← Documentos Legais

DPA — Acordo de Processamento de Dados

Versão: 1.0  |  Vigência: Março de 2026

1. Partes

Operador (quem processa os dados):
Lucas Karsten / mibi — São Paulo/SP — contato@mibi.app.br

Controlador (quem é responsável pelos dados):
A empresa contratante ("Cliente"), identificada no momento da contratação da plataforma mibi.

2. Contexto e papel das partes

O mibi atua como operador de dados pessoais (LGPD Art. 5, VII) — processa dados de colaboradores e candidatos em nome e sob instrução das empresas clientes, que são as controladoras responsáveis por esses dados.

Este Acordo estabelece as condições sob as quais o mibi trata dados pessoais por conta do Cliente, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

3. Finalidade e escopo do tratamento

O mibi trata dados pessoais exclusivamente para:

  • Prestação dos serviços contratados (plataforma de RH com IA)
  • Execução dos agentes de inteligência artificial configurados pelo Cliente
  • Armazenamento e recuperação de histórico de colaboradores e candidatos
  • Suporte técnico ao Cliente
  • Cumprimento de obrigações legais

O mibi NÃO usa dados do Cliente para:

  • Treinamento de modelos de IA sem anonimização prévia
  • Fins comerciais próprios
  • Compartilhamento com terceiros além dos subprocessadores listados na Seção 5
  • Qualquer finalidade que não seja a prestação do serviço contratado

4. Obrigações do operador (mibi)

O mibi compromete-se a:

4.1. Tratar os dados pessoais somente conforme as instruções documentadas do Cliente e nos termos deste Acordo e dos Termos de Uso.

4.2. Garantir que as pessoas autorizadas a tratar os dados pessoais estejam vinculadas a obrigações de sigilo.

4.3. Implementar medidas técnicas e organizacionais adequadas para proteger os dados:

  • Isolamento por schema PostgreSQL — cada empresa tem ambiente de dados independente
  • Transmissão criptografada (TLS/HTTPS)
  • Acesso ao banco de produção restrito por IP e autenticação
  • Backups automáticos com retenção de 30 dias

4.4. Notificar o Cliente em até 72 horas após tomar conhecimento de incidente de segurança que afete dados pessoais sob sua responsabilidade (LGPD Art. 48).

4.5. Auxiliar o Cliente a responder a solicitações de titulares de dados (acesso, correção, exclusão, portabilidade).

4.6. Não subcontratar o tratamento de dados a novos subprocessadores sem informar o Cliente com antecedência razoável.

4.7. Ao encerrar o contrato, excluir permanentemente todos os dados do Cliente conforme o fluxo descrito na Seção 7.

5. Subprocessadores autorizados

O Cliente autoriza o uso dos seguintes subprocessadores para a prestação do serviço:

SubprocessadorServiçoPaísObservação
VercelHospedagem e CDNEUA
NeonBanco de dados de produçãoEUA
AnthropicModelos de linguagem (IA)EUANão treina modelos com dados de API de clientes comerciais (sem opt-in).
ResendEnvio de emails transacionaisEUAresend.com/privacy

Transferências internacionais de dados adotam salvaguardas adequadas conforme o Art. 33 da LGPD.

6. Notificação de incidentes

Em caso de incidente de segurança (vazamento, acesso não autorizado, destruição de dados):

  1. O mibi notifica o Cliente em até 72 horas após identificar o incidente
  2. A notificação incluirá: natureza do incidente, dados afetados, medidas adotadas e recomendações
  3. O Cliente é responsável por notificar a ANPD e os titulares afetados quando obrigatório por lei
  4. O mibi cooperará com o Cliente durante todo o processo de resposta ao incidente

7. Exclusão e portabilidade de dados ao encerrar o contrato

Ao encerrar o contrato, por qualquer motivo:

  1. O acesso do Cliente à plataforma é desativado imediatamente ou ao final do período pago
  2. O Cliente tem 30 dias corridos para exportar seus dados
  3. Após 30 dias, todos os dados são excluídos permanentemente, incluindo backups do schema isolado
  4. O mibi envia confirmação de exclusão por email ao administrador cadastrado
  5. O mibi registra internamente o evento de exclusão para fins de auditoria

O mibi não se responsabiliza por dados não exportados dentro do prazo.

8. Direito de auditoria

O Cliente tem o direito de:

  • Solicitar ao mibi informações sobre as medidas de segurança implementadas
  • Requerer comprovação de conformidade com este Acordo
  • Realizar ou contratar auditoria das práticas de proteção de dados, com aviso prévio razoável

O mibi cooperará de boa-fé com auditorias e inspeções, desde que não comprometam a segurança ou privacidade de outros clientes.

9. Aceite e incorporação

Para clientes padrão: O aceite dos Termos de Uso incorpora este DPA por referência. O uso da plataforma implica concordância com os termos deste Acordo.

10. Vigência

Este Acordo entra em vigor na data do aceite dos Termos de Uso e permanece vigente enquanto o contrato de uso da plataforma estiver ativo.

11. Lei aplicável

Legislação brasileira, em especial a LGPD (Lei 13.709/2018).
Foro: Comarca de São Paulo/SP, Brasil.

mibi — São Paulo, 2026  |  Ver todos os documentos legais |  contato@mibi.app.br