Logo

Seja bem vindo

Ajuda Cage

21/05/2026

Acordo de Tratamento de Dados (DPA)

R
Renata Sá
Preâmbulo
Este Acordo de Tratamento de Dados ("DPA") é parte integrante e complementar aos Termos de Serviço do Cage celebrados entre:
  • Operador: CAGE TECNOLOGIA LTDA., inscrita no CNPJ sob o nº 37.803.560.0001-94, com sede em Praça Silvio Romero, 55 - Conjunto 31 - Cidade Mãe do Céu - São Paulo - SP, cep 03323-000, adiante denominada "Cage" ou "Operador".
  • Controlador: a pessoa física ou jurídica que contrata o Cage e que se identifica como tal no Contrato Principal (Termos de Serviço) ou em formulário próprio, adiante denominado "Controlador" ou "Cliente".
Conjuntamente referidos como "Partes" e individualmente como "Parte".
O Controlador utiliza a Plataforma Cage para fins de gestão de relacionamento com seus próprios clientes, leads e contatos ("Dados Pessoais"). Este DPA regula o tratamento desses Dados Pessoais pelo Cage na qualidade de Operador, em conformidade com a LGPD e demais normas aplicáveis em países da América Latina onde os Dados Pessoais sejam tratados.
Em caso de conflito entre as disposições deste DPA e os Termos de Serviço quanto a matéria de proteção de dados, prevalecerá este DPA.

1. Definições

Os termos abaixo, quando iniciados em maiúsculas, terão os significados a seguir, adotando-se subsidiariamente as definições da LGPD:
  • Autoridade: a Autoridade Nacional de Proteção de Dados (ANPD) brasileira ou autoridade equivalente em outros países onde os dados sejam tratados.
  • Contrato Principal: os Termos de Serviço do Cage celebrados entre as Partes, incluindo eventual contrato comercial específico.
  • Controlador: o Cliente do Cage, que define as finalidades e os meios do tratamento dos Dados Pessoais inseridos na Plataforma.
  • Dados Pessoais: toda informação relativa a pessoa natural identificada ou identificável, inserida pelo Controlador na Plataforma Cage.
  • Incidente de Segurança: qualquer evento adverso confirmado, relacionado à violação de Dados Pessoais, que possa acarretar risco ou dano relevante aos titulares.
  • Instruções: orientações documentadas dadas pelo Controlador ao Operador sobre o tratamento dos Dados Pessoais.
  • LGPD: Lei Federal nº 13.709/2018 e regulamentações da ANPD.
  • Operador: o Cage, que trata os Dados Pessoais em nome e sob as instruções do Controlador.
  • Plataforma: o software como serviço (SaaS) Cage, conforme definido nos Termos de Serviço.
  • Subprocessador (Suboperador): terceiro contratado pelo Cage para tratar Dados Pessoais em apoio à prestação do serviço.
  • Titular: pessoa natural a quem se referem os Dados Pessoais.
  • Tratamento: toda operação realizada com Dados Pessoais, conforme art. 5º, X, da LGPD.

2. Objeto e papéis das Partes

2.1. Objeto
Este DPA estabelece os direitos e obrigações das Partes quanto ao tratamento de Dados Pessoais realizado pelo Cage, na qualidade de Operador, em razão da prestação do serviço de CRM ao Controlador.
2.2. Papéis
  • Controlador: é o único responsável por definir as finalidades e os meios do tratamento dos Dados Pessoais que insere ou faz inserir na Plataforma.
  • Operador: trata os Dados Pessoais exclusivamente conforme as instruções documentadas do Controlador e nos termos deste DPA e do Contrato Principal.
2.3. Detalhamento do tratamento
A natureza, finalidade, duração, tipos de dados e categorias de titulares estão detalhadas no Anexo I deste DPA.

3. Obrigações do Controlador

O Controlador declara, garante e se compromete a:
  • Cumprir integralmente a LGPD e demais normas aplicáveis ao tratamento dos Dados Pessoais.
  • Possuir base legal válida (conforme art. 7º e art. 11 da LGPD) para coletar, inserir e tratar os Dados Pessoais na Plataforma.
  • Fornecer aos Titulares as informações exigidas pela LGPD, incluindo a indicação do Cage como Operador, quando aplicável.
  • Não inserir na Plataforma Dados Pessoais excessivos, desnecessários ou incompatíveis com a finalidade do tratamento.
  • Atender, primariamente, às solicitações dos Titulares quanto ao exercício de seus direitos previstos no art. 18 da LGPD.
  • Garantir que os Usuários Convidados de sua conta (membros de equipe) cumpram as obrigações de proteção de dados aplicáveis.
  • Manter atualizadas as informações de contato e do Encarregado pela Proteção de Dados (se houver) na Plataforma.
  • Configurar adequadamente os controles de privacidade e segurança disponibilizados na Plataforma (permissões, autenticação, etc.).
  • Indenizar o Cage por danos decorrentes do descumprimento, pelo Controlador, das obrigações previstas neste DPA ou na legislação aplicável.

4. Obrigações do Cage como Operador

O Cage, na qualidade de Operador, compromete-se a:
4.1. Tratamento conforme instruções
  • Tratar os Dados Pessoais exclusivamente para a finalidade de prestação do serviço de CRM e conforme as instruções documentadas do Controlador, contidas neste DPA, no Contrato Principal e nas configurações da Plataforma utilizadas pelo Controlador.
  • Não tratar os Dados Pessoais para finalidades próprias, exceto: (i) quando exigido por lei, ordem judicial ou administrativa; (ii) para garantir a segurança da Plataforma; (iii) para fins estatísticos, com dados anonimizados; ou (iv) com autorização específica do Controlador.
  • Informar imediatamente ao Controlador caso entenda que alguma instrução viole a LGPD ou outra norma aplicável.
4.2. Confidencialidade
  • Manter a confidencialidade dos Dados Pessoais.
  • Garantir que todas as pessoas autorizadas a tratar os Dados Pessoais assumam compromisso de confidencialidade, seja por contrato de trabalho, contrato de prestação de serviço ou termo específico.
4.3. Segurança
  • Adotar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais, conforme detalhado no Anexo II deste DPA.
  • Revisar e atualizar essas medidas periodicamente, conforme a evolução tecnológica e regulatória.
4.4. Auxílio ao Controlador
Auxiliar o Controlador, na medida do tecnicamente possível e mediante solicitação razoável, em:
  • Atendimento às solicitações dos Titulares (acesso, correção, eliminação, portabilidade, etc.).
  • Cumprimento das obrigações relativas à segurança e à comunicação de incidentes de segurança.
  • Realização de relatórios de impacto à proteção de dados (RIPD), quando aplicável.
  • Resposta a fiscalizações ou requisições da ANPD ou autoridades equivalentes.
O Cage poderá cobrar custos razoáveis por auxílio que exija recursos significativos além daqueles habitualmente fornecidos como parte do serviço, mediante orçamento prévio.
4.5. Prestação de contas
  • Disponibilizar ao Controlador, mediante solicitação razoável e com antecedência mínima, informações suficientes para demonstrar o cumprimento deste DPA.
  • Permitir, observado o sigilo comercial e a segurança de outros clientes, a realização de auditorias conforme cláusula 9.

5. Subprocessadores (Suboperadores)

5.1. Autorização geral
O Controlador autoriza o Cage a contratar Subprocessadores para apoiar a prestação do serviço, observadas as condições deste DPA.
5.2. Lista atualizada
Nossa lista dos principais Subprocessadores inclui, entre outros, prestadores de:
  • Hospedagem em nuvem (data centers).
  • Processamento de pagamentos.
  • Envio de e-mails transacionais.
  • Análise de uso e monitoramento.
  • Suporte ao cliente.
  • Provedores de inteligência artificial, quando aplicável.
5.3. Obrigações do Cage quanto aos Subprocessadores
  • Selecionar Subprocessadores com base em critérios técnicos e contratuais que ofereçam garantias suficientes de proteção de dados.
  • Celebrar com cada Subprocessador contrato que imponha obrigações de proteção de dados equivalentes às deste DPA.
  • Permanecer integralmente responsável perante o Controlador pelas atividades dos Subprocessadores no que se refere a este DPA.
5.4. Alteração da lista de Subprocessadores
O Cage poderá adicionar ou substituir Subprocessadores, comunicando previamente o Controlador com antecedência mínima de 30 (trinta) dias, por meio da página de Subprocessadores, e-mail ou aviso na Plataforma. Caso o Controlador apresente objeção fundamentada em motivo legítimo de proteção de dados, as Partes negociarão de boa-fé alternativas razoáveis. Não havendo solução, qualquer das Partes poderá rescindir a parte do serviço afetada, sem multa.

6. Incidentes de Segurança

6.1. Notificação ao Controlador
O Cage notificará o Controlador, sem demora injustificada e tão logo tenha condições razoáveis de fazê-lo após tomar conhecimento, sobre qualquer Incidente de Segurança que envolva os Dados Pessoais do Controlador.
6.2. Conteúdo da notificação
A notificação conterá, na medida das informações disponíveis no momento:
  • Descrição da natureza do incidente.
  • Categorias e quantidade aproximada de Titulares e de Dados Pessoais afetados.
  • Possíveis consequências do incidente.
  • Medidas adotadas ou propostas para mitigar os efeitos e prevenir recorrência.
  • Contato do Encarregado do Cage para informações adicionais.
  • 6.3. Cooperação
O Cage cooperará razoavelmente com o Controlador no atendimento de obrigações decorrentes do incidente perante a ANPD, os Titulares afetados e outras autoridades competentes. A comunicação a Titulares e Autoridades, quando exigida, é, em regra, responsabilidade do Controlador, dado o seu papel principal.
6.4. Custos
O Cage arcará com os custos diretamente decorrentes de Incidente de Segurança causado por culpa exclusiva sua. Quando o incidente decorrer de ato ou omissão do Controlador (incluindo de seus Usuários Convidados), os custos serão de responsabilidade do Controlador.

7. Direitos dos Titulares

Caso um Titular contate diretamente o Cage para exercer direitos relativos aos seus Dados Pessoais tratados em nome do Controlador, o Cage:
  • Encaminhará a solicitação ao Controlador, sem demora injustificada.
  • Não atenderá diretamente a solicitação, salvo quando expressamente instruído pelo Controlador ou exigido por lei.
  • Auxiliará o Controlador no atendimento, na medida do tecnicamente possível.
O Controlador é o responsável principal por atender, nos prazos legais, às solicitações dos Titulares.

8. Retenção, devolução e eliminação dos Dados Pessoais

8.1. Durante a vigência
Durante a vigência do Contrato Principal, os Dados Pessoais permanecerão acessíveis ao Controlador por meio da Plataforma, conforme funcionalidades disponíveis.
8.2. Após o término
Encerrado o Contrato Principal, por qualquer motivo, o Cage:
  • Disponibilizará ao Controlador, por prazo razoável (em regra, 30 dias após o encerramento), a funcionalidade de exportação dos Dados Pessoais em formato estruturado e de uso comum.
  • Após esse prazo, eliminará ou anonimizará os Dados Pessoais em prazo razoável, salvo: (i) quando exigida retenção por obrigação legal; (ii) para exercício regular de direitos em processo judicial, administrativo ou arbitral; ou (iii) em backups com rotação automática, até a próxima rotação.
  • 8.3. Confirmação
Mediante solicitação, o Cage confirmará por escrito ao Controlador a eliminação ou anonimização dos Dados Pessoais.

9. Auditoria e prestação de contas

9.1. Documentação disponibilizada
O Cage disponibilizará ao Controlador, mediante solicitação razoável e sujeito a obrigações de confidencialidade:
  • Certificações de segurança vigentes (por exemplo, ISO 27001, SOC 2 ou equivalentes), quando aplicáveis.
  • Resumos de relatórios de auditoria de terceiros independentes.
  • Respostas a questionários razoáveis de avaliação de fornecedores em matéria de segurança e proteção de dados.
9.2. Auditoria pelo Controlador
Caso a documentação acima não seja suficiente para demonstrar a conformidade exigida, o Controlador poderá realizar, ou contratar terceiro independente para realizar, auditoria, observadas as seguintes condições:
  • Aviso prévio de, no mínimo, 30 (trinta) dias.
  • Limite de uma auditoria por ano, exceto em caso de Incidente de Segurança relevante ou por exigência de autoridade competente.
  • Realização em horário comercial, com mínima interferência nas operações do Cage.
  • Acordo de confidencialidade prévio com o auditor.
  • Custos arcados pelo Controlador, salvo quando a auditoria revelar descumprimento material e culposo deste DPA pelo Cage.

10. Transferência internacional de dados

10.1. Autorização
O Controlador autoriza, de forma geral, a transferência internacional de Dados Pessoais para fora do Brasil, na medida necessária para a prestação do serviço, observados os mecanismos previstos no art. 33 da LGPD, tais como:
  • Países que ofereçam grau de proteção adequado, conforme decisão da ANPD.
  • Cláusulas contratuais específicas com garantias de proteção de dados.
  • Normas corporativas globais, certificações ou códigos de conduta aprovados pela ANPD, quando aplicáveis.
  • Outras hipóteses legais.
10.2. Informação sobre localização
Mediante solicitação, o Cage informará as principais regiões geográficas onde os Dados Pessoais são tratados.

11. Responsabilidade

11.1. Limitação
A responsabilidade total agregada do Cage em decorrência ou em conexão com este DPA está sujeita às mesmas limitações de responsabilidade previstas no Contrato Principal, ressalvadas as hipóteses em que tal limitação seja vedada por lei.
11.2. Indenização cruzada
Cada Parte indenizará a outra pelos danos diretos comprovadamente causados em decorrência do descumprimento de suas obrigações neste DPA, observadas as limitações da cláusula 11.1.
11.3. Sanções administrativas
Sanções administrativas eventualmente aplicadas pela ANPD ou autoridade equivalente serão suportadas pela Parte que tenha dado causa à infração, ressalvado o disposto em decisão da Autoridade.

12. Vigência e rescisão

Este DPA vigora enquanto vigorar o Contrato Principal. Após o término, permanecem em vigor, pelo prazo necessário, as obrigações de confidencialidade, segurança, retenção, devolução e eliminação dos Dados Pessoais, bem como obrigações de cooperação em fiscalizações.

13. Disposições gerais

13.1. Hierarquia
Em caso de conflito entre este DPA e o Contrato Principal, quanto à matéria de proteção de dados, prevalecerá este DPA. Em caso de conflito entre este DPA e cláusulas legalmente impostas (por exemplo, cláusulas padrão da ANPD, quando vigentes), prevalecerão estas últimas.
13.2. Alterações
Este DPA pode ser alterado para refletir mudanças regulatórias ou nas práticas de tratamento. Alterações relevantes serão comunicadas ao Controlador com antecedência razoável.
13.3. Lei aplicável e foro
Este DPA é regido pelas leis da República Federativa do Brasil. As Partes elegem o foro da Comarca de [CIDADE/ESTADO], com renúncia a qualquer outro, ressalvado o direito do consumidor de demandar no foro de seu domicílio.
13.4. Contato
Para qualquer comunicação relativa a este DPA, utilizar:

Anexo I — Descrição do tratamento

Este Anexo descreve o tratamento de Dados Pessoais objeto deste DPA.
Item
Descrição
Natureza e finalidade do tratamento
Prestação do serviço de CRM (gestão de relacionamento com clientes) pelo Operador ao Controlador, incluindo armazenamento, organização, consulta, alteração, transmissão e eliminação de dados pessoais conforme as instruções do Controlador.
Duração do tratamento
Pelo prazo de vigência do contrato principal (Termos de Serviço) e pelo período adicional necessário para devolução ou eliminação dos dados, conforme cláusula 8 deste DPA.
Categorias de titulares
Clientes, leads, prospects, fornecedores, parceiros comerciais e demais contatos comerciais do Controlador inseridos na Plataforma. Pode incluir também colaboradores e Usuários Convidados da conta do Controlador.
Categorias de dados pessoais tratados
Dados de identificação (nome, e-mail, telefone), dados profissionais (cargo, empresa, função), dados de contato e comunicação, histórico de interações comerciais, anotações e arquivos inseridos pelo Controlador, e demais dados que o Controlador, a seu critério, decida inserir.
Dados pessoais sensíveis
Não recomendados. Caso o Controlador opte por inserir dados sensíveis, assume integralmente a responsabilidade pela base legal específica (art. 11 da LGPD) e por obrigações adicionais.
Dados de crianças e adolescentes
O tratamento de dados de menores de 16 anos deve observar o art. 14 da LGPD. O Controlador é responsável pela obtenção do consentimento específico e em destaque dos responsáveis legais, quando aplicável.

Anexo II — Medidas técnicas e organizacionais de segurança

O Cage adota, no mínimo, as seguintes medidas de segurança para proteção dos Dados Pessoais. Essas medidas podem ser atualizadas periodicamente, mantendo nível equivalente ou superior de proteção.
Medida
Descrição
Criptografia
Dados em trânsito protegidos por TLS 1.2 ou superior; dados em repouso criptografados nos servidores de armazenamento.
Controle de acesso
Autenticação por senha forte; suporte a autenticação de dois fatores (2FA); controle de acesso por papéis (RBAC); logs de acesso e auditoria.
Segurança da infraestrutura
Hospedagem em provedores reconhecidos com certificações internacionais (ISO 27001, SOC 2 ou equivalente); firewalls e proteção contra ataques DDoS; monitoramento contínuo de segurança.
Backup e recuperação
Backups regulares com retenção definida; testes periódicos de restauração; plano de continuidade de negócios e recuperação de desastres.
Gestão de incidentes
Plano de resposta a incidentes documentado; equipe responsável definida; processos de notificação ao Controlador e à ANPD conforme cláusula 6 deste DPA.
Capacitação e governança
Treinamento periódico de equipe em proteção de dados; políticas internas de segurança da informação; acordos de confidencialidade com colaboradores e prestadores.
Segregação de dados
Isolamento lógico de dados entre diferentes Controladores; impossibilidade de acesso cruzado a contas distintas.
Avaliações de segurança
Testes de invasão e avaliações de vulnerabilidade periódicos; correção de vulnerabilidades conforme criticidade.

Detalhes adicionais sobre práticas de segurança podem ser solicitados ao Encarregado do Cage através do e-mail [email protected].
Última atualização: 16/06/2026
Vigência: 01/05/2026

Compartilhar artigo