Documento em revisão jurídica. Este texto é um esboço para validação interna e ainda não substitui uma versão revisada por advogado. Contate dpo@astroeus.com em caso de dúvidas.
Acordo de Processamento de Dados (DPA)
Última atualização: v1.1 — 31 de maio de 2026
Este Acordo de Processamento de Dados (DPA — Data Processing Agreement) é o instrumento previsto no Art. 39 da Lei 13.709/2018 (LGPD) que regula a relação entre o(a) profissional contratante (CONTROLADOR) e a Astroeus (OPERADORA) no tratamento de dados pessoais dos pacientes/clientes processados por meio da plataforma.
Este DPA integra os Termos de Uso e a Política de Privacidade, e prevalece sobre eles em caso de conflito específico sobre o tratamento de dados de pacientes.
1. Identificação das partes
OPERADORA: Astroeus (denominação comercial; razão social e CNPJ em processo de formalização — atualização publicada nesta página tão logo concluída).
- Encarregada (DPO): Fernando Medeiros Lima
- Contato DPO: dpo@astroeus.com
CONTROLADOR: o(a) profissional usuário(a) da Plataforma, identificado(a) pelos dados cadastrais fornecidos no ato do registro (nome, CPF/CNPJ, registro profissional, endereço). A identificação atualizada está disponível na conta do(a) Usuário(a) e no contrato eletrônico mantido nos sistemas da Astroeus.
2. Definições
- LGPD: Lei nº 13.709, de 14 de agosto de 2018.
- Dados Pessoais: conforme Art. 5º I da LGPD.
- Dados Sensíveis: conforme Art. 5º II da LGPD (especialmente dados de saúde, no contexto deste DPA).
- Titular: conforme Art. 5º V — no contexto, paciente, cliente, ou responsável legal de paciente menor.
- Tratamento: conforme Art. 5º X.
- Sub-operador: terceiro contratado pela OPERADORA para auxiliar no tratamento (Art. 39 VIII).
- ANPD: Autoridade Nacional de Proteção de Dados.
- Reg. ANPD 4/2024: Guia Orientativo de Tratamento.
- Reg. ANPD 15/2023: Regulamento de Comunicação de Incidente de Segurança.
- Reg. ANPD 17/2024: Regulamento de Transferência Internacional de Dados (Cláusulas-Padrão Contratuais).
- Reg. ANPD 18/2024: Regulamento sobre o Encarregado pelo Tratamento de Dados.
3. Objeto e escopo
Por este DPA, o CONTROLADOR contrata a OPERADORA para realizar operações de tratamento de Dados Pessoais e Dados Sensíveis de seus Titulares (pacientes/clientes e respectivos responsáveis legais), com as finalidades e nas categorias descritas no Anexo I, sempre em conformidade com a LGPD, com as instruções documentadas do CONTROLADOR e com as normas profissionais aplicáveis (CFP, COFFITO, Lei 13.787/2018 e congêneres).
4. Finalidades autorizadas e instruções documentadas
A OPERADORA está autorizada a tratar Dados Pessoais e Sensíveis exclusivamente para:
- Manter prontuário eletrônico em conformidade com CFP/COFFITO e Lei 13.787/2018;
- Gerar evoluções estruturadas com auxílio de IA, quando autorizado pelo Titular em documento separado;
- Gerenciar agenda, cobranças, recibos e comunicação transacional;
- Faturar e cobrar o CONTROLADOR pelo uso da Plataforma (operação interna entre as partes, não sobre dados do Titular);
- Garantir segurança, prevenir fraude, cumprir requisitos legais e responder a incidentes.
Estas finalidades constituem as instruções documentadas do CONTROLADOR (Art. 39 I LGPD). Qualquer tratamento fora deste escopo exige instrução adicional formal do CONTROLADOR ou base legal própria da OPERADORA (sempre comunicada).
5. Obrigações da OPERADORA
A OPERADORA compromete-se a:
- Tratar os dados estritamente conforme as finalidades autorizadas e as instruções do CONTROLADOR;
- Manter sigilo profissional e impor o mesmo dever a seus colaboradores e sub-operadores;
- Adotar medidas técnicas e organizacionais de segurança proporcionais ao risco (Art. 46), incluindo: criptografia em trânsito (TLS 1.2+) e em repouso (recursos padrão Supabase/AWS), Row-Level Security ativa em todas as tabelas, controle de acesso por função, auditoria de acessos ao prontuário, append-only com hash chain SHA-256, sanitização de PII em telemetria;
- Manter Registro de Operações próprio (Art. 37) e disponibilizá-lo ao CONTROLADOR mediante solicitação;
- Manter Relatório de Impacto à Proteção de Dados (DPIA/RIPD) vigente;
- Apoiar operacionalmente o CONTROLADOR no exercício dos direitos dos Titulares (Art. 18) — ver §9;
- Notificar incidentes de segurança ao CONTROLADOR em até 48 horas da detecção e comunicar ANPD/titulares quando aplicável (Art. 48);
- Submeter sub-operadores a obrigações equivalentes e divulgar a lista atualizada;
- Devolver ou eliminar os dados ao final do contrato, conforme procedimento documentado de off-boarding.
6. Obrigações do CONTROLADOR
O CONTROLADOR compromete-se a:
- Definir, documentar e comunicar finalidades adicionais quando aplicável;
- Obter consentimento dos Titulares quando essa for a base legal aplicável (notadamente para uso de IA, transferência internacional dos dados clínicos, e Cláusulas opcionais A/B);
- Receber e atender, em primeira instância, as solicitações de direitos LGPD dos seus pacientes;
- Garantir a veracidade, exatidão e atualização dos dados inseridos;
- Avaliar a legalidade de cada operação realizada;
- Verificar presencialmente a autoridade legal dos responsáveis no caso de pacientes menores;
- Comunicar a OPERADORA quando identificar incidente de segurança no escopo de sua atuação;
- Receber, conferir e conservar pelos 20 anos legais o pacote de off-boarding quando encerrar o uso da Plataforma.
7. Sub-operadores (Art. 39 VIII)
O CONTROLADOR autoriza a OPERADORA a contratar sub-operadores para auxiliar no tratamento. A lista atualizada está em Política §5. Todos os 9 sub-operadores em uso na MVP1 têm DPA executado em maio de 2026 — Anthropic, OpenAI, Supabase, Vercel, Render, Resend, Sentry, PostHog e Cloudflare. Cópias dos DPAs estão arquivadas internamente e podem ser auditadas pelo CONTROLADOR mediante solicitação ao DPO (/dpo), conforme §11. A OPERADORA compromete-se a:
- Vincular cada sub-operador por DPA com obrigações equivalentes;
- Comunicar adição de novo sub-operador com antecedência mínima de 30 dias;
- Permitir oposição motivada do CONTROLADOR, hipótese em que será discutida adequação alternativa ou rescisão sem ônus;
- Manter responsabilidade integral perante o CONTROLADOR pelas atividades dos sub-operadores.
8. Transferência internacional (Art. 33-35 LGPD)
Parte dos sub-operadores opera fora do Brasil (Estados Unidos e União Europeia — ver Política §5). A transferência ocorre sob:
- Cláusulas Contratuais Padrão aprovadas pela ANPD (Reg. 17/2024), incorporadas aos DPAs com sub-operadores (Art. 33 II + Art. 35 II); e
- Consentimento específico dos Titulares para uso de IA (Art. 33 VIII), com identificação nominal dos processadores (Anthropic, OpenAI), destino (EUA) e direito de revogação.
O CONTROLADOR reconhece e aceita esse arranjo como condição para o uso da Plataforma, e compromete-se a colher o consentimento do Titular para uso de IA antes de habilitar o pipeline IA para cada paciente.
9. Direitos dos Titulares — fluxo Controlador → Operadora
Quando a OPERADORA recebe pedido de Titular relacionado a dados sob controladoria do CONTROLADOR, o fluxo é:
- OPERADORA confirma receipt em até 5 dias úteis;
- OPERADORA encaminha ao CONTROLADOR via canal interno;
- CONTROLADOR responde ao Titular no prazo legal (15 dias úteis para confirmação/acesso; 30 dias para os demais direitos);
- OPERADORA apoia operacionalmente — extração de dados, geração de pacote portabilidade, execução de pseudonimização técnica;
- OPERADORA registra cada pedido em controle interno auditável (Art. 39 IX).
Quando o pedido envolve dados sob controladoria da Astroeus (cadastro do(a) profissional, telemetria, comunicações comerciais), a OPERADORA responde diretamente ao Titular, com transparência ao CONTROLADOR.
10. Comunicação de incidentes (Art. 48)
- A OPERADORA notifica o CONTROLADOR em até 48 horas da detecção de incidente que possa afetar dados sob a controladoria deste, com as informações mínimas do Art. 48 §1º LGPD;
- Quando o incidente envolver risco ou dano relevante (critérios Reg. ANPD 15/2023), a OPERADORA comunica a ANPD em até 3 dias úteis;
- A comunicação aos Titulares afetados é executada conjuntamente pelas partes, conforme procedimento de incidente documentado.
11. Auditoria (Art. 39 IV)
O CONTROLADOR tem direito a auditar a conformidade da OPERADORA com este DPA, mediante solicitação ao DPO com antecedência mínima de 30 dias. A OPERADORA fornece:
- Registro de Operações de Tratamento atualizado;
- DPIA/RIPD vigente;
- Mapa de sub-operadores e respectivos DPAs;
- Relatório resumo dos pentests realizados (achados sensíveis anonimizados);
- Evidências de configuração de segurança (criptografia, RLS, retenção de logs).
Em casos excepcionais (incidente confirmado, exigência regulatória formal), o CONTROLADOR pode solicitar auditoria in-loco contratada por sua conta, com prévio alinhamento de escopo, confidencialidade e janela de execução.
12. Retenção e encerramento
Os prazos por categoria de dado estão na Política §7. Ao encerrar a contratação:
- O CONTROLADOR recebe pacote ZIP com a íntegra do prontuário (PDFs assinados, JSON com metadados, hash chain) e assina o Termo de Guarda, assumindo a obrigação de conservar pelos 20 anos previstos na Lei 13.787/2018;
- Após confirmação da entrega e expiração da janela de carência (60 dias por padrão), a OPERADORA procede com a pseudonimização lógica dos dados, preservando apenas hash + metadados para integridade verificável (ver ADR-005);
- Comprovante em hash do procedimento é entregue ao CONTROLADOR;
- Os dados anonimizados/pseudonimizados podem permanecer em backups por até 7 dias (retenção padrão do Supabase) e são purgados após esse prazo conforme política do sub-operador.
13. Responsabilidade (Art. 42)
Aplica-se o regime de responsabilidade solidária previsto no Art. 42 da LGPD quando ambos contribuírem para o dano ao Titular. As partes acordam, no plano interno, que a parte que causar exclusivamente o dano responderá pelo regresso da indenização paga pela outra. A limitação de responsabilidade contratual prevista nos Termos de Uso (§9) não se aplica às hipóteses específicas de responsabilidade LGPD/CDC.
14. Vigência e alterações
Este DPA vigora pelo prazo da contratação do(a) Usuário(a) e sobrevive às hipóteses de obrigações continuadas (retenção regulatória, sigilo, auditoria pós-encerramento). Alterações são comunicadas com 30 dias de antecedência; o(a) Usuário(a) pode rescindir sem ônus durante esse prazo.
15. Foro
Fica eleito o foro da Comarca de Barueri/SP — Brasil, ressalvadas as competências legais específicas (CDC, ANPD, regulação setorial).
Anexo I — Categorias de dados e operações
I.1. Categorias de Titulares
- Pacientes/clientes adultos atendidos pelo(a) CONTROLADOR;
- Pacientes/clientes menores e respectivos responsáveis legais;
- Adolescentes (12-17 anos) que prestam anuência (CFP Res. 13/2022).
I.2. Categorias de dados pessoais
- Identificação (nome, CPF/passaporte, data de nascimento);
- Contato (email, telefone);
- Endereço (opcional);
- Dados financeiros (recibos, histórico de pagamentos);
- Dados de menores e responsáveis legais (parentesco, CPF do responsável).
I.3. Categorias de dados sensíveis
- Dados de saúde (evoluções clínicas, transcrições de áudio descartadas);
- Conteúdo de prontuário psicológico/terapêutico.
I.4. Operações
- Coleta (cadastro, agenda, pesquisas);
- Acesso (consulta pelo(a) profissional);
- Armazenamento (banco Supabase, storage de evolução assinada);
- Processamento (geração IA de evolução, classificação automática de comentário pós-sessão);
- Compartilhamento com sub-operadores (ver Política §5);
- Transferência internacional (sub-operadores nos EUA/UE);
- Pseudonimização e eliminação no encerramento.
I.5. Medidas de segurança
- Criptografia em trânsito (TLS 1.2+) e em repouso (Supabase/AWS);
- Row-Level Security em todas as tabelas;
- Append-only com hash chain SHA-256 v2 em prontuário;
- Auditoria de acessos ao prontuário (tabela
auditoriaimutável); - Sanitização server-side de PII antes de envio ao Sentry;
- Cron de descarte automático de áudio pós-assinatura;
- Pentest interno e externo periódico;
- Runbook de incidente documentado.
Histórico de versões
- v1.1 — 2026-05-31: §7 atualizada — todos os 9 sub-operadores em uso passaram a ter DPA executado (maio/2026). Referência cruzada à Política §5 atualizada e ao canal de auditoria via DPO.
- v1.0 — 2026-05-30:primeira versão pública do DPA. Substitui o placeholder anterior ("documento sob solicitação") em atendimento ao Art. 39 da LGPD.