BROKLY — ADENDO DE TRATAMENTO DE DADOS (DPA)
Última atualização: 6 de julho de 2026
Este Adendo de Tratamento de Dados ("DPA") faz parte dos Termos de Serviço ou de outro acordo entre a Brokly Inc., uma sociedade de Delaware ("Brokly" ou "Operador"), e o cliente identificado no Pedido ou conta aplicável ("Cliente" ou "Controlador") que rege o uso da plataforma Brokly pelo Cliente (o "Acordo"). Este DPA se aplica na medida em que a Brokly trate Dados Pessoais em nome do Cliente ao prestar o Serviço.
Em caso de conflito entre este DPA e o Acordo quanto ao tratamento de Dados Pessoais, este DPA prevalece.
1. Definições
- "Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável que a Brokly trate em nome do Cliente em conexão com o Serviço — principalmente Dados de Leads: informações pessoais dos prospects e clientes do Cliente (nomes, números de telefone, conteúdo de conversas, preferências, orçamentos, detalhes de agendamentos) e, nas contas Enterprise, dados dos agentes autorizados do Cliente tratados sob as instruções do Cliente.
- "Leis de Proteção de Dados" significa todas as leis aplicáveis ao tratamento de Dados Pessoais sob este DPA, que podem incluir, dependendo do mercado do Cliente: a Lei 1581 de 2012 e o Decreto 1377 de 2013 da Colômbia; a LGPD do Brasil (Lei 13.709/2018); a LFPDPPP do México; as leis estaduais de privacidade aplicáveis dos EUA (p. ex., a CCPA/CPRA da Califórnia); a PIPEDA do Canadá; e qualquer outra legislação aplicável de proteção de dados ou privacidade.
- "Tratamento", "Controlador", "Operador", "Titular", "Incidente com Dados Pessoais" e termos similares têm os significados atribuídos pelas Leis de Proteção de Dados aplicáveis (incluindo equivalentes locais como "responsable", "encargado" e "titular").
- "Suboperador" significa um terceiro contratado pela Brokly para tratar Dados Pessoais em nome do Cliente.
2. Papéis e Escopo
2.1 Papéis. Para os Dados Pessoais cobertos por este DPA, o Cliente é o Controlador (ou um operador que atua em nome de um controlador terceiro, caso em que o Cliente garante que possui a autoridade necessária) e a Brokly é o Operador. O objeto, a duração, a natureza e a finalidade do tratamento, as categorias de Dados Pessoais e as categorias de Titulares são descritos no Anexo 1.
2.2 Dados da conta do Cliente excluídos. Os dados pessoais em relação aos quais a Brokly é o controlador (a própria conta, faturamento e dados de uso do Cliente) são regidos pela Política de Privacidade da Brokly, não por este DPA.
2.3 Responsabilidades do Cliente. O Cliente é responsável por (a) a exatidão, qualidade e licitude dos Dados Pessoais e os meios pelos quais foram obtidos; (b) fornecer todos os avisos legalmente exigidos aos Titulares (incluindo seus Leads) e obter todos os consentimentos e autorizações exigidos deles, para o tratamento descrito no Anexo 1, incluindo o tratamento por meio de conversas automatizadas/assistidas por IA; (c) emitir instruções de tratamento lícitas; e (d) cumprir quaisquer obrigações de registro ou documentação que lhe sejam aplicáveis como Controlador (p. ex., o registro de bancos de dados junto ao RNBD da Colômbia quando aplicável).
3. Instruções de Tratamento
3.1 A Brokly tratará os Dados Pessoais somente (a) para prestar, manter, proteger e dar suporte ao Serviço em conformidade com o Acordo; (b) conforme documentado neste DPA e seus Anexos; e (c) de acordo com as demais instruções lícitas documentadas do Cliente, incluindo as instruções dadas por meio das ferramentas de configuração do Serviço. O Acordo, este DPA e o uso das funcionalidades do Serviço pelo Cliente constituem as instruções completas do Cliente.
3.2 A Brokly informará o Cliente se, em sua opinião, uma instrução infringir as Leis de Proteção de Dados aplicáveis, e poderá suspender a execução dessa instrução até que seja esclarecida.
3.3 Sem venda. A Brokly não venderá os Dados Pessoais, nem os reterá, usará ou divulgará fora da relação comercial direta com o Cliente ou para qualquer finalidade que não seja a prestação do Serviço (exceto conforme permitido para dados desidentificados sob a Seção 9 e conforme exigido por lei). Quando a CCPA/CPRA for aplicável, a Brokly atua como "prestador de serviços" (service provider) e certifica que compreende e cumprirá essas restrições.
4. Confidencialidade
A Brokly garante que o pessoal autorizado a tratar Dados Pessoais está sujeito a obrigações de confidencialidade (contratuais ou legais) e acessa os Dados Pessoais somente com base na necessidade de conhecer para as finalidades do Acordo.
5. Segurança
5.1 A Brokly implementa e mantém medidas técnicas e organizacionais apropriadas, projetadas para proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilícitos, conforme descrito no Anexo 2. Essas medidas levam em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do tratamento.
5.2 A Brokly poderá atualizar as medidas do Anexo 2 de tempos em tempos, desde que as atualizações não reduzam materialmente o nível geral de proteção.
5.3 O Cliente é responsável por proteger suas próprias credenciais, dispositivos, gestão de acessos de usuários e escolhas de configuração.
6. Suboperadores
6.1 Autorização geral. O Cliente autoriza a Brokly a contratar Suboperadores para prestar o Serviço. Os Suboperadores atuais da Brokly estão listados no Anexo 3 (incluindo AWS, PlanetScale, Cloudflare, Stripe, Kapso/Meta, OpenAI e Google).
6.2 Requisitos. A Brokly (a) imporá a cada Suboperador obrigações de proteção de dados materialmente não menos protetivas do que as deste DPA, na medida aplicável aos serviços prestados; e (b) permanecerá responsável perante o Cliente pelo cumprimento das obrigações de seus Suboperadores.
6.3 Alterações. A Brokly notificará o Cliente (p. ex., por e-mail ou atualizando a página de Suboperadores com um mecanismo de notificação) com pelo menos 15 dias de antecedência antes de autorizar um novo Suboperador a tratar Dados Pessoais. O Cliente poderá objetar por motivos razoáveis de proteção de dados dentro desse prazo; as partes trabalharão de boa-fé para resolver a objeção (p. ex., uma configuração alternativa) e, se nenhuma solução estiver razoavelmente disponível, o Cliente poderá encerrar a assinatura afetada e receber um reembolso proporcional das tarifas pré-pagas não utilizadas como seu recurso exclusivo.
7. Assistência ao Cliente
7.1 Solicitações dos Titulares. Levando em conta a natureza do tratamento, a Brokly assistirá o Cliente, por meio da funcionalidade do Serviço (ferramentas de exportação, correção, exclusão) e, quando necessário, com assistência adicional razoável, no cumprimento das obrigações do Cliente de responder às solicitações dos Titulares (acesso, correção, exclusão, oposição, portabilidade e equivalentes locais como "consultas e reclamações"). Se um Titular contatar a Brokly diretamente a respeito de dados tratados sob este DPA, a Brokly, quando o Titular identificar o Cliente, encaminhará a solicitação ao Cliente sem demora indevida e não responderá quanto ao mérito, exceto conforme instruído pelo Cliente ou exigido por lei.
7.2 Assistência em conformidade. Levando em conta a natureza do tratamento e as informações disponíveis para ela, a Brokly fornecerá assistência razoável com as obrigações do Cliente quanto à segurança, à notificação de incidentes e às avaliações de impacto à proteção de dados, quando exigido pelas Leis de Proteção de Dados aplicáveis.
8. Incidente com Dados Pessoais
A Brokly notificará o Cliente sem demora indevida após tomar conhecimento de um Incidente com Dados Pessoais que afete os Dados Pessoais tratados sob este DPA, e, em qualquer caso, dentro do prazo exigido pela lei aplicável. A notificação descreverá, na medida em que for conhecido: a natureza do incidente, as categorias e o número aproximado de Titulares e registros afetados, as prováveis consequências, as medidas tomadas ou propostas e um ponto de contato. A Brokly tomará medidas razoáveis para conter e remediar o incidente. A notificação da Brokly não constitui reconhecimento de culpa ou responsabilidade. O Cliente é responsável por quaisquer notificações às autoridades ou aos Titulares que lhe caibam como Controlador.
9. Dados Desidentificados; Melhoria do Serviço
O Cliente reconhece e instrui que a Brokly poderá criar dados desidentificados e/ou agregados a partir dos Dados Pessoais — tais como padrões de interação, estruturas de conversa, fluxos de qualificação e métricas de resultados — e usá-los para melhorar os modelos, prompts e o Serviço da Brokly, desde que (a) tais dados não identifiquem, nem possam razoavelmente ser usados para identificar, o Cliente ou qualquer Titular; (b) a Brokly mantenha e não tente reverter a desidentificação; e (c) informações pessoais sensíveis sejam excluídas dos conjuntos de dados de melhoria. Dados desidentificados não são Dados Pessoais sob este DPA.
10. Transferências Internacionais
O Cliente reconhece que os Dados Pessoais serão tratados nos Estados Unidos e em outros países onde operam os Suboperadores da Brokly. A Brokly (a) transferirá Dados Pessoais somente a Suboperadores sujeitos a proteções contratuais consistentes com a Seção 6.2; e (b) quando as Leis de Proteção de Dados aplicáveis exigirem um mecanismo de transferência específico ou salvaguardas adicionais para transferências internacionais, cooperará com o Cliente para implementá-los (incluindo a celebração de cláusulas contratuais padrão ou equivalentes locais quando exigido). O Cliente, como Controlador, é responsável por confirmar que a transferência é permitida sob sua lei local e por obter quaisquer autorizações exigidas dos Titulares ou das autoridades.
11. Auditorias e Informações
11.1 Mediante solicitação por escrito do Cliente (não mais de uma vez por período de 12 meses, salvo um Incidente com Dados Pessoais ou evidência de descumprimento material), a Brokly disponibilizará as informações razoavelmente necessárias para demonstrar o cumprimento deste DPA, que poderão incluir documentação de segurança, certificações ou resumos de auditorias de terceiros quando disponíveis.
11.2 Se as informações fornecidas forem insuficientes e as Leis de Proteção de Dados aplicáveis concederem ao Cliente um direito de auditoria, o Cliente (ou um auditor independente sujeito a confidencialidade, que não seja concorrente da Brokly) poderá realizar uma auditoria às expensas do Cliente, durante o horário comercial, com aviso de pelo menos 30 dias, de uma forma que não interrompa as operações da Brokly nem comprometa os dados de outros clientes.
12. Devolução e Exclusão
Após o encerramento ou expiração do Acordo, ou após a exclusão pelo Cliente de Dados Pessoais específicos ou de sua conta, a Brokly excluirá os Dados Pessoais de seus bancos de dados de produção dentro de 15 dias úteis, exceto (a) os dados que a Brokly deva reter sob a lei aplicável (retidos apenas pelo tempo exigido e depois excluídos), e (b) as cópias residuais em backups criptografados, excluídas no ciclo ordinário de rotação de backups e não restauradas para produção, exceto para recuperação de desastres. Durante a vigência ativa (incluindo qualquer período de acesso posterior ao cancelamento), o Cliente poderá exportar seus Dados Pessoais usando as ferramentas do Serviço ou mediante solicitação. Mediante solicitação por escrito do Cliente, a Brokly confirmará a exclusão por escrito.
13. Contas Enterprise
Nas contas Enterprise, o Controlador é a entidade contratante (agência, firma ou incorporadora), e os Dados Pessoais tratados sob a conta — incluindo os dados relativos aos agentes individuais da entidade que atuam como Usuários — são tratados sob as instruções da entidade. A entidade é responsável por suas autorizações internas, pela gestão de papéis e pela base legal para o tratamento dos dados de seus agentes e Leads.
14. Responsabilidade; Vigência; Gerais
14.1 A responsabilidade de cada parte sob este DPA está sujeita às limitações e exclusões de responsabilidade estabelecidas no Acordo, que se aplicam de forma agregada ao conjunto do Acordo e deste DPA, exceto na medida em que as Leis de Proteção de Dados aplicáveis proíbam tal limitação.
14.2 Este DPA entra em vigor com a aceitação do Acordo (ou a assinatura deste DPA, se assinado separadamente) e permanece em vigor enquanto a Brokly tratar Dados Pessoais em nome do Cliente.
14.3 Se qualquer disposição deste DPA for inválida sob as Leis de Proteção de Dados aplicáveis, as partes a substituirão por uma disposição válida que reflita da forma mais próxima possível sua intenção; o restante permanece em vigor. Este DPA é regido pela lei que rege o Acordo, exceto quando as Leis de Proteção de Dados aplicáveis dispuserem de outra forma de modo obrigatório.
ANEXO 1 — DETALHES DO TRATAMENTO
Objeto: Provisão da plataforma Brokly: um serviço de operações potencializado por IA para profissionais imobiliários que responde, qualifica e agenda os leads do Cliente via WhatsApp e gerencia o pipeline, o inventário e a agenda do Cliente.
Duração: A vigência do Acordo mais o período de exclusão da Seção 12.
Natureza e finalidade do tratamento: Recebimento, armazenamento, análise e geração de mensagens conversacionais; qualificação e pontuação de leads; correspondência de imóveis com o inventário do Cliente; agendamento de compromissos e lembretes; criação e atualização de registros de CRM/pipeline; relatórios ao Cliente; segurança e suporte.
Categorias de Titulares:
- Os prospects, leads e clientes do Cliente ("Leads");
- Os usuários/agentes autorizados do Cliente (contas Enterprise);
- Outras pessoas cujos dados o Cliente envia por meio do Serviço (p. ex., proprietários ou locatários referenciados em anúncios ou conversas).
Categorias de Dados Pessoais:
- Dados de identificação e contato: nome, número de telefone, identificadores de WhatsApp, e-mail quando fornecido;
- Conteúdo e metadados de conversas (marcações de data e hora, canal);
- Dados de preferência comercial: interesses em imóveis, orçamento, zonas desejadas, uso pretendido, composição do domicílio conforme declarado voluntariamente pelo Lead;
- Dados de compromissos e visitas: datas, horários, locais, status de comparecimento;
- Dados de pipeline/CRM: etapa, notas, pontuações de qualificação;
- Dados de proprietários/locatários incluídos em anúncios ou registros de transações, conforme enviados pelo Cliente.
Dados sensíveis: Não se pretende tratá-los. O Cliente não deve enviar nem solicitar categorias sensíveis de dados (saúde, biometria, origem racial ou étnica, crenças religiosas ou políticas, etc.) nem dados de menores como Leads. Dados sensíveis incidentais fornecidos voluntariamente por um Titular em mensagens de texto livre serão armazenados como parte da conversa, mas são excluídos dos conjuntos de dados de melhoria do Serviço conforme a Seção 9.
ANEXO 2 — MEDIDAS TÉCNICAS E ORGANIZACIONAIS
- Criptografia: Dados Pessoais criptografados em trânsito (TLS) entre os clientes, a plataforma e os Suboperadores; criptografia em repouso na infraestrutura gerenciada (AWS/PlanetScale).
- Controle de acesso: Acesso baseado em papéis; acesso aos dados de produção limitado ao pessoal autorizado com base na necessidade de conhecer; requisitos de autenticação para o acesso do pessoal; registro (logging) do acesso administrativo.
- Segurança de rede e infraestrutura: Infraestrutura de nuvem gerenciada (AWS, Cloudflare) com proteções de rede, mitigação de DDoS e segregação de ambientes entre produção e não produção.
- Segurança de aplicações: Práticas de desenvolvimento seguro; gestão de dependências e vulnerabilidades; isolamento de inquilinos (tenant isolation) para que cada Cliente acesse somente seus próprios dados.
- Gestão de Suboperadores: Requisitos contratuais de proteção de dados; restrição de que os provedores de modelos de IA usem os Dados Pessoais para seu próprio treinamento; exclusão das informações pessoais sensíveis dos dados enviados para fins de melhoria.
- Backups e resiliência: Backups criptografados com rotação definida; procedimentos de recuperação de desastres.
- Resposta a incidentes: Procedimentos para detectar, escalar, conter e notificar Incidentes com Dados Pessoais (Seção 8).
- Minimização e retenção de dados: Coleta limitada ao que o Serviço requer; exclusão conforme a Seção 12; desidentificação/agregação antes do uso para melhoria do Serviço.
- Pessoal: Compromissos de confidencialidade; expectativas de conscientização em segurança para o pessoal com acesso a dados.
ANEXO 3 — SUBOPERADORES AUTORIZADOS (em 6 de julho de 2026)
| Suboperador | Finalidade | Local de tratamento |
|---|---|---|
| Amazon Web Services (AWS) | Hospedagem e armazenamento em nuvem | Estados Unidos [/other regions used] |
| PlanetScale | Banco de dados gerenciado | Estados Unidos [/other regions used] |
| Cloudflare | Infraestrutura de rede, CDN e segurança | Global (rede edge) |
| Stripe | Processamento de pagamentos (dados de faturamento do Cliente) | Estados Unidos |
| Kapso | Provedor de Soluções de WhatsApp Business (transmissão de mensagens) | [Location] |
| Meta Platforms (WhatsApp Business Platform) | Infraestrutura de entrega de mensagens | Estados Unidos / global |
| OpenAI | Inferência de modelos de IA para respostas conversacionais | Estados Unidos |
| Inferência de modelos de IA para respostas conversacionais | Estados Unidos / global | |
| [Open-source model hosting provider(s)] | Inferência de modelos de IA | [Location] |
A lista atual é mantida em [URL]. A Brokly fornecerá aviso das alterações conforme a Seção 6.3.