Acordo de Tratamento de Dados Pessoais (DPA)
Última atualização: maio de 2026
Este Acordo de Tratamento de Dados Pessoais (“DPA”) é parte integrante e inseparável dos Termos de Uso do AdvPlan e regula o tratamento de dados pessoais realizado pela DesignMaster Agência Digital Ltda. (“AdvPlan” ou “Operadora”), CNPJ 10.620.937/0001-13, em nome e por conta do escritório de advocacia contratante (“Controlador” ou “Cliente”), em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — “LGPD”).
1. Partes e papéis
- Controlador: o escritório de advocacia ou advogado(a) titular da conta no AdvPlan, responsável por decidir sobre as finalidades e os meios essenciais do tratamento dos dados pessoais de seus clientes, partes contrárias, prepostos e terceiros (art. 5º, VI, LGPD).
- Operadora: a AdvPlan, que realiza o tratamento em nome do Controlador, seguindo suas instruções e os limites deste DPA (art. 5º, VII, LGPD).
- Encarregado (DPO) da Operadora: Alan de Bortolo Lopes, sócio-administrador da DesignMaster Agência Digital Ltda. Contato: [email protected].
2. Objeto do tratamento
A Operadora trata dados pessoais exclusivamente para prover ao Controlador as funcionalidades contratadas do AdvPlan (gestão de clientes, casos, prazos, documentos, financeiro, captação do DJEN, análises por IA e comunicações com clientes do escritório).
3. Categorias de dados e titulares
- Titulares: clientes do escritório, partes contrárias e seus representantes, advogados associados, colaboradores do escritório, usuários do portal do cliente.
- Dados pessoais comuns: nome, CPF, RG, data de nascimento, endereço, telefone, e-mail, dados de qualificação civil.
- Dados pessoais sensíveis (art. 5º, II, LGPD): podem aparecer no conteúdo dos processos (ex.: saúde, filiação política, vida sexual, dados biométricos quando juntados como prova). A Operadora não os solicita ativamente; quando presentes, são tratados como conteúdo opaco do caso.
- Dados financeiros: valor de honorários, cobranças, status de pagamento, dados bancários quando informados.
- Dados profissionais: número da OAB, certificado digital A1, credenciais de acesso a sistemas de tribunais.
4. Finalidades do tratamento
- Operacionalização das funcionalidades contratadas pelo Controlador.
- Captação automática de publicações no DJEN para as OABs cadastradas.
- Análise por IA (Anthropic Claude) de publicações, com nível de confiança auditável.
- Geração de documentos a partir de templates do Controlador.
- Envio de comunicações ao cliente do escritório, sempre sob aprovação humana do advogado.
- Cobrança, conciliação financeira e emissão de NFS-e via parceiros (eNotas/PlugNotas).
- Atendimento ao Controlador e prevenção a fraudes.
5. Bases legais (art. 7º e 11 da LGPD)
A Operadora trata os dados com fundamento em (i) execução de contrato com o Controlador (art. 7º, V); (ii) cumprimento de obrigação legal ou regulatória (art. 7º, II); (iii) exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, e art. 11, II, “d”); e (iv) legítimo interesse do Controlador no exercício da advocacia (art. 7º, IX), sempre observada a finalidade declarada e os princípios do art. 6º.
6. Obrigações da Operadora (art. 39 da LGPD)
- Tratar dados pessoais somente conforme instruções documentadas do Controlador, salvo determinação legal em contrário.
- Adotar medidas técnicas e administrativas idôneas para proteger os dados (vide cláusula 8).
- Manter registro das operações de tratamento que realizar.
- Informar imediatamente o Controlador, em até 48 horas, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
- Cooperar com o Controlador no atendimento a requisições dos titulares (acesso, correção, anonimização, portabilidade, eliminação, revogação de consentimento), em prazo compatível com o art. 19 da LGPD.
- Apoiar o Controlador em comunicações à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, quando exigido.
- Eliminar ou devolver os dados ao Controlador ao final da prestação dos serviços, conforme cláusula 12.
7. Obrigações do Controlador
- Garantir a existência de base legal para o tratamento que solicita à Operadora.
- Obter e manter consentimentos quando aplicável, em especial para dados pessoais sensíveis tratados fora das hipóteses da advocacia.
- Manter atualizadas as informações de contato (e-mail e telefone) para notificações de incidente.
- Atender, em primeira instância, às requisições dos titulares relacionadas a tratamentos por ele decididos.
8. Medidas técnicas e administrativas de segurança (art. 46 da LGPD)
- Criptografia em repouso (AES-256-CBC) para dados sensíveis: qualificação do cliente (CPF, RG, endereço), conteúdo financeiro do caso (valor da causa), tokens de OAuth (Google/Microsoft) e arquivos de certificado digital A1.
- Criptografia em trânsito (TLS 1.2+) com HSTS habilitado no domínio principal.
- Isolamento lógico por escritório (arquitetura multi-escritório single-DB com escopo automático em todas as consultas) — um escritório não vê nem consulta dados de outro.
- Autenticação por senha + autenticação de dois fatores (TOTP) disponível e fortemente recomendada para perfis privilegiados.
- Controle de acesso por papel (RBAC) com permissões granulares; principle of least privilege.
- Log de auditoria automático (spatie/laravel-activitylog) de criação, alteração e exclusão dos principais modelos (Cliente, Caso, Prazo, Documento, Escritório, CertificadoA1, LandingPage).
- Backup diário automático do banco de dados com retenção mínima de 14 dias.
- Infraestrutura hospedada em servidores localizados no Brasil/EUA com SLA de disponibilidade do provedor (Railway).
- Política interna de senhas, rotação de segredos de aplicação e revisão periódica de acessos.
9. Sub-operadores autorizados
A Operadora se vale dos seguintes sub-operadores para a prestação dos serviços, com os quais mantém vínculos contratuais compatíveis com a LGPD. O Controlador, ao aceitar este DPA, autoriza expressamente o uso destes sub-operadores:
| Sub-operador | Finalidade | País |
|---|---|---|
| Railway Corp. | Hospedagem da aplicação, banco de dados e backups | EUA |
| Cloudflare, Inc. | CDN, proteção contra DDoS, custom hostnames de landing pages | EUA |
| Anthropic, PBC | IA para análise de publicações e redação assistida (Claude) | EUA |
| Google LLC | Sincronização opcional com Google Calendar | EUA |
| Apple Inc. | Sincronização opcional com iCloud Calendar (CalDAV) | EUA |
| Asaas Gestão Financeira S/A | Cobrança PIX, boleto e cartão dos clientes do escritório | Brasil |
| Stripe Payments do Brasil Ltda. | Cobrança da mensalidade do escritório no AdvPlan | Brasil / EUA |
| ZapSign Tecnologia Ltda. | Assinatura eletrônica de contratos | Brasil |
| Z-API | Envio e recebimento de mensagens WhatsApp | Brasil |
| eNotas / PlugNotas | Emissão de NFS-e municipal | Brasil |
A Operadora notificará o Controlador, com antecedência mínima de 15 dias, sobre a inclusão ou substituição de sub-operadores, facultando ao Controlador objetar fundamentadamente, hipótese em que as partes negociarão de boa-fé a solução adequada.
10. Transferência internacional de dados (art. 33 da LGPD)
Parte dos sub-operadores armazena ou processa dados fora do Brasil (notadamente EUA). A Operadora se vale das hipóteses do art. 33, II e VII, da LGPD, garantindo nível adequado de proteção por meio de cláusulas contratuais específicas e medidas técnicas equivalentes às adotadas em território nacional.
11. Resposta a incidentes (art. 48 da LGPD)
- A Operadora monitora continuamente sua infraestrutura por meio de logs centralizados e alertas automáticos.
- Identificado incidente que possa acarretar risco ou dano relevante, a Operadora notificará o Controlador em até 48 horas, indicando: natureza dos dados afetados, titulares envolvidos (quando possível), medidas técnicas adotadas e recomendações ao Controlador.
- A Operadora apoiará o Controlador na eventual comunicação à ANPD e aos titulares.
12. Retenção e eliminação (art. 15 e 16 da LGPD)
- Os dados pessoais são mantidos enquanto a conta do Controlador estiver ativa.
- Após o encerramento da conta, os dados ficam disponíveis ao Controlador para exportação por 30 dias.
- Decorrido esse prazo, os dados são eliminados, ressalvada a guarda mínima necessária para cumprimento de obrigação legal/regulatória (ex.: dados financeiros e fiscais — 5 anos).
- O Controlador pode solicitar a qualquer momento a anonimização ou eliminação antecipada por e-mail ao DPO.
13. Auditoria
O Controlador pode, mediante aviso prévio razoável e às suas expensas, solicitar à Operadora informações e evidências de conformidade com este DPA (logs, políticas internas, relatórios de incidentes). A Operadora poderá apresentar relatórios independentes em substituição a auditorias on-site.
14. Vigência e relação com os Termos de Uso
Este DPA vigora durante toda a vigência dos Termos de Uso, prevalecendo, em caso de conflito, em matéria de proteção de dados pessoais. Em hipótese alguma o DPA confere ao Controlador direitos sobre o código-fonte ou a propriedade intelectual do AdvPlan.
15. Foro e lei aplicável
Este DPA é regido pelas leis da República Federativa do Brasil, em especial a LGPD. Fica eleito o foro da Comarca de Colatina/ES, com renúncia a qualquer outro, por mais privilegiado que seja.
Em caso de dúvidas sobre este DPA ou para exercer direitos previstos na LGPD, contate o DPO: Alan de Bortolo Lopes — [email protected].