Skip to Content
Central de Transparência & Compliance SOFIA
DPA & LGPD

DPA & LGPD

Versão: 1.0
Owner: Jurídico & Compliance SOFIA
Última revisão: 2026
Aplicável a: Parceiros, Operações, Suporte e Auditoria

Esta seção define as responsabilidades relativas ao tratamento de dados pessoais no contexto da relação entre SOFIA e seus parceiros, conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e demais normas aplicáveis.

O objetivo é estabelecer papéis, obrigações, medidas de segurança e mecanismos de responsabilização.

1. Papéis no Tratamento de Dados

A depender do contexto operacional:

  • SOFIA pode atuar como:

    • Operadora (quando processa dados em nome do parceiro)
    • Controladora (quando define finalidade e meios próprios)

  • Parceiro pode atuar como:

    • Controlador dos dados de seus usuários
    • Operador quando agir sob instrução formal da SOFIA

A definição de papel depende da finalidade do tratamento.

2. Categorias de Dados Tratados

Podem ser tratados, conforme aplicável:

  • Dados cadastrais (nome, e-mail, documento)
  • Dados financeiros (transações, histórico de pagamento)
  • Dados técnicos (IP, dispositivo, logs)
  • Dados operacionais (status de eventos, identificadores internos)

A SOFIA não trata dados além do necessário para a finalidade contratada.

3. Finalidade do Tratamento

Os dados são tratados exclusivamente para:

  • Execução do contrato
  • Processamento de transações
  • Cumprimento de obrigação legal/regulatória
  • Prevenção à fraude
  • Segurança da plataforma

Qualquer nova finalidade exige base legal válida.

4. Bases Legais

O tratamento pode se apoiar em:

  • Execução de contrato
  • Cumprimento de obrigação legal
  • Legítimo interesse (quando aplicável)
  • Consentimento (quando exigido por lei)

A responsabilidade por definir a base legal primária é do controlador.

5. Obrigações da SOFIA

  • Processar dados conforme instruções documentadas
  • Manter medidas técnicas e organizacionais adequadas
  • Registrar acessos e eventos relevantes
  • Comunicar incidentes de segurança relevantes
  • Garantir confidencialidade por colaboradores e suboperadores

6. Obrigações do Parceiro

  • Garantir base legal válida para coleta e envio dos dados
  • Fornecer informações claras ao usuário final
  • Manter política de privacidade atualizada
  • Atender solicitações de titulares quando atuar como controlador
  • Informar a SOFIA em caso de incidente envolvendo dados compartilhados

7. Medidas de Segurança

A SOFIA adota, no mínimo:

  • Criptografia em trânsito (TLS)
  • Controle de acesso por perfil
  • Registro de logs auditáveis
  • Monitoramento de anomalias
  • Segregação de ambientes

A efetividade das medidas pode ser revisada periodicamente.

8. Suboperadores

A SOFIA pode utilizar suboperadores para:

  • Infraestrutura em nuvem
  • Processamento de pagamentos
  • Serviços de comunicação

Todos devem possuir nível de segurança compatível.

9. Retenção e Exclusão

Dados são mantidos:

  • Pelo período necessário à execução contratual
  • Pelo prazo legal aplicável
  • Para defesa em disputas ou auditorias

Após o prazo, os dados podem ser anonimizados ou eliminados.

10. Incidentes de Segurança

Em caso de incidente que possa gerar risco relevante:

  • A parte responsável deve notificar a outra sem demora injustificada
  • Devem ser compartilhadas informações mínimas necessárias
  • Devem ser adotadas medidas corretivas e preventivas

11. Transferência Internacional

Quando houver transferência internacional de dados:

  • Devem ser adotadas garantias adequadas
  • Devem ser observadas exigências da legislação aplicável

12. Direitos do Titular

Os titulares podem solicitar:

  • Confirmação de tratamento
  • Acesso aos dados
  • Correção
  • Exclusão (quando aplicável)
  • Portabilidade

O controlador é responsável pelo atendimento primário.

13. Evidências Mínimas para Auditoria

Manter registro de:

  • Aceite de termos e políticas
  • Logs de processamento
  • Registro de incidentes
  • Versões vigentes de documentos
  • Suboperadores ativos

14. Limitações

A SOFIA não é responsável por:

  • Coleta indevida realizada pelo parceiro
  • Uso de dados fora das finalidades acordadas
  • Descumprimento de base legal pelo parceiro

15. Governança e Revisão

Este documento deve ser revisado:

  • Anualmente
  • Em caso de mudança legislativa
  • Após incidente relevante

Versão: 1.0 Atualizado em: 20/02/2026

Last updated on
Operações Financeiras SegurasGovernança Corporativa (Restrito)