Última atualização: 05/05/2026
Este Acordo de Processamento de Dados (“DPA”) faz parte do contrato entre Koalendar (“Operador”, “nós”) e o cliente que usa o Koalendar (“Cliente”, “Controlador”, “você”). Ele se aplica na medida em que o Koalendar trata Dados Pessoais em nome do Cliente durante a prestação do serviço Koalendar (“Serviço”).
Este DPA é incorporado por referência aos nossos Termos e Condições de Uso. Ao criar uma conta ou usar o Serviço, você concorda com este DPA.
Para uma visão geral de como o Koalendar apoia requisitos relacionados ao GDPR e à LGPD, consulte nossa página sobre proteção de dados.
1. Definições
Salvo quando definidos aqui, os termos deste DPA têm os significados atribuídos pelo GDPR, pela CCPA, pela LGPD ou pelos nossos Termos.
- “CCPA” significa California Consumer Privacy Act, conforme alterada pela California Privacy Rights Act (CPRA).
- “GDPR” significa o Regulamento (UE) 2016/679.
- “LGPD” significa a Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018.
- “Dados Pessoais” significa qualquer informação relacionada a uma pessoa natural identificada ou identificável tratada em nome do Cliente.
- “Tratamento” tem o significado atribuído pela legislação aplicável de proteção de dados.
- “Subprocessador” significa terceiro contratado pelo Koalendar para tratar Dados Pessoais em nome do Cliente.
2. Papéis e escopo
- O Cliente é o Controlador dos Dados Pessoais enviados ao Serviço ou coletados por meio dele para fins de agendamento, por exemplo dados de convidados e reservas.
- O Koalendar é o Operador desses Dados Pessoais e os tratará somente de acordo com as instruções documentadas do Cliente, conforme este DPA e as funcionalidades do Serviço.
Este DPA não se aplica a:
- Dados que o Koalendar trata como controlador independente, como administração de conta, faturamento e marketing, quando aplicável.
- Serviços de terceiros que o Cliente habilita opcionalmente, como Zoom ou provedores de calendário. Esses provedores atuam como terceiros independentes sob seus próprios termos e políticas de privacidade.
3. Detalhes do tratamento (Artigo 28(3))
Os detalhes do tratamento estão descritos no Anexo 1: objeto, duração, natureza e finalidade do tratamento, tipos de Dados Pessoais e categorias de titulares.
4. Obrigações do operador
O Koalendar irá:
- Tratar mediante instruções. Tratar Dados Pessoais somente conforme instruções documentadas do Cliente, implementadas por meio das funcionalidades do Serviço, inclusive em relação a transferências internacionais, salvo quando exigido por lei aplicável. Nesse caso, informaremos o Cliente, salvo proibição legal.
- Confidencialidade. Garantir que pessoas autorizadas a tratar Dados Pessoais tenham assumido compromisso de confidencialidade ou estejam sujeitas a obrigação legal adequada de confidencialidade.
- Segurança. Implementar medidas técnicas e organizacionais apropriadas para proteger Dados Pessoais, conforme resumo no Anexo 1.
- Subprocessadores. Usar subprocessadores somente conforme a Seção 5.
- Assistência ao Cliente. Prestar assistência razoável ao Cliente para responder a solicitações de titulares e cumprir obrigações de proteção de dados, conforme a Seção 7.
- Notificação de violação. Notificar o Cliente sem demora injustificada após tomar conhecimento de uma violação de Dados Pessoais que afete Dados Pessoais do Cliente, conforme a Seção 8.
- Exclusão ou devolução. Excluir ou devolver Dados Pessoais ao fim da prestação dos serviços, conforme a Seção 9.
- Informações e auditorias. Disponibilizar informações razoavelmente necessárias para demonstrar conformidade com este DPA e permitir auditorias conforme a Seção 10.
5. Subprocessadores
5.1 Subprocessadores autorizados
O Cliente autoriza o Koalendar a contratar subprocessadores para tratar Dados Pessoais em seu nome. A lista de subprocessadores atuais está no Anexo 2.
5.2 Obrigações dos subprocessadores
O Koalendar irá:
- Impor aos subprocessadores termos de proteção de dados que sejam, no mínimo, tão protetivos quanto os deste DPA, incluindo obrigações adequadas de confidencialidade e segurança.
- Permanecer responsável pelo desempenho das obrigações dos subprocessadores na medida exigida pela lei aplicável.
5.3 Alterações em subprocessadores
O Koalendar pode atualizar subprocessadores periodicamente. Se adicionarmos ou substituirmos um subprocessador, atualizaremos o Anexo 2. Se o Cliente tiver objeção razoável relacionada à proteção de dados, deverá nos notificar prontamente. Se as partes não conseguirem resolver a questão, o Cliente poderá parar de usar a parte afetada do Serviço ou rescindir essa parte do Serviço ou o Serviço, conforme os Termos.
6. Transferências internacionais de dados
O Cliente reconhece que alguns subprocessadores podem tratar Dados Pessoais fora do Espaço Econômico Europeu, do Reino Unido ou da Suíça.
Quando o GDPR exigir um mecanismo de transferência para esses casos, as partes concordam que:
- O Koalendar garantirá a aplicação de um mecanismo de transferência apropriado, como, por exemplo, as Cláusulas Contratuais Padrão da União Europeia (Módulo Dois, controlador para operador) e, quando aplicável, o Adendo do Reino Unido.
- Quando exigido, o Koalendar implementará medidas suplementares adequadas ao risco da transferência.
7. Assistência com solicitações de titulares e obrigações de GDPR, LGPD e CCPA
Considerando a natureza do tratamento e as informações disponíveis ao Koalendar, prestaremos assistência razoável ao Cliente com:
- Respostas a solicitações de titulares, incluindo acesso, correção, exclusão, restrição, portabilidade e oposição, sob GDPR, LGPD e leis semelhantes.
- Respostas a solicitações de consumidores sob a CCPA, como Direito de Saber, Direito de Excluir e Direito de Corrigir, quando o Koalendar tratar Dados Pessoais em nome do Cliente.
- Segurança, notificação de violação e avaliações de impacto à proteção de dados, quando aplicável.
O Cliente permanece responsável por responder a titulares e consumidores. Solicitações devem ser enviadas para dpo@koalendar.com com detalhes suficientes para identificar a conta e a página de reserva relevantes.
8. Violação de Dados Pessoais
O Koalendar notificará o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais que afete Dados Pessoais do Cliente e fornecerá as informações razoavelmente disponíveis sobre:
- A natureza da violação
- Consequências prováveis
- Medidas tomadas ou propostas para tratar a violação
9. Retenção, exclusão e devolução de dados
O Cliente pode excluir dados pelo Serviço, quando disponível, ou solicitar a exclusão pelo e-mail dpo@koalendar.com.
Após o término ou expiração do Serviço, o Koalendar excluirá ou devolverá Dados Pessoais do Cliente de acordo com suas práticas padrão de retenção e exclusão, salvo quando a lei aplicável exigir armazenamento dos Dados Pessoais.
10. Auditorias e informações de conformidade
O Koalendar disponibilizará informações razoavelmente necessárias para demonstrar conformidade com este DPA. Se o Cliente exigir auditoria, deverá enviar aviso prévio razoável, e a auditoria deverá:
- Limitar-se a informações relevantes aos Dados Pessoais do Cliente
- Não interferir de forma injustificada nas operações do Koalendar
- Estar sujeita a obrigações adequadas de confidencialidade
Quando possível, o Koalendar poderá atender solicitações de auditoria por meio de certificações de terceiros, relatórios de auditoria ou resumos.
11. Disposições gerais
- Ordem de prevalência. Em caso de conflito entre este DPA e os Termos em relação ao tratamento de Dados Pessoais, este DPA prevalecerá.
- Responsabilidade. As disposições de responsabilidade dos Termos se aplicam a este DPA na máxima extensão permitida por lei.
Anexo 1: detalhes do tratamento
A. Objeto
Prestação do Serviço, incluindo fluxos de agendamento de compromissos e comunicações relacionadas.
B. Duração
A duração do uso do Serviço pelo Cliente, acrescida de períodos limitados de retenção exigidos por segurança, backups, resolução de disputas ou conformidade legal.
C. Natureza e finalidade do tratamento
- Criar e gerenciar páginas de reserva e compromissos
- Enviar notificações relacionadas a reservas, por e-mail e SMS quando configurado
- Prestar suporte ao cliente
- Prevenir abuso e fraude
- Fornecer análises do serviço e melhorar o desempenho
D. Categorias de titulares de dados
- Usuários finais do Cliente, incluindo convidados e outros participantes
- Usuários e administradores do Cliente
E. Tipos de Dados Pessoais
Dependendo da configuração do Cliente e de como o Serviço é usado:
- Dados de identidade e contato, como nome, endereço de e-mail e telefone
- Metadados de reserva e agendamento, como horário, duração, nome do evento e respostas a perguntas do formulário de reserva
- Dados técnicos, como endereço IP, metadados de dispositivo e navegador, e logs
- Metadados de integrações, por exemplo IDs de eventos de calendário e links de videoconferência, quando habilitados
O Cliente não deve enviar categorias especiais de dados, conforme definidas pelo Artigo 9 do GDPR, salvo se estritamente necessário e configurado pelo Cliente sob sua própria responsabilidade.
F. Medidas de segurança (resumo)
O Koalendar mantém um programa de segurança criado para proteger Dados Pessoais, incluindo medidas como:
- Criptografia em trânsito (TLS) e criptografia em repouso para dados de clientes armazenados nos bancos de dados do Koalendar
- Controles de acesso para sistemas de produção
- Controles de acesso baseados em função e autenticação multifator para acessos privilegiados
- Logs e monitoramento
- Práticas seguras de desenvolvimento e gestão de mudanças
As medidas de segurança podem ser atualizadas periodicamente de acordo com padrões do setor.
Anexo 2: subprocessadores
O Koalendar pode usar os seguintes subprocessadores para prestar o Serviço. Os locais de tratamento abaixo são típicos e alguns fornecedores podem tratar dados em regiões adicionais, dependendo da configuração e de necessidades operacionais.
| Subprocessador | Finalidade | Local típico de tratamento |
|---|---|---|
| Google Cloud Platform (incluindo Firebase) | Hospedagem, armazenamento de dados, logs e processamento em segundo plano | Estados Unidos e EEE |
| Twilio | Envio de SMS e mensagens | Estados Unidos e outras regiões |
| Amazon Web Services (SES) | Envio de e-mails | Estados Unidos e outras regiões |
| Mixpanel | Análise de produto | Estados Unidos |
| Microsoft (Clarity) | Análise de sessão e diagnóstico | Estados Unidos e EEE |
| Help Scout | Suporte ao cliente e central de atendimento | Estados Unidos |
| HubSpot | Vendas e gestão de contatos | Estados Unidos e EEE |
| Stripe | Processamento de pagamentos e faturamento | Estados Unidos e EEE |
| OpenAI | Moderação automatizada de conteúdo e recursos assistidos por IA, quando habilitados | Estados Unidos e outras regiões |
| Slack | Notificações internas para suporte e operações | Estados Unidos e outras regiões |
| Typeform | Formulários opcionais, como onboarding e feedback | Estados Unidos e EEE |
