Acordo de Processamento de Dados

Última atualização: 23 de maio de 2026

Este Acordo de Processamento de Dados ("APD") é celebrado entre o Monoid ("Processador") e o proprietário do site que utiliza o serviço de analytics do Monoid ("Controlador"). Faz parte dos Termos de Uso e rege o processamento de dados pessoais realizado pelo Monoid em nome do Controlador.

1. Definições

"Dados Pessoais", "Controlador", "Processador", "Titular dos Dados", "Processamento" e "Autoridade Supervisora" têm os significados atribuídos no Regulamento Geral sobre a Proteção de Dados (RGPD) da UE 2016/679. "Subprocessador" significa qualquer terceiro contratado pelo Processador para processar Dados Pessoais nos termos deste APD.

2. Objeto e natureza do processamento

O Processador fornece analytics web com foco em privacidade. O processamento consiste em: receber sinais de pageview anonimizados dos visitantes do site do Controlador, calcular um hash de visitante SHA-256 de rotação diária (IP + User-Agent + salt no servidor + data), armazenar dados de analytics agregados (caminhos de página, hostnames de referência, códigos de país, tipos de dispositivo, famílias de navegador, contagens diárias de visitantes) e disponibilizar estatísticas agregadas no dashboard do Controlador. Endereços IP brutos e strings User-Agent são usados apenas em memória para calcular o hash e nunca são armazenados.

3. Duração

Este APD está em vigor enquanto o Controlador mantiver uma conta no Monoid. Termina automaticamente com a exclusão da conta.

4. Obrigações do Processador (Art. 28(3) RGPD)

O Processador deverá:

  • Processar Dados Pessoais somente com base em instruções documentadas do Controlador, exceto quando exigido por lei aplicável.
  • Garantir que as pessoas autorizadas a processar os Dados Pessoais tenham assumido compromissos de confidencialidade ou estejam sujeitas a obrigação estatutária adequada de confidencialidade.
  • Implementar medidas técnicas e organizacionais adequadas (Art. 32 RGPD) — incluindo transmissão somente por HTTPS, hash de senha PBKDF2-SHA256, cookies de sessão httpOnly, validação de requisição Zod e limitação de taxa em todos os endpoints sensíveis.
  • Não contratar Subprocessador sem autorização prévia por escrito do Controlador (a autorização é concedida pela aceitação destes Termos e APD; os Subprocessadores listados na Seção 6 estão pré-autorizados).
  • Auxiliar o Controlador no cumprimento das solicitações dos titulares de dados (acesso, exclusão, portabilidade, objeção) por meio das ferramentas de nível de conta documentadas em /privacy e, onde tecnicamente impossível, respondendo a solicitações por e-mail em até 30 dias.
  • Auxiliar o Controlador em suas obrigações nos termos dos Art. 32–36 do RGPD, incluindo o fornecimento de informações necessárias para demonstrar conformidade, apoio a Avaliações de Impacto sobre a Proteção de Dados e cooperação com autoridades supervisoras.
  • Excluir ou devolver todos os Dados Pessoais ao Controlador ao final do serviço, e eliminar as cópias existentes, salvo se o armazenamento for exigido por lei aplicável. A exclusão da conta aciona a remoção em cascata imediata de todos os dados de analytics.
  • Disponibilizar todas as informações necessárias para demonstrar conformidade com este APD e permitir e contribuir para auditorias e inspeções conduzidas pelo Controlador ou por auditor por ele designado.

5. Obrigações do Controlador

O Controlador deverá: (a) garantir que possui base legal para instruir o Processador a tratar Dados Pessoais; (b) garantir que o script do tracker seja implantado apenas em sites de sua propriedade ou controle; (c) incluir divulgação adequada do serviço de analytics em sua própria política de privacidade; e (d) notificar o Processador prontamente sobre quaisquer alterações nas instruções de processamento.

6. Subprocessadores

O Controlador autoriza os seguintes Subprocessadores:

  • Cloudflare, Inc. (EUA) — infraestrutura de computação edge e banco de dados D1. Mecanismo de transferência: Cláusulas Contratuais Padrão (SCCs) da UE, Quadro de Privacidade de Dados UE–EUA, DPF Suíço–EUA, IDTA do Reino Unido. APD: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (EUA) — entrega de e-mail transacional. Mecanismo de transferência: SCCs da UE. APD: resend.com/legal/dpa
  • Stripe, Inc. (EUA) — processamento de pagamentos (apenas faturamento do Controlador; nenhum dado de analytics de visitantes é compartilhado com o Stripe). Mecanismo de transferência: SCCs da UE, DPF UE–EUA, IDTA do Reino Unido. APD: stripe.com/legal/dpa

O Processador fornecerá aviso prévio por escrito com pelo menos 30 dias (via e-mail da conta cadastrada) sobre quaisquer alterações pretendidas nos Subprocessadores, dando ao Controlador a oportunidade de se opor.

7. Transferências internacionais

Dados Pessoais podem ser transferidos para os Estados Unidos por meio dos Subprocessadores listados na Seção 6. Cada transferência é coberta por uma salvaguarda adequada (SCCs da UE, Quadro de Privacidade de Dados UE–EUA, DPF Suíço–EUA ou IDTA do Reino Unido) conforme indicado acima. Não ocorrem outras transferências para países terceiros.

8. Segurança e notificação de violação

O Processador notificará o Controlador sem demora indevida e, em qualquer caso, dentro de 24 horas após tomar conhecimento de uma violação de Dados Pessoais que afete dados processados sob este APD. A notificação será feita para o e-mail da conta cadastrada do Controlador e incluirá: a natureza da violação, categorias e número aproximado de titulares de dados e registros afetados, consequências prováveis e medidas tomadas ou propostas.

9. Direitos de auditoria

O Controlador pode solicitar um resumo escrito das medidas de segurança do Processador uma vez por ano civil. Quando um requisito regulatório exigir uma auditoria no local, as partes concordarão antecipadamente sobre o cronograma, escopo e obrigações de confidencialidade.

10. Lei aplicável

Este APD é regido pelas leis do Brasil, exceto quando a legislação obrigatória de proteção de dados da UE, do Reino Unido ou da Suíça conceder ao Controlador direitos adicionais que não possam ser renunciados.

11. Contato

Dúvidas sobre este APD: [email protected]