ADENDO DE PROCESSAMENTO DE DADOS

Última atualização: 09 de abril de 2026

Este Adendo de Processamento de Dados ("DPA") complementa o Termos de Serviço da APIANT (o "Contrato") entre a Apiant, Inc. ("APIANT", "nós", "nos" ou "nossos") e o cliente ("Cliente", "você" ou "seu") e rege o processamento de dados pessoais pela APIANT em nome do Cliente em conexão com os Serviços, incluindo dados processados por meio da infraestrutura de servidor MCP (Model Context Protocol) do Cliente.

Este DPA aplica-se na medida em que a APIANT processa dados pessoais em nome do Cliente como processadora de dados (ou prestadora de serviços, conforme aplicável pelas leis de privacidade estaduais dos EUA). Em caso de conflito entre este DPA e o Contrato, este DPA prevalecerá no que diz respeito ao processamento de dados pessoais.

1. Definições

"Dados Pessoais" Significa qualquer informação relativa a uma pessoa singular identificada ou identificável que seja processada pela APIANT em nome do Cliente através dos Serviços.

"Processamento" Significa qualquer operação realizada sobre Dados Pessoais, incluindo coleta, registro, organização, armazenamento, adaptação, recuperação, consulta, uso, divulgação, combinação, restrição, eliminação ou destruição.

"Subprocessador" Significa qualquer terceiro contratado pela APIANT para processar Dados Pessoais em nome do Cliente.

"Leis de Proteção de Dados" Significa todas as leis e regulamentos aplicáveis relacionados à privacidade e proteção de dados, incluindo o Regulamento Geral de Proteção de Dados (RGPD) da UE, o RGPD do Reino Unido, a Lei de Privacidade do Consumidor da Califórnia (CCPA), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA), a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) e quaisquer outras leis de privacidade estaduais aplicáveis dos EUA.

"Infraestrutura de servidor MCP" Significa o(s) servidor(es) compatível(is) com MCP que o Cliente implementa na infraestrutura APIANT dedicada do Cliente (incluindo o(s) próprio(s) nome(s) de domínio do Cliente), através dos quais os usuários finais do Cliente podem interagir com a Plataforma por meio de plataformas de IA de terceiros.

2. Âmbito de atuação e funções

2.1 Com relação aos Dados Pessoais processados por meio dos Serviços, o Cliente é o controlador de dados (ou empresa, conforme o caso) e a APIANT é a processadora de dados (ou provedora de serviços, conforme o caso).

2.2 A APIANT processa Dados Pessoais exclusivamente em nome do Cliente e de acordo com as instruções documentadas deste. O uso dos Serviços pelo Cliente, incluindo a configuração de automações e os dados processados por meio da Infraestrutura de Servidor MCP do Cliente, constitui instruções documentadas para os fins deste DPA.

2.3 A APIANT não processará Dados Pessoais para qualquer finalidade que não seja a prestação dos Serviços, a menos que seja obrigada a fazê-lo por lei aplicável. Nesse caso, a APIANT informará o Cliente sobre essa exigência legal antes do processamento, a menos que a lei proíba tal notificação.

3. Categorias de dados processados

3.1 Serviços de Plataforma

Quando o Cliente utiliza a Plataforma diretamente, a APIANT pode processar as seguintes categorias de Dados Pessoais, conforme determinado pela configuração do Cliente:

Informações de contato (nomes, endereços de e-mail, números de telefone)
Credenciais da conta e tokens de autenticação
Dados comerciais transmitidos entre aplicativos de terceiros
Quaisquer outros dados que o Cliente optar por processar através da Plataforma.

3.2 Infraestrutura de Servidor MCP

Quando os dados são processados por meio da infraestrutura de servidor MCP do Cliente, a APIANT (como provedora da plataforma subjacente) pode processar:

Credenciais de autenticação (como tokens OAuth 2.0) usados para verificar a identidade e autorizar o acesso ao servidor MCP do Cliente.
Parâmetros de chamada da ferramenta: as entradas estruturadas transmitidas por uma plataforma de IA para o servidor MCP do cliente para executar as ações solicitadas
Respostas de chamadas de ferramentas: os resultados retornados pelo servidor MCP do Cliente para a Plataforma de IA

APIANT faz não Receber ou processar o texto completo das conversas do usuário final com plataformas de IA. Somente os dados estruturados da chamada da ferramenta, necessários para executar a ação solicitada, são processados no servidor do Cliente, que utiliza a tecnologia APIANT.

4. Retenção e Exclusão de Dados

4.1 A APIANT retém os Dados Pessoais processados através dos Serviços durante a vigência do Contrato, a menos que o Cliente solicite a sua eliminação antecipada.

4.2 Para dados processados especificamente através da Infraestrutura de Servidor MCP:

Tokens de autenticação São mantidas na memória durante a sessão e não são persistidas após a desconexão.
Registros de chamadas da ferramenta (parâmetros e respostas) podem ser retidos por até noventa (90) dias para fins de depuração e operacionais, após os quais são apagados automaticamente.
Não há perfis de usuário são construídos a partir de dados de interação MCP.

4.3 Dentro de trinta (30) dias após a expiração ou rescisão do Contrato, a APIANT deverá excluir ou devolver todos os Dados Pessoais em sua posse ou controle, exceto na medida em que a retenção seja exigida pela lei aplicável.

4.4 O cliente pode solicitar a exclusão de seus Dados Pessoais a qualquer momento, entrando em contato com [inserir contato aqui]. privacy@apiant.comA APIANT deverá atender a tais solicitações dentro de trinta (30) dias, sujeitas a quaisquer obrigações legais de retenção.

5. Ausência de treinamento sobre dados do cliente

APIANT faz não Utilizar Dados Pessoais, Dados do Usuário, parâmetros de chamadas de ferramentas, respostas de chamadas de ferramentas ou quaisquer outros dados do Cliente para treinar modelos de inteligência artificial, modelos de aprendizado de máquina ou qualquer forma de sistema automatizado de tomada de decisão. Isso se aplica a todos os dados processados por meio da Plataforma, da Infraestrutura do Servidor MCP e de qualquer outro componente dos Serviços.

6. Subprocessadores

6.1 O Cliente autoriza a APIANT a contratar os seguintes Subprocessadores para auxiliar na prestação dos Serviços:

Subprocessador	Propósito	Localização
Amazon Web Services (AWS)	Infraestrutura e hospedagem em nuvem	Estados Unidos
Recurly	Processamento de faturamento e pagamento	Estados Unidos
Google (Google Analytics)	Análise do site	Estados Unidos
HubSpot	Gestão e comunicação com o cliente	Estados Unidos
Visual inteligente	Gravação de sessões e análises de UX (somente para o site, não para a plataforma)	UE (República Checa)
Splunk	Monitoramento e registro do desempenho da plataforma	Estados Unidos

6.2 A APIANT notificará o Cliente sobre quaisquer alterações pretendidas nos Subprocessadores, atualizando este DPA. O Cliente poderá opor-se a um novo Subprocessador, entrando em contato com [inserir contato aqui]. legal@apiant.com dentro de trinta (30) dias da notificação.

6.3 A APIANT celebrará contratos por escrito com cada Subprocessador, impondo obrigações de proteção de dados no mínimo tão rigorosas quanto as estabelecidas neste DPA.

7. Medidas de segurança

A APIANT implementa e mantém medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais, incluindo:

Criptografia em trânsito: Todos os dados transmitidos de e para os servidores da APIANT, incluindo as comunicações com o servidor MCP, são criptografados usando HTTPS/TLS.
Criptografia em repouso: Os dados pessoais armazenados na infraestrutura da APIANT são criptografados em repouso usando criptografia padrão do setor.
Controles de acesso: O acesso aos Dados Pessoais é restrito a pessoal autorizado, apenas quando necessário.
Autenticação: A plataforma requer acesso autenticado. A infraestrutura do servidor MCP requer autenticação OAuth 2.0 ou equivalente.
Monitoramento: A APIANT monitora seus sistemas em busca de incidentes de segurança e acessos não autorizados.
Resposta a incidentes: A APIANT mantém um processo de resposta a incidentes e notificará o Cliente sem demora indevida (e, em qualquer caso, dentro de 72 horas) assim que tomar conhecimento de uma violação de Dados Pessoais.
Infraestrutura: A plataforma está hospedada na infraestrutura da Amazon Web Services (AWS), que possui as certificações SOC 2, ISO 27001 e outras certificações do setor.

8. Direitos do titular dos dados

8.1 A APIANT auxiliará o Cliente no cumprimento das solicitações dos titulares dos dados, conforme as leis de proteção de dados aplicáveis, incluindo solicitações de acesso, retificação, eliminação, restrição, portabilidade e objeção ao processamento.

8.2 Caso a APIANT receba uma solicitação diretamente de um titular de dados referente a Dados Pessoais processados em nome do Cliente, a APIANT deverá prontamente encaminhar o titular dos dados ao Cliente e notificá-lo da solicitação, a menos que seja proibido por lei.

8.3 A APIANT deverá fornecer cooperação e assistência razoáveis ao Cliente para responder às solicitações dos titulares dos dados, levando em consideração a natureza do Processamento.

9. Transferências Internacionais de Dados

9.1 A infraestrutura principal da APIANT está localizada nos Estados Unidos. Ao utilizar os Serviços, o Cliente autoriza a transferência de Dados Pessoais para os Estados Unidos.

9.2 Na medida em que qualquer transferência de Dados Pessoais do Espaço Econômico Europeu (EEE), do Reino Unido ou da Suíça para os Estados Unidos constitua uma transferência restrita nos termos das Leis de Proteção de Dados aplicáveis, tal transferência estará sujeita às Cláusulas Contratuais Padrão (CCPs) adotadas pela Comissão Europeia (Módulo Dois: Controlador para Processador), que são aqui incorporadas por referência.

9.3 O cliente pode solicitar uma cópia do mecanismo de transferência aplicável entrando em contato com legal@apiant.com.

10. Conformidade com a CCPA e as leis de privacidade estaduais dos EUA

10.1 Na medida em que a APIANT processa Dados Pessoais sujeitos à CCPA ou a outras leis de privacidade estaduais dos EUA, a APIANT atua como um "provedor de serviços" (conforme definido na CCPA) ou função equivalente de acordo com a legislação estadual aplicável.

10.2 A APIANT não venderá nem compartilhará (conforme definido pela CCPA) os Dados Pessoais recebidos do Cliente.

10.3 A APIANT não reterá, usará ou divulgará Dados Pessoais para qualquer finalidade que não seja a prestação dos Serviços, incluindo qualquer finalidade comercial que não seja a prestação dos Serviços.

10.4 A APIANT não combinará os Dados Pessoais recebidos do Cliente com informações pessoais recebidas de outras fontes, exceto conforme permitido pela legislação aplicável para a prestação dos Serviços.

10.5 A APIANT certifica que compreende e cumprirá as restrições estabelecidas nesta Seção 10.

11. Auditorias

11.1 A APIANT disponibilizará ao Cliente, mediante solicitação razoável e não mais do que uma vez a cada período de doze (12) meses, as informações necessárias para demonstrar a conformidade com este DPA.

11.2 O Cliente poderá realizar uma auditoria das atividades de processamento de dados da APIANT, ou nomear um auditor terceirizado qualificado para fazê-lo, mediante notificação por escrito com trinta (30) dias de antecedência. Tais auditorias deverão ser realizadas durante o horário comercial normal e não deverão interromper indevidamente as operações da APIANT. O Cliente arcará com os custos de qualquer auditoria desse tipo.

12. Duração e Rescisão do Contrato

Este DPA permanecerá em vigor durante toda a vigência do Contrato. As obrigações da APIANT sob este DPA com relação aos Dados Pessoais em sua posse ou controle sobreviverão ao término do Contrato até que todos os Dados Pessoais tenham sido excluídos ou devolvidos de acordo com a Seção 4.

13. Contato

Para dúvidas ou solicitações relacionadas a este DPA, entre em contato com:

Apiant, Inc.
196 W Ashland St, Doylestown
Doylestown, PA 18901
Estados Unidos

E-mail: privacy@apiant.com
Jurídico: legal@apiant.com