Anexo de Tratamento de Dados (DPA)

Este DPA aplica-se sempre que o uso dos Serviços pelo Cliente resultar no tratamento, pela Infi, de Dados Pessoais (conforme definidos na LGPD, no GDPR e no UK GDPR) em nome do Cliente. Onde este DPA conflitar com os Termos de Uso, este DPA prevalece para questões de tratamento de dados pessoais.

O Cliente é o controlador dos dados. A Infi atua como operadora (processor), tratando Dados Pessoais somente conforme instruções documentadas do Cliente, incluídas aí o uso dos Serviços e as escolhas de configuração feitas no app Infi.

O tratamento sob este DPA continua durante toda a vigência da assinatura do Cliente, mais a janela de retenção pós-rescisão descrita na Seção 13.

A Infi trata Dados Pessoais pra entregar os Serviços. Operações de tratamento incluem:

• Armazenamento, indexação e recuperação de dados do Cliente.
• Agregação e cálculo de métricas (engajamento, atribuição, insights de audiência).
• Geração de drafts de conteúdo, respostas e análises usando APIs de LLM de terceiros.
• Transmissão de conteúdo aprovado pra plataformas conectadas pelo Cliente.
• Envio de emails transacionais e (quando opt-in) de marketing em nome do Cliente.

• Clientes finais e leads do Cliente.
• Seguidores, comentaristas e usuários engajados nas redes sociais do Cliente.
• Membros da organização do Cliente (funcionários, prestadores, colaboradores).
• Sujeitos de conteúdo público que o Cliente escolher acompanhar (ex: concorrentes nomeados).

• Nomes, endereços de email, telefones.
• Handles de rede social, URLs de perfil, posts e comentários públicos.
• Número de seguidores, métricas de engajamento, performance de anúncios.
• Endereços IP e identificadores de device (incidentais, via analytics).
• Qualquer outro dado pessoal que o Cliente decida subir ou conectar.

A Infi usa os seguintes suboperadores. Cada um está vinculado por contrato com cláusulas de proteção de dados substancialmente equivalentes a este DPA:

• Clerk — autenticação.
• Stripe — cobrança e pagamentos.
• Anthropic — inferência de IA (não treina com inputs de API).
• Zernio — analytics social cross-platform.
• Apify — coleta de dados públicos da web.
• Resend — email transacional.
• Loops — entrega de newsletter.
• Railway — hospedagem da aplicação e bancos.
• PostHog — analytics de produto.
• Google Analytics 4 — analytics de site.
• Meta (Pixel) — medição de ads.

A Infi mantém medidas técnicas e organizacionais apropriadas ao risco, incluindo:

• Encriptação em trânsito (TLS 1.2+) e em repouso pros datastores primários.
• Controle de acesso baseado em papel, com staff em least-privilege e audit log.
• Gestão de segredos pra credenciais e API keys.
• Procedimentos de backup e disaster recovery.
• Pessoal vinculado a obrigações de confidencialidade.
• Resposta a incidentes de segurança com notificação ao Cliente sem atraso indevido, e em qualquer caso em até 72 horas após confirmar um incidente.

A Infi vai prestar assistência razoável pra permitir que o Cliente responda a pedidos de titulares (acesso, retificação, exclusão, limitação, portabilidade, oposição). Onde tecnicamente viável, o Cliente pode executar essas ações diretamente no app Infi. Pra pedidos que a Infi precise executar, contato em privacy@beinfi.com.

Quando Dados Pessoais de titulares da UE, Reino Unido ou Brasil forem transferidos pra uma jurisdição sem decisão de adequação, as partes concordam em adotar Standard Contractual Clauses (ou o UK Addendum / mecanismos equivalentes da LGPD), incorporados por referência a este DPA.

A Infi notifica com pelo menos 30 dias de antecedência (via email e/ou na página legal de beinfi.com) antes de adicionar ou substituir suboperadores. O Cliente pode se opor por motivos razoáveis de proteção de dados nesse prazo. Se as partes não chegarem a acordo, o Cliente pode rescindir os Serviços afetados sem penalidade.

A Infi vai fornecer, mediante solicitação razoável do Cliente e no máximo uma vez por ano, um resumo escrito das práticas relevantes de segurança e compliance. Assim que a Infi obtiver SOC 2 (ou equivalente), o relatório cumpre essa obrigação. Auditorias on-site não são permitidas no V0.

Na rescisão dos Serviços, o Cliente pode solicitar exportação dos dados em até 30 dias. Após esse prazo, a Infi apaga os Dados Pessoais ativos em até 30 dias, com backups expirando no ciclo normal (máximo 90 dias). Retenção limitada pode se aplicar quando exigida por lei.

Este DPA segue a lei aplicável dos Termos de Uso: Brasil (São Paulo/SP) pra Clientes brasileiros; Califórnia (San Francisco/CA) pra Clientes nos EUA; Califórnia por padrão pros demais até que uma jurisdição seja adicionada explicitamente.