibilizadas ao Cliente na Plataforma — perfis de acesso, finalidades, integrações, retenção configurável, ativação ou não de funcionalidades específicas.
6.2. Instruções adicionais
O Cliente pode emitir instruções adicionais por meio dos seguintes canais oficiais:
(i) ticket aberto no canal de suporte da WLabs;
(ii) e-mail ao endereço oficial do Encarregado (dpo@wlabs.com.br);
(iii) aditivo formal ao Contrato Principal, quando houver contrato bilateral entre as partes.
Instruções por canais não oficiais não vinculam a WLabs.
6.3. Comunicação de instrução em desconformidade
Caso a WLabs entenda que uma instrução do Cliente viola a LGPD ou outra norma aplicável, comunicará o Cliente em prazo razoável para que a instrução seja revista, podendo suspender o cumprimento até a regularização. A WLabs não responde por violação decorrente do cumprimento de instrução do Cliente, salvo quando a desconformidade for evidente a partir da própria instrução.
7. Subprocessadores
7.1. Autorização geral
O Cliente, na qualidade de Controlador, autoriza a WLabs a utilizar Subprocessadores no tratamento dos Dados Pessoais, observados os termos desta cláusula. A WLabs garante que cada Subprocessador esteja vinculado a obrigações de proteção de dados compatíveis com as deste DPA.
7.2. Lista pública
A relação atualizada dos Subprocessadores essenciais utilizados pela WLabs está publicada em wlabs.com.br/subprocessadores, com identificação de categoria, fornecedor, país-sede, região de tratamento, finalidade e indicação de transferência internacional. A base de adequação aplicável a cada transferência internacional observa o regime do Capítulo V da LGPD descrito na cláusula 8, e seu registro detalhado por Subprocessador é mantido pela WLabs e disponibilizado ao Cliente conforme a cláusula 8.4.
7.3. Notificação de inclusões
A inclusão de novo Subprocessador é notificada ao Cliente com 30 (trinta) dias de antecedência, mediante: (i) e-mail ao endereço cadastrado do Cliente; e (ii) atualização da página pública, com identificação da nova versão.
7.4. Direito de objeção e rescisão sem multa
Dentro do prazo de notificação, o Cliente pode apresentar objeção fundamentada à inclusão do Subprocessador, baseada em razões objetivas relativas à proteção dos Dados Pessoais (por exemplo, inadequação do Subprocessador às obrigações deste DPA ou risco concreto à conformidade do tratamento). A WLabs envidará esforços para apresentar solução alternativa que preserve a funcionalidade contratada. Persistindo a objeção fundamentada e não havendo solução alternativa viável, o Cliente terá direito de rescindir o Contrato Principal sem multa, mediante notificação à WLabs. A objeção que não se fundamente em razão objetiva de proteção de dados não enseja, por si só, a rescisão sem multa.
7.5. Responsabilidade
A WLabs permanece responsável pela atuação dos Subprocessadores em relação ao Cliente, conforme os limites da legislação aplicável e do regime de responsabilidade previsto no Contrato Principal.
8. Transferência internacional de Dados Pessoais
8.1. Armazenamento primário no Brasil
Os dados em produção e em backup da WLabs ficam armazenados integralmente no Brasil — aplicação e banco de dados em Amazon Web Services (AWS), região sa-east-1 (São Paulo), com réplica síncrona Multi-AZ (Multi Availability Zone — réplica em múltiplas zonas de disponibilidade) em zona secundária da própria região São Paulo, snapshots automáticos em S3 dentro da mesma região, e backup adicional físico em instalação controlada da WLabs em território brasileiro, conforme cláusula 15.
8.2. Transferências internacionais decorrentes de serviços globais
Apesar do armazenamento primário no Brasil, a operação de funcionalidades específicas envolve integração com serviços globais, caracterizando transferência internacional de Dados Pessoais nos termos do Capítulo V da LGPD (Arts. 33 a 36) e da Resolução CD/ANPD nº 19/2024. As hipóteses de transferência e os respectivos Subprocessadores estão identificados na página pública de Subprocessadores (cláusula 7.2).
8.3. Base de adequação por Subprocessador
Cada transferência internacional opera sob hipótese de adequação prevista no Capítulo V da LGPD e na Resolução CD/ANPD nº 19/2024, identificada na página pública de Subprocessadores, conforme o destino e o fornecedor:
(a) cláusulas-padrão internacionais aprovadas pela ANPD — aplicáveis à generalidade das transferências, especialmente para destinos sem decisão de adequação publicada;
(b) decisão de adequação emitida pela ANPD — aplicável a destinos que venham a ser reconhecidos pela ANPD como detentores de grau equivalente de proteção;
(c) garantias específicas — aplicáveis a Subprocessadores que operem sob arcabouço próprio reconhecido, avaliadas caso a caso.
8.4. Cumprimento dos requisitos do Capítulo V LGPD
A WLabs mantém registro das bases de adequação aplicadas e dos elementos de comprovação correspondentes, disponíveis ao Cliente mediante solicitação fundamentada, observadas as obrigações de confidencialidade.
8.5. Exercício de direitos com transferência internacional
O Titular brasileiro pode exercer todos os direitos do Art. 18 LGPD em relação à WLabs, independentemente da localização do Subprocessador envolvido. A WLabs intermedia, quando necessário, a comunicação com o Subprocessador.
9. Segurança técnica e organizacional
9.1. Princípio
A WLabs adota medidas técnicas e organizacionais aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, em conformidade com o Art. 46 da LGPD.
9.2. Medidas técnicas
A WLabs implementa, no mínimo, as seguintes medidas técnicas:
(a) criptografia em trânsito: TLS 1.2+ (Transport Layer Security — protocolo padrão de criptografia para comunicação na internet, sucessor do SSL) em todas as comunicações da Plataforma;
(b) criptografia em repouso: aplicada ao banco de dados, aos snapshots em S3 e ao backup adicional físico;
(c) isolamento multi-tenant (modelo arquitetural em que múltiplos clientes compartilham a mesma instância da aplicação, com separação lógica dos dados): segregação por schema dedicado ou identificador filtrante obrigatório aplicado por procedure (rotina de banco de dados que filtra dados por cliente);
(d) controle de acesso por perfis: aplicação do princípio do menor privilégio aos acessos internos da WLabs;
(e) autenticação multifator (MFA — Multi-Factor Authentication, autenticação por múltiplos fatores): exigida para acessos administrativos a sistemas internos críticos;
(f) monitoramento contínuo: métricas e logs operacionais (Amazon CloudWatch), captura de exceções e stack traces de aplicação (Sentry), procedimento de resposta a alertas críticos;
(g) conformidade PCI: o processamento de dados de cartão é integralmente terceirizado a gateways de pagamento certificados (Stripe e Pagar.me), enquadrando-se a WLabs no nível PCI-DSS SAQ A — PCI-DSS (Payment Card Industry Data Security Standard — conjunto de normas de segurança para processamento de cartões), SAQ A (Self-Assessment Questionnaire A — nível aplicável a quem terceiriza integralmente o processamento).
9.3. Medidas organizacionais
A WLabs adota, no mínimo, as seguintes medidas organizacionais:
(a) submissão do pessoal autorizado a obrigação contratual de confidencialidade, conforme cláusula 14;
(b) gestão dos perfis de acesso e revogação tempestiva ao desligamento ou ao deixar de existir necessidade funcional;
(c) avaliação prévia da adequação de cada Subprocessador, conforme cláusula 7.
9.4. Atualização das medidas
A WLabs revisa periodicamente o conjunto de medidas técnicas e organizacionais, podendo atualizá-lo em função da evolução tecnológica, de eventuais incidentes, de mudanças regulatórias ou da expansão das funcionalidades. As atualizações não reduzirão materialmente o nível de proteção aqui descrito.
9.5. Referência à Política de Segurança da Informação
A Política de Segurança da Informação da WLabs, com descrição mais detalhada das medidas, está publicada em wlabs.com.br/legal.
9.6. Registro de atividades de tratamento
A WLabs mantém registro das operações de tratamento de Dados Pessoais conforme Art. 37 da LGPD, disponibilizado ao Cliente em auditoria conforme cláusula 12.
10. Resposta a incidentes
10.1. Detecção e confirmação
A WLabs mantém procedimentos internos de detecção, classificação e resposta a Incidentes. Para fins desta cláusula, a "confirmação" do Incidente ocorre no momento em que a investigação técnica da WLabs identifica, com razoabilidade, a existência de Incidente envolvendo Dados Pessoais do Cliente.
10.2. Prazo de notificação ao Cliente
A WLabs notificará o Cliente sem demora injustificada e, em qualquer caso, em até 48 (quarenta e oito) horas da confirmação do Incidente, sempre em tempo hábil para que o Cliente cumpra o prazo de comunicação à ANPD previsto na Resolução CD/ANPD nº 15/2024 (atualmente, 3 dias úteis da ciência, ou 6 dias úteis para agentes de tratamento de pequeno porte) ou em norma específica aplicável ao Cliente.
10.3. Conteúdo da notificação
A notificação ao Cliente conterá, no mínimo, as informações exigidas pela Resolução CD/ANPD nº 15/2024:
(a) natureza do Incidente;
(b) categorias e quantidade estimada de Titulares e de Dados Pessoais afetados;
(c) possíveis consequências para os Titulares;
(d) medidas técnicas e administrativas adotadas ou recomendadas para mitigar os efeitos;
(e) data de ocorrência (quando identificada), data da ciência pela WLabs e data da confirmação.
10.4. Cooperação
A WLabs cooperará com o Cliente, em prazo razoável e dentro de seu papel como Operadora, no atendimento aos Titulares afetados, no atendimento à ANPD e a outras autoridades, e na adoção de medidas adicionais de mitigação. A WLabs disponibilizará evidências da resposta ao Incidente quando solicitadas pelo Cliente para cumprimento de seus deveres legais.
10.5. Repartição de risco
A WLabs não responde por perda ou comprometimento de Dados Pessoais decorrente de ataque cibernético, falha de fornecedor essencial ou evento externo de natureza extraordinária que tenha rompido controles de segurança razoavelmente exigíveis e mantidos pela WLabs em padrão de mercado, sem prejuízo das obrigações de notificação, mitigação e cooperação previstas neste DPA e na Política de Privacidade, e da hipótese de força maior nos termos do Art. 393 do Código Civil. A presente cláusula não tem o efeito de afastar a responsabilidade decorrente do descumprimento de obrigações próprias da WLabs como Operadora, conforme Arts. 42 a 45 da LGPD.
11. Direitos dos Titulares
11.1. Canal primário
O Titular cujos Dados Pessoais sejam tratados pela WLabs como Operadora deve, em regra, exercer seus direitos perante o Cliente, na condição de Controlador.
11.2. Auxílio técnico da WLabs
A WLabs disponibiliza ao Cliente, por meio das funcionalidades da Plataforma e do canal do Encarregado, os recursos necessários ao atendimento dos direitos previstos no Art. 18 da LGPD — confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, informação sobre não-consentimento e revogação do consentimento.
11.3. Prazo
O auxílio técnico é prestado em prazo razoável e em conformidade com a LGPD, considerando a complexidade do pedido e a forma de armazenamento dos dados. Em caso de Incidente envolvendo Dados Pessoais ou de exigência regulatória específica, prazos mais curtos previstos em norma são observados.
11.4. Solicitação direta à WLabs
Quando o Titular procurar diretamente a WLabs, a WLabs (i) informa o Titular sobre a sua condição de Operadora e a competência do Controlador, (ii) encaminha o pedido ao Cliente correspondente em prazo razoável, e (iii) auxilia o Titular na identificação do Controlador, quando necessário.
11.5. Custos
A gratuidade do exercício de direitos pelo Titular é responsabilidade do Cliente como Controlador, nos termos do Art. 18, §5º, da LGPD. Quando o atendimento ao Titular exigir, por parte da WLabs, desenvolvimento específico, exportação em formato customizado ou esforço significativamente fora do padrão da Plataforma, a WLabs pode cobrar do Cliente custos razoáveis, mediante acordo prévio.
12. Auditoria
12.1. Postura geral
A WLabs disponibiliza ao Cliente, sob solicitação fundamentada, documentação destinada a comprovar a conformidade do tratamento previsto neste DPA, em formato e detalhamento compatíveis com o padrão de mercado para SaaS B2B brasileiro e com a proteção de informações operacionais e de outros clientes.
12.2. Documentação disponibilizada
A WLabs disponibilizará, conforme aplicável e a critério razoável da WLabs quanto à pertinência para a finalidade da auditoria:
(a) Política de Segurança da Informação (versão pública);
(b) Política de Privacidade vigente;
(c) este DPA na versão vigente;
(d) lista vigente de Subprocessadores;
(e) relatórios de auditoria independente que a WLabs venha a manter (SOC 2, ISO 27001 ou equivalentes), quando existentes — a presente cláusula não cria obrigação de obtenção de certificações futuras;
(f) descrição agregada das medidas técnicas e organizacionais.
12.3. Auditoria documental como regra
A análise da documentação prevista na cláusula 12.2 satisfaz, em regra, o direito do Cliente como Controlador de verificar a conformidade da WLabs.
12.4. Auditoria on-site
Inspeção presencial nas instalações da WLabs, teste técnico intrusivo ou acesso direto a sistemas internos são admitidos exclusivamente:
(a) mediante acordo prévio escrito específico entre as partes, com escopo, prazo, custos e regras de confidencialidade definidos; ou
(b) em decorrência de Incidente confirmado que tenha afetado os Dados Pessoais do Cliente, no escopo e na medida necessários à apuração e mitigação.
12.5. Condições
Toda auditoria, em qualquer modalidade:
(a) deve ser conduzida sob obrigação contratual de confidencialidade, formalizada em termo de sigilo (NDA — Non-Disclosure Agreement) entre a WLabs e o Cliente, ou auditor designado pelo Cliente;
(b) ocorre em horário comercial e sem prejuízo da continuidade operacional da Plataforma;
(c) tem seus custos suportados pelo Cliente, salvo quando decorrer de Incidente confirmado atribuível à WLabs;
(d) preserva informações sobre outros clientes da WLabs e segredos de negócio da WLabs e de seus Subprocessadores.
12.6. Limites
A WLabs pode recusar pedidos de auditoria que (i) imponham risco operacional desproporcional à Plataforma, (ii) violem dever legal da WLabs perante terceiros, (iii) coloquem em risco informações de outros clientes, ou (iv) tenham caráter abusivo ou repetitivo sem justificativa razoável.
13. Retenção e eliminação ao término do contrato
13.1. Durante a vigência
Os Dados Pessoais são tratados pela WLabs enquanto durar o Contrato Principal, sem rotina periódica de purga automática. A definição do tempo de retenção dos dados que o Cliente insere na Plataforma compete ao Cliente como Controlador, conforme sua finalidade e o prazo prescricional aplicável ao seu negócio.
13.2. Após o término
Encerrado o Contrato Principal:
(a) o Cliente dispõe de 30 (trinta) dias corridos para solicitar e receber a exportação final dos dados em formato estruturado (Excel/CSV ou equivalente); pedidos formulados nessa janela são atendidos em prazo razoável a partir da solicitação, mesmo que a entrega ocorra após o trigésimo dia;
(b) os dados em produção são eliminados após esse prazo;
(c) cópias residuais em backup têm expiração natural conforme janela de retenção configurada (até 35 dias para snapshots cloud);
(d) a eliminação definitiva ocorre em até 65 (sessenta e cinco) dias do término, considerando o plano com retenção máxima de backup.
13.3. Backup físico adicional
O backup descrito na cláusula 15 segue a mesma política de eliminação prevista na cláusula 13.2.
13.4. Documentos assinados via WPages
Documentos assinados frequentemente têm valor probatório por prazo superior à retenção pós-cancelamento. Recomenda-se ao Cliente, especialmente no WPages, exportar e arquivar os documentos assinados e respectivos manifestos antes do encerramento — a retenção pós-cancelamento segue a política geral, sem regime especial.
13.5. Eliminação antecipada por solicitação
Pedidos de eliminação de dados específicos de Titulares (Art. 18, VI, LGPD) podem ser executados antes do prazo padrão, mediante solicitação autenticada do Cliente como Controlador, observadas as obrigações legais de retenção.
13.6. Retenção obrigatória por lei
A WLabs reterá Dados Pessoais após o prazo da cláusula 13.2 apenas quando exigido por lei (obrigação fiscal, prazo prescricional civil, ordem judicial específica), na estrita medida da exigência.
14. Confidencialidade do pessoal
14.1. Obrigação contratual
O pessoal da WLabs com acesso autorizado a Dados Pessoais — incluindo colaboradores e prestadores de serviço — está submetido a obrigação contratual de confidencialidade, formalizada em termo de sigilo específico.
14.2. Subsistência
A obrigação de confidencialidade subsiste após o término do vínculo da pessoa com a WLabs, pelo prazo necessário à proteção dos Dados Pessoais e em conformidade com a lei.
14.3. Controle de acesso
A WLabs mantém controle do pessoal autorizado a acessar Dados Pessoais e revoga tempestivamente o acesso ao término do vínculo ou ao deixar de existir necessidade funcional.
15. Backup adicional físico
15.1. Existência
Além das medidas de redundância em nuvem descritas na cláusula 8.1, a WLabs mantém backup adicional em instalação física controlada em território brasileiro, destinado exclusivamente a recuperação em cenário de catástrofe ampla na infraestrutura cloud.
15.2. Salvaguardas mínimas
(a) criptografia em repouso aplicada aos dados;
(b) acesso restrito à equipe de liderança técnica da WLabs;
(c) isolamento físico em relação à rede pública;
(d) localização em território brasileiro, sem transferência internacional dos dados ali armazenados.
15.3. Eliminação
A política de eliminação do backup físico é a mesma prevista na cláusula 13.
16. Lei aplicável
16.1. LGPD como norma primária
Este DPA é regido pela LGPD e pelas resoluções da ANPD aplicáveis, sem prejuízo das demais normas brasileiras que regulem o tratamento de dados pessoais.
16.2. Cliente estabelecido fora do Brasil
16.2.1. Aplicação da LGPD
O Cliente estabelecido fora do Brasil reconhece que a LGPD se aplica ao tratamento realizado pela WLabs na Plataforma.
16.2.2. Identificação de normas locais
A identificação de normas locais aplicáveis em razão do estabelecimento do Cliente ou dos Titulares é de responsabilidade do Cliente, que comunicará à WLabs, por escrito, as obrigações concretas que dela decorram para fins de execução pela Operadora.
16.2.3. Conflito entre LGPD e norma local
Em caso de conflito entre a LGPD e norma local comunicada pelo Cliente, prevalece a LGPD como lei de regência do tratamento realizado pela WLabs, sem prejuízo da cooperação razoável da WLabs para o cumprimento de obrigações específicas do Cliente perante sua jurisdição, na medida do tecnicamente viável.
17. Vigência
17.1. Atrelada ao Contrato Principal
Este DPA vigora pelo mesmo período de vigência do Contrato Principal e termina automaticamente com este.
17.2. Cláusulas remanescentes
Subsistem após o término:
(a) a obrigação de eliminação dos Dados Pessoais, conforme cláusula 13, e a obrigação correspondente de manutenção dos dados sob retenção legal obrigatória;
(b) as obrigações de confidencialidade previstas na cláusula 14, enquanto perdurar a natureza confidencial dos Dados Pessoais protegidos, na forma da cláusula 14.2; e as obrigações de confidencialidade gerais previstas no Contrato Principal, pelo prazo de 5 (cinco) anos do término;
(c) as obrigações decorrentes de Incidentes confirmados ou em apuração à data do término;
(d) as obrigações decorrentes de pedidos de Titulares apresentados antes do término.
18. Encarregado
18.1. Indicação
A WLabs indica como Encarregado pelo tratamento de dados pessoais Bruno Filardi.
18.2. Canais de contato
(a) canal principal: dpo@wlabs.com.br;
(b) canais alternativos: privacidade@wlabs.com.br, lgpd@wlabs.com.br;
(c) canal institucional não-LGPD: contato@wlabs.com.br.
18.3. Substituição
Eventual substituição do Encarregado é comunicada na Política de Privacidade vigente e nos canais oficiais, sem necessidade de aditamento a este DPA.
19. Disposições finais
19.1. Invalidade parcial
A eventual invalidade ou ineficácia de qualquer cláusula deste DPA não compromete as demais, que permanecem em vigor entre as partes.
19.2. Integralidade
Este DPA, em conjunto com os demais documentos do Contrato Principal, representa o acordo integral das partes quanto ao tratamento de Dados Pessoais. Comunicações verbais ou tratativas anteriores que conflitem com este DPA não vinculam as partes.
19.3. Idioma
A versão em português deste DPA é a versão oficial e prevalente. Eventuais traduções têm caráter meramente referencial; em caso de divergência, prevalece a versão em português.
19.4. Domínio oficial
Domínio oficial da WLabs: wlabs.com.br. As URLs e endereços de e-mail referidos neste DPA têm esse domínio como origem, sem prejuízo da utilização pela WLabs de outros domínios técnicos ou alias para operação da Plataforma e dos canais de comunicação.
19.5. Hierarquia
Em caso de conflito entre este DPA e os demais documentos do Contrato Principal naquilo que tratar especificamente de proteção de dados, prevalece este DPA, conforme hierarquia formal prevista nos Termos de Uso Gerais.
19.6. Notificações
As notificações entre as partes para fins deste DPA serão feitas, conforme aplicável, pelos canais oficiais previstos no Contrato Principal e pelo canal do Encarregado.
20. Foro
20.1. Comarca eleita
As partes elegem o foro da comarca de Belo Horizonte/MG para dirimir eventuais controvérsias decorrentes deste DPA, com renúncia a qualquer outro, por mais privilegiado que seja.
20.2. Ausência de cláusula compromissória
As partes não convencionam cláusula compromissória de arbitragem em relação a este DPA.
WLabs — Adendo de Tratamento de Dados Pessoais
Versão 2026.01-rev2
Vigente desde: [data a preencher na publicação]
Última alteração material: [data a preencher na publicação]
Histórico de versões: wlabs.com.br/legal
Encarregado de Dados: Bruno Filardi — dpo@wlabs.com.br