Acordo de Tratamento de Dados Pessoais (DPA)

Versão 1.0.0 - Março 2026

Última atualização: 10 de março de 2026

Anexo I - Data Processing Agreement (DPA)
Este documento estabelece os termos e condições para o tratamento de dados pessoais pela SkediProf em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).

1. Papéis das Partes e Objeto

1.1 Definição das Partes

Para os fins deste Acordo de Tratamento de Dados Pessoais:

  • Controlador: O Professor cadastrado na plataforma SkediProf, pessoa física responsável pelas decisões referentes ao tratamento de dados pessoais de seus alunos e responsáveis.
  • Operador: SKEDIPROF TECNOLOGIA LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o nº [a ser inserido], com sede em [endereço], que realiza o tratamento de dados pessoais em nome do Controlador.
  • Titulares: Os alunos, responsáveis legais e demais pessoas físicas cujos dados pessoais são tratados por meio da plataforma SkediProf.

1.2 Objeto do Tratamento

A SkediProf, na qualidade de Operador, tratará dados pessoais estritamente necessários para a prestação dos seguintes serviços:

  • Gerenciamento de agenda de aulas particulares
  • Cadastro e organização de informações de alunos
  • Controle financeiro e emissão de cobranças
  • Comunicação entre professor, alunos e responsáveis
  • Integração com calendários externos (Google Calendar)
  • Envio de notificações e lembretes via WhatsApp

1.3 Categorias de Dados Tratados

CategoriaDados PessoaisFinalidade
Dados de IdentificaçãoNome completo, e-mail, telefoneCadastro e comunicação
Dados de AlunosNome, idade, série, dados de contatoGestão pedagógica
Dados de ResponsáveisNome, e-mail, telefone, parentescoComunicação e cobrança
Dados FinanceirosValores, datas de pagamento, chave PIXControle financeiro
Dados de UsoLogs de acesso, ações na plataformaSegurança e melhoria

1.4 Base Legal do Tratamento

O tratamento de dados pessoais pela SkediProf fundamenta-se nas seguintes bases legais previstas no artigo 7º da LGPD:

  • Execução de contrato (Art. 7º, V): Prestação dos serviços contratados
  • Consentimento (Art. 7º, I): Comunicações de marketing e integrações opcionais
  • Legítimo interesse (Art. 7º, IX): Melhoria da plataforma e prevenção de fraudes
  • Cumprimento de obrigação legal (Art. 7º, II): Requisitos fiscais e regulatórios

2. Obrigações da SkediProf (Operador)

2.1 Obrigações Gerais

A SkediProf compromete-se a:

  • Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador e para as finalidades específicas descritas neste Acordo
  • Garantir que pessoas autorizadas a tratar dados pessoais tenham se comprometido com a confidencialidade ou estejam sob obrigação legal apropriada de sigilo
  • Implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco do tratamento
  • Auxiliar o Controlador no atendimento às solicitações dos Titulares relativas ao exercício de seus direitos previstos na LGPD
  • Não subcontratar operações de tratamento sem autorização prévia, específica ou geral, por escrito, do Controlador

2.2 Medidas de Segurança Técnicas

A SkediProf implementa as seguintes medidas de segurança para proteção dos dados pessoais:

  • Criptografia de dados em trânsito (TLS 1.3) e em repouso (AES-256)
  • Autenticação multifator disponível para acesso à conta
  • Controle de acesso baseado em funções (RBAC)
  • Monitoramento contínuo de segurança e detecção de intrusões
  • Backups regulares com retenção e recuperação documentadas
  • Testes periódicos de vulnerabilidade e penetração
  • Segregação de ambientes de produção e desenvolvimento

2.3 Medidas de Segurança Organizacionais

  • Treinamento regular de funcionários sobre proteção de dados
  • Políticas internas de segurança da informação
  • Procedimentos documentados de gestão de incidentes
  • Revisão periódica de acessos e permissões
  • Acordos de confidencialidade com todos os colaboradores

2.4 Suboperadores

A SkediProf utiliza os seguintes suboperadores para prestação dos serviços, todos em conformidade com padrões internacionais de proteção de dados:

SuboperadorFinalidadeLocalização
Google Cloud Platform / FirebaseHospedagem e armazenamentoEUA (com SCCs)
Twilio / WhatsApp Business APIComunicação via WhatsAppEUA (com SCCs)
MixpanelAnalytics (dados anonimizados)EUA (com SCCs)

SCCs = Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia para transferências internacionais.

2.5 Transferência Internacional de Dados

Dados pessoais podem ser transferidos para países que não oferecem nível adequado de proteção de dados conforme avaliação da ANPD. Nesses casos, a SkediProf garante que:

  • Os suboperadores internacionais possuem certificações reconhecidas (SOC 2, ISO 27001)
  • Foram firmadas Cláusulas Contratuais Padrão (SCCs) que garantem proteção equivalente à LGPD
  • Os dados são tratados exclusivamente para as finalidades contratadas

3. Gestão de Incidentes de Segurança

3.1 Definição de Incidente

Para fins deste Acordo, considera-se incidente de segurança qualquer evento que resulte em:

  • Acesso não autorizado a dados pessoais
  • Destruição, perda ou alteração acidental ou ilícita de dados pessoais
  • Divulgação não autorizada de dados pessoais
  • Qualquer violação de segurança que possa acarretar risco ou dano aos titulares

3.2 Procedimento de Notificação

Em caso de incidente de segurança envolvendo dados pessoais, a SkediProf se compromete a:

  • Notificar o Controlador em até 48 horas após tomar conhecimento do incidente, fornecendo informações sobre natureza, categorias de dados e titulares afetados
  • Investigar o incidente e documentar todas as informações relevantes, incluindo:
    • Natureza e extensão do incidente
    • Dados pessoais e titulares possivelmente afetados
    • Medidas técnicas e organizacionais adotadas
    • Possíveis consequências e medidas de mitigação
  • Cooperar com o Controlador e a ANPD durante a investigação e resposta ao incidente
  • Auxiliar o Controlador na comunicação aos titulares quando exigido por lei

3.3 Canal de Comunicação de Incidentes

E-mail para notificação de incidentes: admin@skediprof.com

Este canal é exclusivo para comunicação de incidentes de segurança e violações de dados.

3.4 Responsabilidades do Controlador

O Controlador (Professor) compromete-se a:

  • Notificar a SkediProf imediatamente caso identifique qualquer incidente
  • Cooperar na investigação fornecendo informações relevantes
  • Comunicar a ANPD e os titulares quando exigido por lei
  • Manter registros atualizados das atividades de tratamento

4. Término do Tratamento

4.1 Hipóteses de Término

O tratamento de dados pessoais será encerrado nas seguintes hipóteses:

  • Encerramento da conta do Professor na plataforma SkediProf
  • Término do contrato de prestação de serviços
  • Solicitação expressa do Controlador
  • Determinação da autoridade competente (ANPD)
  • Alcance da finalidade para a qual os dados foram coletados

4.2 Procedimentos de Encerramento

Ao término do tratamento, a SkediProf, conforme escolha do Controlador:

  • Devolução dos dados: Disponibilizará todos os dados pessoais em formato estruturado e de uso comum (JSON/CSV) para download pelo Controlador no prazo de 30 dias
  • Exclusão dos dados: Eliminará permanentemente todos os dados pessoais de seus sistemas, incluindo backups, no prazo de até 30 dias após a solicitação

4.3 Retenção Excepcional

Dados pessoais poderão ser retidos após o término do tratamento exclusivamente para:

  • Cumprimento de obrigação legal ou regulatória (ex: registros fiscais por 5 anos)
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral
  • Transferência a terceiro, desde que respeitados os requisitos legais

Nesses casos, os dados serão mantidos com acesso restrito e eliminados tão logo cesse a necessidade de sua retenção.

4.4 Certificado de Eliminação

Mediante solicitação, a SkediProf fornecerá certificado atestando a eliminação dos dados pessoais, contendo data da eliminação e escopo dos dados eliminados.

5. Disposições Gerais

5.1 Vigência

Este Acordo permanece em vigor enquanto perdurar o contrato de prestação de serviços entre o Controlador e a SkediProf, e, após seu término, pelo período necessário para cumprimento das obrigações aqui previstas.

5.2 Alterações

A SkediProf poderá alterar este Acordo mediante notificação prévia de 30 dias. O uso continuado da plataforma após este prazo constitui aceite das alterações.

5.3 Legislação Aplicável

Este Acordo é regido pela legislação brasileira, especialmente a Lei nº 13.709/2018 (LGPD) e suas regulamentações. As partes elegem o foro da comarca de São Paulo/SP para dirimir quaisquer controvérsias.

6. Contato e Encarregado de Dados (DPO)

Encarregado de Proteção de Dados (DPO):

E-mail: admin@skediprof.com

Histórico de Versões:

  • Versão 1.0.0 (10/03/2026) - Versão inicial do DPA