Acordo de Processamento de Dados
Última atualização 11 de maio de 2026
Este Acordo de Processamento de Dados ("APD") é celebrado entre a entidade identificada como Controladora no formulário de pedido ou contrato de serviço aplicável ("Controladora") e a PZX (CNPJ: 62.054.402/0001-26), com sede registrada no Estado de São Paulo, Brasil ("Operadora"), e integra o contrato que rege o uso do Konn ("Contrato").
1. Definições
"Dados Pessoais" significa qualquer informação relacionada a pessoa natural identificada ou identificável, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
"Tratamento" significa qualquer operação realizada com Dados Pessoais, incluindo coleta, armazenamento, uso, acesso, transmissão e exclusão.
"Controladora" significa a pessoa natural ou jurídica que detém poder decisório sobre o Tratamento de Dados Pessoais.
"Operadora" significa a pessoa natural ou jurídica que realiza o Tratamento de Dados Pessoais em nome da Controladora, conforme suas instruções.
"Titular" significa a pessoa natural a quem os Dados Pessoais se referem.
"Suboperadora" significa qualquer terceiro contratado pela Operadora para tratar Dados Pessoais em nome da Controladora.
"Serviços" significa a plataforma Konn e quaisquer funcionalidades relacionadas disponibilizadas pela PZX nos termos do Contrato.
2. Escopo e Relação entre as Partes
Este APD rege o tratamento de Dados Pessoais pela PZX na qualidade de Operadora, em nome da Controladora, no contexto da prestação dos Serviços.
A Controladora determina as finalidades e os meios do Tratamento. A PZX trata Dados Pessoais exclusivamente para prestar e operar os Serviços, em conformidade com as instruções da Controladora estabelecidas neste APD e no Contrato.
3. Natureza, Finalidade e Duração do Tratamento
Natureza: armazenamento, organização, indexação, processamento semântico, recuperação e exibição de conteúdo enviado pela Controladora e seus usuários autorizados.
Finalidade: prestação da plataforma Konn, incluindo gestão de documentos, grafo de conhecimento, busca semântica e funcionalidades contextuais assistidas por IA.
Duração: pelo prazo de vigência do Contrato. Após o encerramento, aplicam-se as disposições da Seção 12.
4. Categorias de Dados Pessoais e Titulares
As categorias de Dados Pessoais tratados nos termos deste APD dependem do conteúdo enviado pela Controladora. Podem incluir, sem limitação:
Dados de identificação e contato: nomes, endereços de e-mail e informações profissionais dos usuários da Controladora e de indivíduos mencionados no conteúdo enviado;
Dados organizacionais: estruturas de equipes, cargos e comunicações internas;
Dados de conteúdo: documentos, notas e entradas de conhecimento que possam conter Dados Pessoais sobre funcionários, clientes ou terceiros da Controladora.
A Controladora reconhece que a PZX não tem como controlar ou prever as categorias de Dados Pessoais contidas no conteúdo enviado aos Serviços. A Controladora é responsável por garantir que todos os Dados Pessoais submetidos aos Serviços possuam base legal válida para tratamento nos termos da legislação aplicável.
Os Titulares são principalmente os funcionários e usuários autorizados da Controladora, e eventualmente terceiros cujos dados constem em conteúdo por ela enviado.
5. Obrigações da Operadora
A PZX, na qualidade de Operadora, deverá:
5.1 Seguir instruções: tratar Dados Pessoais apenas conforme as instruções documentadas da Controladora, salvo obrigação legal em contrário. A PZX notificará a Controladora caso entenda que uma instrução viola a legislação aplicável, antes de executá-la.
5.2 Confidencialidade: assegurar que os colaboradores autorizados a tratar Dados Pessoais estejam vinculados a obrigações de confidencialidade.
5.3 Segurança: implementar e manter medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais, conforme descrito na Seção 8.
5.4 Suboperadoras: contratar Suboperadoras apenas em conformidade com a Seção 7.
5.5 Direitos dos Titulares: auxiliar a Controladora no atendimento a requisições de direitos dos Titulares, conforme descrito na Seção 9.
5.6 Exclusão: excluir ou devolver os Dados Pessoais ao término do Contrato, conforme descrito na Seção 12.
5.7 Auditoria: disponibilizar as informações necessárias para demonstrar conformidade com este APD, conforme descrito na Seção 11.
5.8 Notificação de incidentes: notificar a Controladora sem demora injustificada, e em até 72 horas após tomar conhecimento, de qualquer incidente de segurança confirmado envolvendo Dados Pessoais tratados nos termos deste APD. A notificação incluirá a natureza do incidente, as categorias e o número aproximado de Titulares afetados, as prováveis consequências e as medidas tomadas ou propostas.
6. Obrigações da Controladora
A Controladora deverá:
6.1 Base legal: garantir que todos os Dados Pessoais enviados aos Serviços possuam base legal válida para tratamento nos termos da legislação aplicável, incluindo dados de terceiros enviados como parte de documentos ou conteúdo de conhecimento.
6.2 Exatidão: fornecer instruções precisas e atualizadas e assegurar que os Dados Pessoais enviados sejam adequados e pertinentes à finalidade pretendida.
6.3 Direitos dos Titulares: receber e avaliar inicialmente as requisições de Titulares dirigidas à Controladora e coordenar com a PZX quando o auxílio da Operadora for necessário.
6.4 Conformidade: cumprir toda a legislação de proteção de dados aplicável na qualidade de Controladora, incluindo a obtenção dos consentimentos eventualmente exigidos dos Titulares.
7. Suboperadoras
7.1 Suboperadoras atuais
A Controladora autoriza a PZX a contratar as seguintes Suboperadoras no contexto dos Serviços:
Suboperadora | Localização | Finalidade |
|---|---|---|
Amazon Web Services (AWS) | Estados Unidos | Infraestrutura de nuvem e hospedagem |
Cloudflare | Estados Unidos | Segurança de rede, CDN e proteção contra DDoS |
OpenAI | Estados Unidos | Processamento de modelos de linguagem e embeddings de texto |
Anthropic | Estados Unidos | Processamento de modelos de linguagem |
Stripe | Estados Unidos | Processamento de pagamentos e cobrança |
Resend | Estados Unidos | Envio de e-mails transacionais |
7.2 Suboperadoras futuras
A PZX poderá contratar provedores adicionais de modelos de IA (incluindo, sem limitação, provedores de reranking, embeddings ou processamento de áudio) à medida que os Serviços evoluam. A PZX notificará a Controladora de qualquer adição ou substituição de Suboperadoras com antecedência mínima de 30 dias.
A Controladora poderá objetar a uma nova Suboperadora por motivos razoáveis de proteção de dados, notificando a PZX por escrito em até 15 dias após o recebimento do aviso. Caso as partes não resolvam a objeção, a Controladora poderá rescindir o Contrato sem penalidade, mediante aviso prévio de 30 dias por escrito.
7.3 Obrigações das Suboperadoras
A PZX imporá a todas as Suboperadoras obrigações de proteção de dados equivalentes às previstas neste APD. A PZX permanece responsável perante a Controladora pelo cumprimento das obrigações das Suboperadoras.
8. Medidas de Segurança
A PZX implementa as seguintes medidas técnicas e organizacionais para proteger os Dados Pessoais:
Criptografia de dados em trânsito (TLS) e em repouso;
Isolamento de tenant — os dados de cada Controladora são logicamente separados dos demais clientes;
Controle de acesso baseado em funções, limitado ao pessoal autorizado;
Monitoramento de segurança e registro de logs;
Revisões periódicas de acesso.
A PZX poderá atualizar essas medidas ao longo do tempo, desde que as atualizações não reduzam materialmente o nível geral de proteção.
9. Direitos dos Titulares
A PZX auxiliará a Controladora no cumprimento de suas obrigações de atendimento a requisições de direitos dos Titulares nos termos da legislação aplicável, incluindo requisições de acesso, correção, exclusão, portabilidade e oposição.
A Controladora é responsável por receber e avaliar inicialmente as requisições dos Titulares. Quando o atendimento a uma requisição exigir ação da PZX, a Controladora deverá encaminhá-la pelo canal de contato indicado na Seção 13. A PZX responderá em até 15 dias úteis.
10. Transferências Internacionais de Dados
Os Dados Pessoais tratados nos termos deste APD poderão ser transferidos e processados em países fora do Brasil, incluindo os Estados Unidos, onde operam as Suboperadoras da PZX. Tais transferências são realizadas com base em salvaguardas contratuais adequadas, em conformidade com o art. 33 da LGPD.
Para Controladoras sujeitas ao RGPD, as transferências a Suboperadoras fora do Espaço Econômico Europeu são regidas pelos mecanismos de transferência aplicáveis, incluindo Cláusulas Contratuais Padrão quando exigido.
11. Direito de Auditoria
Mediante solicitação escrita da Controladora, a PZX disponibilizará as informações razoavelmente necessárias para demonstrar conformidade com este APD. A PZX poderá cumprir essa obrigação por meio de certificações atualizadas, documentação de segurança ou relatórios de auditoria resumidos.
A Controladora poderá solicitar uma auditoria presencial no máximo uma vez por ano civil, com antecedência mínima de 30 dias por escrito e às suas expensas. Qualquer auditoria deverá ser conduzida de forma a não interromper as operações da PZX nem comprometer a segurança ou confidencialidade dos dados de outros clientes.
12. Vigência, Rescisão e Exclusão de Dados
Este APD permanece em vigor pelo prazo de vigência do Contrato.
Após o término ou expiração do Contrato:
A Controladora terá 30 dias para exportar seus dados dos Serviços;
Após esse prazo, a PZX excluirá todos os Dados Pessoais tratados nos termos deste APD em até 30 dias, incluindo cópias mantidas por Suboperadoras onde tecnicamente viável;
A PZX fornecerá confirmação escrita da exclusão mediante solicitação da Controladora;
A PZX poderá reter Dados Pessoais além desse prazo exclusivamente na medida exigida pela legislação aplicável, hipótese em que os dados permanecerão sujeitos às obrigações de confidencialidade deste APD.
13. Responsabilidade
A responsabilidade de cada parte nos termos deste APD está sujeita às limitações previstas no Contrato. Nada neste APD limita a responsabilidade de qualquer das partes por obrigações que não possam ser excluídas ou limitadas nos termos da legislação de proteção de dados aplicável.
14. Lei Aplicável
Este APD é regido pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018). Eventuais controvérsias decorrentes deste APD que não possam ser resolvidas de forma amigável serão submetidas ao foro da Comarca de São Paulo, Estado de São Paulo.
15. Contato
Para questões relacionadas a este APD, requisições de direitos dos Titulares ou incidentes de segurança:
E-mail: [email protected]
Site: pzx.com.br
Encarregado pelo Tratamento de Dados Pessoais (DPO):
Nome: Filipe Albuquerque Brauns Cazelgrandi
E-mail: [email protected]
Anexo A — Detalhes do Tratamento
Este Anexo complementa a Seção 3 e poderá ser atualizado por acordo escrito mútuo para refletir alterações nos Serviços.
Campo | Detalhes |
|---|---|
Objeto | Gestão do conhecimento organizacional via plataforma Konn |
Natureza do tratamento | Armazenamento, indexação, busca semântica, recuperação e geração assistidas por IA |
Finalidade | Prestação dos Serviços conforme descrito no Contrato |
Prazo de retenção | Vigência do Contrato, acrescido do período de exclusão previsto na Seção 12 |
Categorias de Titulares | Funcionários e usuários autorizados da Controladora, e eventuais terceiros referenciados no conteúdo enviado |
Categorias de Dados Pessoais | Conforme descrito na Seção 4; as categorias efetivas dependem do conteúdo enviado pela Controladora |