Documento em revisão jurídica. Este texto é um esboço para validação interna e ainda não substitui uma versão revisada por advogado. Contate dpo@astroeus.com em caso de dúvidas.

Acordo de Processamento de Dados (DPA)

Última atualização: v1.1 — 31 de maio de 2026

Este Acordo de Processamento de Dados (DPA — Data Processing Agreement) é o instrumento previsto no Art. 39 da Lei 13.709/2018 (LGPD) que regula a relação entre o(a) profissional contratante (CONTROLADOR) e a Astroeus (OPERADORA) no tratamento de dados pessoais dos pacientes/clientes processados por meio da plataforma.

Este DPA integra os Termos de Uso e a Política de Privacidade, e prevalece sobre eles em caso de conflito específico sobre o tratamento de dados de pacientes.

1. Identificação das partes

OPERADORA: Astroeus (denominação comercial; razão social e CNPJ em processo de formalização — atualização publicada nesta página tão logo concluída).

CONTROLADOR: o(a) profissional usuário(a) da Plataforma, identificado(a) pelos dados cadastrais fornecidos no ato do registro (nome, CPF/CNPJ, registro profissional, endereço). A identificação atualizada está disponível na conta do(a) Usuário(a) e no contrato eletrônico mantido nos sistemas da Astroeus.

2. Definições

  • LGPD: Lei nº 13.709, de 14 de agosto de 2018.
  • Dados Pessoais: conforme Art. 5º I da LGPD.
  • Dados Sensíveis: conforme Art. 5º II da LGPD (especialmente dados de saúde, no contexto deste DPA).
  • Titular: conforme Art. 5º V — no contexto, paciente, cliente, ou responsável legal de paciente menor.
  • Tratamento: conforme Art. 5º X.
  • Sub-operador: terceiro contratado pela OPERADORA para auxiliar no tratamento (Art. 39 VIII).
  • ANPD: Autoridade Nacional de Proteção de Dados.
  • Reg. ANPD 4/2024: Guia Orientativo de Tratamento.
  • Reg. ANPD 15/2023: Regulamento de Comunicação de Incidente de Segurança.
  • Reg. ANPD 17/2024: Regulamento de Transferência Internacional de Dados (Cláusulas-Padrão Contratuais).
  • Reg. ANPD 18/2024: Regulamento sobre o Encarregado pelo Tratamento de Dados.

3. Objeto e escopo

Por este DPA, o CONTROLADOR contrata a OPERADORA para realizar operações de tratamento de Dados Pessoais e Dados Sensíveis de seus Titulares (pacientes/clientes e respectivos responsáveis legais), com as finalidades e nas categorias descritas no Anexo I, sempre em conformidade com a LGPD, com as instruções documentadas do CONTROLADOR e com as normas profissionais aplicáveis (CFP, COFFITO, Lei 13.787/2018 e congêneres).

4. Finalidades autorizadas e instruções documentadas

A OPERADORA está autorizada a tratar Dados Pessoais e Sensíveis exclusivamente para:

  • Manter prontuário eletrônico em conformidade com CFP/COFFITO e Lei 13.787/2018;
  • Gerar evoluções estruturadas com auxílio de IA, quando autorizado pelo Titular em documento separado;
  • Gerenciar agenda, cobranças, recibos e comunicação transacional;
  • Faturar e cobrar o CONTROLADOR pelo uso da Plataforma (operação interna entre as partes, não sobre dados do Titular);
  • Garantir segurança, prevenir fraude, cumprir requisitos legais e responder a incidentes.

Estas finalidades constituem as instruções documentadas do CONTROLADOR (Art. 39 I LGPD). Qualquer tratamento fora deste escopo exige instrução adicional formal do CONTROLADOR ou base legal própria da OPERADORA (sempre comunicada).

5. Obrigações da OPERADORA

A OPERADORA compromete-se a:

  • Tratar os dados estritamente conforme as finalidades autorizadas e as instruções do CONTROLADOR;
  • Manter sigilo profissional e impor o mesmo dever a seus colaboradores e sub-operadores;
  • Adotar medidas técnicas e organizacionais de segurança proporcionais ao risco (Art. 46), incluindo: criptografia em trânsito (TLS 1.2+) e em repouso (recursos padrão Supabase/AWS), Row-Level Security ativa em todas as tabelas, controle de acesso por função, auditoria de acessos ao prontuário, append-only com hash chain SHA-256, sanitização de PII em telemetria;
  • Manter Registro de Operações próprio (Art. 37) e disponibilizá-lo ao CONTROLADOR mediante solicitação;
  • Manter Relatório de Impacto à Proteção de Dados (DPIA/RIPD) vigente;
  • Apoiar operacionalmente o CONTROLADOR no exercício dos direitos dos Titulares (Art. 18) — ver §9;
  • Notificar incidentes de segurança ao CONTROLADOR em até 48 horas da detecção e comunicar ANPD/titulares quando aplicável (Art. 48);
  • Submeter sub-operadores a obrigações equivalentes e divulgar a lista atualizada;
  • Devolver ou eliminar os dados ao final do contrato, conforme procedimento documentado de off-boarding.

6. Obrigações do CONTROLADOR

O CONTROLADOR compromete-se a:

  • Definir, documentar e comunicar finalidades adicionais quando aplicável;
  • Obter consentimento dos Titulares quando essa for a base legal aplicável (notadamente para uso de IA, transferência internacional dos dados clínicos, e Cláusulas opcionais A/B);
  • Receber e atender, em primeira instância, as solicitações de direitos LGPD dos seus pacientes;
  • Garantir a veracidade, exatidão e atualização dos dados inseridos;
  • Avaliar a legalidade de cada operação realizada;
  • Verificar presencialmente a autoridade legal dos responsáveis no caso de pacientes menores;
  • Comunicar a OPERADORA quando identificar incidente de segurança no escopo de sua atuação;
  • Receber, conferir e conservar pelos 20 anos legais o pacote de off-boarding quando encerrar o uso da Plataforma.

7. Sub-operadores (Art. 39 VIII)

O CONTROLADOR autoriza a OPERADORA a contratar sub-operadores para auxiliar no tratamento. A lista atualizada está em Política §5. Todos os 9 sub-operadores em uso na MVP1 têm DPA executado em maio de 2026 — Anthropic, OpenAI, Supabase, Vercel, Render, Resend, Sentry, PostHog e Cloudflare. Cópias dos DPAs estão arquivadas internamente e podem ser auditadas pelo CONTROLADOR mediante solicitação ao DPO (/dpo), conforme §11. A OPERADORA compromete-se a:

  • Vincular cada sub-operador por DPA com obrigações equivalentes;
  • Comunicar adição de novo sub-operador com antecedência mínima de 30 dias;
  • Permitir oposição motivada do CONTROLADOR, hipótese em que será discutida adequação alternativa ou rescisão sem ônus;
  • Manter responsabilidade integral perante o CONTROLADOR pelas atividades dos sub-operadores.

8. Transferência internacional (Art. 33-35 LGPD)

Parte dos sub-operadores opera fora do Brasil (Estados Unidos e União Europeia — ver Política §5). A transferência ocorre sob:

  • Cláusulas Contratuais Padrão aprovadas pela ANPD (Reg. 17/2024), incorporadas aos DPAs com sub-operadores (Art. 33 II + Art. 35 II); e
  • Consentimento específico dos Titulares para uso de IA (Art. 33 VIII), com identificação nominal dos processadores (Anthropic, OpenAI), destino (EUA) e direito de revogação.

O CONTROLADOR reconhece e aceita esse arranjo como condição para o uso da Plataforma, e compromete-se a colher o consentimento do Titular para uso de IA antes de habilitar o pipeline IA para cada paciente.

9. Direitos dos Titulares — fluxo Controlador → Operadora

Quando a OPERADORA recebe pedido de Titular relacionado a dados sob controladoria do CONTROLADOR, o fluxo é:

  1. OPERADORA confirma receipt em até 5 dias úteis;
  2. OPERADORA encaminha ao CONTROLADOR via canal interno;
  3. CONTROLADOR responde ao Titular no prazo legal (15 dias úteis para confirmação/acesso; 30 dias para os demais direitos);
  4. OPERADORA apoia operacionalmente — extração de dados, geração de pacote portabilidade, execução de pseudonimização técnica;
  5. OPERADORA registra cada pedido em controle interno auditável (Art. 39 IX).

Quando o pedido envolve dados sob controladoria da Astroeus (cadastro do(a) profissional, telemetria, comunicações comerciais), a OPERADORA responde diretamente ao Titular, com transparência ao CONTROLADOR.

10. Comunicação de incidentes (Art. 48)

  • A OPERADORA notifica o CONTROLADOR em até 48 horas da detecção de incidente que possa afetar dados sob a controladoria deste, com as informações mínimas do Art. 48 §1º LGPD;
  • Quando o incidente envolver risco ou dano relevante (critérios Reg. ANPD 15/2023), a OPERADORA comunica a ANPD em até 3 dias úteis;
  • A comunicação aos Titulares afetados é executada conjuntamente pelas partes, conforme procedimento de incidente documentado.

11. Auditoria (Art. 39 IV)

O CONTROLADOR tem direito a auditar a conformidade da OPERADORA com este DPA, mediante solicitação ao DPO com antecedência mínima de 30 dias. A OPERADORA fornece:

  • Registro de Operações de Tratamento atualizado;
  • DPIA/RIPD vigente;
  • Mapa de sub-operadores e respectivos DPAs;
  • Relatório resumo dos pentests realizados (achados sensíveis anonimizados);
  • Evidências de configuração de segurança (criptografia, RLS, retenção de logs).

Em casos excepcionais (incidente confirmado, exigência regulatória formal), o CONTROLADOR pode solicitar auditoria in-loco contratada por sua conta, com prévio alinhamento de escopo, confidencialidade e janela de execução.

12. Retenção e encerramento

Os prazos por categoria de dado estão na Política §7. Ao encerrar a contratação:

  • O CONTROLADOR recebe pacote ZIP com a íntegra do prontuário (PDFs assinados, JSON com metadados, hash chain) e assina o Termo de Guarda, assumindo a obrigação de conservar pelos 20 anos previstos na Lei 13.787/2018;
  • Após confirmação da entrega e expiração da janela de carência (60 dias por padrão), a OPERADORA procede com a pseudonimização lógica dos dados, preservando apenas hash + metadados para integridade verificável (ver ADR-005);
  • Comprovante em hash do procedimento é entregue ao CONTROLADOR;
  • Os dados anonimizados/pseudonimizados podem permanecer em backups por até 7 dias (retenção padrão do Supabase) e são purgados após esse prazo conforme política do sub-operador.

13. Responsabilidade (Art. 42)

Aplica-se o regime de responsabilidade solidária previsto no Art. 42 da LGPD quando ambos contribuírem para o dano ao Titular. As partes acordam, no plano interno, que a parte que causar exclusivamente o dano responderá pelo regresso da indenização paga pela outra. A limitação de responsabilidade contratual prevista nos Termos de Uso (§9) não se aplica às hipóteses específicas de responsabilidade LGPD/CDC.

14. Vigência e alterações

Este DPA vigora pelo prazo da contratação do(a) Usuário(a) e sobrevive às hipóteses de obrigações continuadas (retenção regulatória, sigilo, auditoria pós-encerramento). Alterações são comunicadas com 30 dias de antecedência; o(a) Usuário(a) pode rescindir sem ônus durante esse prazo.

15. Foro

Fica eleito o foro da Comarca de Barueri/SP — Brasil, ressalvadas as competências legais específicas (CDC, ANPD, regulação setorial).


Anexo I — Categorias de dados e operações

I.1. Categorias de Titulares

  • Pacientes/clientes adultos atendidos pelo(a) CONTROLADOR;
  • Pacientes/clientes menores e respectivos responsáveis legais;
  • Adolescentes (12-17 anos) que prestam anuência (CFP Res. 13/2022).

I.2. Categorias de dados pessoais

  • Identificação (nome, CPF/passaporte, data de nascimento);
  • Contato (email, telefone);
  • Endereço (opcional);
  • Dados financeiros (recibos, histórico de pagamentos);
  • Dados de menores e responsáveis legais (parentesco, CPF do responsável).

I.3. Categorias de dados sensíveis

  • Dados de saúde (evoluções clínicas, transcrições de áudio descartadas);
  • Conteúdo de prontuário psicológico/terapêutico.

I.4. Operações

  • Coleta (cadastro, agenda, pesquisas);
  • Acesso (consulta pelo(a) profissional);
  • Armazenamento (banco Supabase, storage de evolução assinada);
  • Processamento (geração IA de evolução, classificação automática de comentário pós-sessão);
  • Compartilhamento com sub-operadores (ver Política §5);
  • Transferência internacional (sub-operadores nos EUA/UE);
  • Pseudonimização e eliminação no encerramento.

I.5. Medidas de segurança

  • Criptografia em trânsito (TLS 1.2+) e em repouso (Supabase/AWS);
  • Row-Level Security em todas as tabelas;
  • Append-only com hash chain SHA-256 v2 em prontuário;
  • Auditoria de acessos ao prontuário (tabela auditoria imutável);
  • Sanitização server-side de PII antes de envio ao Sentry;
  • Cron de descarte automático de áudio pós-assinatura;
  • Pentest interno e externo periódico;
  • Runbook de incidente documentado.

Histórico de versões

  • v1.1 — 2026-05-31: §7 atualizada — todos os 9 sub-operadores em uso passaram a ter DPA executado (maio/2026). Referência cruzada à Política §5 atualizada e ao canal de auditoria via DPO.
  • v1.0 — 2026-05-30:primeira versão pública do DPA. Substitui o placeholder anterior ("documento sob solicitação") em atendimento ao Art. 39 da LGPD.