Acordo de Tratamento de Dados (DPA)
Este Acordo de Tratamento de Dados ("DPA") complementa os Termos de Uso do Software Nexo Agente Desktop e disciplina o tratamento de dados pessoais entre [ENTIDADE A DEFINIR] ("Nexo Agente") e o usuário advogado ("Controlador"), em conformidade com a Lei nº 13.709/2018 ("LGPD").
Versão: 1.0.0 — vigente desde 2026-05-20.
1. Definições
Os termos abaixo seguem o disposto na LGPD (Art. 5º):
- Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
- Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, transmissão, eliminação etc.).
- Controlador: quem decide sobre o tratamento. No contexto da relação Usuário ↔ seus clientes finais, o Usuário é o Controlador dos dados de seus clientes.
- Operador: quem realiza o tratamento em nome do Controlador. A Nexo Agente é Operadora quando processa dados de clientes do Usuário, e Controladora quanto aos dados cadastrais do próprio Usuário.
- Subprocessador / Operador adicional: terceiro contratado pela Nexo Agente para apoiar o tratamento (AWS, Stripe, Cognito).
- Titular: a pessoa natural a quem os dados se referem.
2. Papéis das partes
2.1. Dados do Usuário (advogado) — Nexo Agente como Controladora. A Nexo Agente coleta dados cadastrais do Usuário (e-mail, senha hash, dados de pagamento via Stripe, metadados de uso e telemetria agregada) para operar o Software e cobrar a assinatura.
2.2. Dados de clientes finais do Usuário (peças, contratos, fatos do caso) — Nexo Agente como Operadora. O Usuário decide quais documentos submeter ao Software; a Nexo Agente apenas processa esses dados em nome do Usuário, durante o ciclo de inferência da IA, sem retenção fora desse ciclo.
3. Dados tratados
3.1. Categoria A — Dados do Usuário (Controlador: Nexo Agente)
| Dado | Finalidade | Base legal (LGPD) | Retenção |
|---|---|---|---|
| Autenticação, comunicação contratual | Execução de contrato (Art. 7º, V) | Conta ativa + 365 dias após cancelamento | |
| Senha (hash) | Autenticação | Execução de contrato | Conta ativa |
| Versão aceita do ToS/DPA + timestamp | Evidência de aceite | Cumprimento de obrigação legal (Art. 7º, II) | Conta ativa + 5 anos |
Identificadores Stripe (customer_id, subscription_id) |
Faturamento | Execução de contrato | Conta ativa + 5 anos (legislação fiscal) |
| Telemetria agregada (tokens consumidos por dia, sem conteúdo) | Operação e métrica de custo | Legítimo interesse (Art. 7º, IX) — sem dado sensível | 365 dias |
| Action log local (no dispositivo do Usuário) | Auditoria interna do Usuário | Sob controle do Usuário | Configurável pelo Usuário, mínimo 90 dias, padrão 365 |
3.2. Categoria B — Dados de clientes finais do Usuário (Controlador: Usuário; Operadora: Nexo Agente)
| Dado | Onde reside | Tratamento pela Nexo Agente | Retenção pela Nexo Agente |
|---|---|---|---|
| Documentos do cliente final (peças, contratos, decisões etc.) | Dispositivo do Usuário (sandbox local) | Não armazena. Lê chunks via tools sandbox e transmite ao Bedrock por requisição | Zero — não persiste fora do ciclo de inferência |
| Trechos transmitidos ao Bedrock por turno | Memória transitória + log AWS Bedrock | Submetido ao Bedrock para inferência; saída devolvida ao Usuário | Bedrock não retém para treinamento (Política AWS Bedrock) |
| Conteúdo de prompts do Usuário | Memória transitória | Idem trechos | Idem |
4. Finalidades
A Nexo Agente trata os dados estritamente para:
- Operar o Software conforme contratado (autenticação, processamento de prompts, geração de respostas);
- Faturar a assinatura mensal via Stripe;
- Garantir segurança do Serviço (detecção de abuso, bloqueio de credenciais comprometidas);
- Cumprir obrigações legais e regulatórias (fiscais, LGPD);
- Comunicar mudanças contratuais e atualizações materiais do Software.
A Nexo Agente não realiza:
- Venda de dados a terceiros;
- Compartilhamento para fins publicitários;
- Tratamento para fins distintos dos descritos sem renovação de base legal e comunicação ao Usuário.
5. Subprocessadores
A Nexo Agente emprega os seguintes subprocessadores na operação do Serviço. Mudanças nesta lista são comunicadas ao Usuário com no mínimo 30 dias de antecedência.
| Subprocessador | Finalidade | Localização do tratamento | Cláusulas de transferência |
|---|---|---|---|
| Amazon Web Services, Inc. (AWS) — Bedrock | Inferência de modelos de IA (Anthropic Claude) | us-east-1 (Norte da Virgínia, EUA) | Transferência internacional sob garantias adequadas — ver Seção 10. AWS é signatária de DPA AWS compatível com LGPD/GDPR. |
| Amazon Web Services, Inc. (AWS) — Cognito | Autenticação e autorização | us-east-1 | Idem |
| Amazon Web Services, Inc. (AWS) — DynamoDB / Lambda / API Gateway / CloudFront / S3 | Backend (identidade, assinaturas, hospedagem ToS/DPA) | us-east-1 | Idem |
| Stripe Payments do Brasil Ltda. | Processamento de pagamentos | Brasil (operação local), com infraestrutura global | Stripe Brasil atua como operadora local; dados de cartão não trafegam pelo Software (tokenização direta navegador → Stripe). |
6. Direitos do titular
O Usuário (e indiretamente, seus clientes finais, via Usuário como Controlador) pode exercer os direitos previstos no Art. 18 da LGPD:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre uso compartilhado e subprocessadores;
- Revogação do consentimento;
- Oposição a tratamento realizado com fundamento em hipóteses dispensadas de consentimento.
Canal de exercício: envio de solicitação ao Encarregado (DPO) pelo endereço [EMAIL DPO A DEFINIR], com prazo de resposta de até 15 dias úteis a partir do recebimento.
7. Segurança da informação
7.1. A Nexo Agente adota medidas técnicas e organizacionais razoáveis para proteger os dados, incluindo:
- Criptografia em trânsito (TLS 1.2+) em todas as comunicações entre o Software e o backend;
- Criptografia em repouso nos serviços AWS gerenciados (DynamoDB, S3, Secrets Manager — AES-256 padrão AWS);
- Tokens de autenticação criptografados localmente via API nativa do sistema operacional (Keychain no macOS, DPAPI no Windows);
- Princípio do menor privilégio nas roles IAM (a credencial AWS do Usuário só permite invocar Bedrock Converse — nenhum outro serviço);
- Action log local auditável e separado do logger normal, sem dados sensíveis em texto plano;
- Validação de path (sandbox) em todas as operações de filesystem, restritas ao workspace selecionado pelo Usuário;
- Aprovação obrigatória com diff para qualquer escrita em arquivo do workspace.
7.2. Sigilo profissional: o Usuário é exclusivamente responsável por avaliar se cada documento pode, do ponto de vista do dever de sigilo perante seu cliente, ser submetido ao Software.
8. Incidentes de segurança
8.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Nexo Agente comunicará o Usuário em prazo razoável, contendo:
- Descrição da natureza do incidente;
- Dados afetados (categorias e volume aproximado);
- Medidas técnicas e de segurança aplicadas;
- Riscos relacionados ao incidente;
- Medidas adotadas para reverter ou mitigar efeitos.
8.2. Quando aplicável, a comunicação à ANPD será realizada em conformidade com o Art. 48 da LGPD.
9. Retenção e eliminação
9.1. Os prazos de retenção constam na Seção 3.1.
9.2. Findo o prazo, ou mediante solicitação fundamentada do Usuário, os dados são eliminados em até 30 dias, exceto quando preservação for exigida por:
- Cumprimento de obrigação legal ou regulatória (ex.: legislação fiscal);
- Estudo por órgão de pesquisa, com anonimização sempre que possível;
- Transferência a terceiro, observados os requisitos legais;
- Uso exclusivo do Controlador, vedado acesso de terceiro e desde que anonimizados quando possível.
10. Transferência internacional de dados
10.1. A infraestrutura de inferência da IA (Bedrock) e backend opera em região us-east-1 (EUA) da AWS. A transferência de dados pessoais para fora do Brasil ocorre com base em:
- Garantias adequadas previstas no Art. 33 da LGPD, conforme contratos AWS;
- Necessidade contratual (Art. 33, VIII), por se tratar de execução de contrato com o Usuário em que essa transferência é indispensável.
10.2. A Nexo Agente acompanha decisões da ANPD sobre adequação de países e cláusulas-padrão. Caso a ANPD venha a editar cláusulas-padrão contratuais (CPCs) brasileiras, a Nexo Agente aderirá no prazo regulatório aplicável.
11. Encarregado de Proteção de Dados (DPO)
A Nexo Agente designa como Encarregado:
- Nome: [DPO A DEFINIR]
- E-mail: [EMAIL DPO A DEFINIR]
Atribuições conforme Art. 41 da LGPD: aceitar reclamações de titulares, prestar esclarecimentos, orientar funcionários sobre práticas de tratamento, e executar demais atribuições determinadas pela Nexo Agente ou regulamentação.
12. Disposições gerais
12.1. Este DPA é parte integrante dos Termos de Uso. Em caso de conflito específico sobre tratamento de dados, prevalece este DPA.
12.2. Alterações neste DPA seguem o procedimento de re-aceite descrito na Seção 10 dos Termos de Uso.
12.3. Foro eleito: Comarca de [FORO A DEFINIR], conforme Termos de Uso.
[ENTIDADE A DEFINIR] [ENDERECO A DEFINIR] CNPJ [CNPJ A DEFINIR]
Encarregado: [DPO A DEFINIR] — [EMAIL DPO A DEFINIR]
Versão 1.0.0 — 2026-05-20