Contrato de Tratamento de Dados (DPA)
Preâmbulo
Este Contrato de Tratamento de Dados ("DPA", "Contrato") é firmado entre:
Andressa Mariane de Lima, inscrita no CNPJ sob o nº 57.948.634/0001-98, com sede na Rua Reverendo David Rose de Carvalho, nº 187, Residencial Boa Vista, Jacutinga/MG, CEP 37590-000, doravante denominada "Grupo Hoxus", "Hoxus" ou "Operador"; e
a pessoa jurídica ou pessoa natural que contrata o Hoxus ERP e aceita os respectivos Termos de Uso, doravante denominada "Cliente Contratante" ou "Controlador".
Operador e Controlador, individualmente, denominados "Parte" e, em conjunto, "Partes".
Este DPA constitui parte integrante e inseparável dos Termos de Uso do Hoxus ERP e regula o tratamento de dados pessoais de terceiros (clientes, fornecedores, funcionários e demais titulares) que o Cliente Contratante venha a inserir, processar ou armazenar nas plataformas do Grupo Hoxus, observada a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD") e a demais legislação aplicável.
1. Definições
Para os fins deste DPA, os termos abaixo terão os seguintes significados, sem prejuízo das demais definições previstas na LGPD:
ANPD: Autoridade Nacional de Proteção de Dados.
Dados Pessoais: informações relacionadas a pessoa natural identificada ou identificável tratadas pelo Operador em nome do Controlador no âmbito deste DPA.
Dados Pessoais Sensíveis: aqueles definidos pelo art. 5º, II, da LGPD.
Incidente de Segurança: qualquer evento que possa acarretar risco ou dano relevante aos titulares, incluindo acesso não autorizado, divulgação, alteração ou perda dos Dados Pessoais.
Subprocessador: terceiro contratado pelo Operador para auxiliar na execução dos serviços e que, nessa condição, trata Dados Pessoais em nome do Controlador.
Titular: pessoa natural a quem se referem os Dados Pessoais.
2. Objeto e papéis das Partes
2.1. Este DPA tem por objeto regular o tratamento, pelo Operador, dos Dados Pessoais que o Controlador inserir, processar ou armazenar nas plataformas do Grupo Hoxus, durante a vigência dos Termos de Uso do Hoxus ERP.
2.2. Para os fins da LGPD, as Partes reconhecem que:
- o Controlador é o responsável pelas decisões referentes ao tratamento dos Dados Pessoais, inclusive quanto à finalidade, base legal, coleta e relacionamento com os Titulares;
- o Operador trata os Dados Pessoais exclusivamente em nome e segundo as instruções do Controlador, conforme definido neste DPA e nos Termos de Uso do Hoxus ERP.
2.3. O Controlador é o único responsável por garantir que possui base legal adequada para o tratamento dos Dados Pessoais inseridos nas plataformas, inclusive quanto à obtenção do consentimento dos Titulares quando aplicável, e por manter políticas de privacidade próprias junto aos seus Titulares.
2.4. O Operador não tomará decisões sobre a finalidade do tratamento e não utilizará os Dados Pessoais do Controlador para finalidades próprias, ressalvadas as hipóteses expressamente previstas neste DPA e na legislação aplicável.
3. Natureza, duração e finalidade do tratamento
3.1. Finalidade: o Operador tratará os Dados Pessoais exclusivamente para viabilizar a prestação dos serviços do Hoxus ERP ao Controlador — incluindo gestão de pedidos, estoque, emissão de notas fiscais, atendimento ao cliente, integração com canais de venda, intermediação logística e demais funcionalidades contratadas.
3.2. Duração: o tratamento ocorrerá durante toda a vigência dos Termos de Uso do Hoxus ERP, observadas as obrigações posteriores ao término previstas na Cláusula 12.
3.3. Categorias de Titulares: clientes do Controlador, fornecedores do Controlador, funcionários e colaboradores do Controlador, e demais pessoas naturais cujos dados sejam inseridos nas plataformas pelo Controlador.
3.4. Categorias de Dados Pessoais: a título exemplificativo — dados cadastrais (nome, CPF/CNPJ, endereço, telefone, e-mail), dados de pedidos e transações, dados fiscais, conteúdo de mensagens de atendimento, dados de pagamento processados via parceiro de pagamentos, dados de produtos e estoque.
3.5. Dados Sensíveis: o Operador não trata Dados Pessoais Sensíveis de forma estruturada. O Controlador se compromete a não inserir Dados Pessoais Sensíveis em campos não destinados a essa finalidade e a orientar os Titulares para que não trafeguem tais dados pelo canal de atendimento integrado ao WhatsApp.
4. Obrigações do Operador
O Operador se compromete a:
- Tratar os Dados Pessoais exclusivamente conforme as instruções do Controlador e as finalidades descritas na Cláusula 3, salvo quando obrigado por lei ou ordem de autoridade competente;
- Adotar medidas técnicas e organizacionais de segurança adequadas, conforme descritas na Cláusula 9, para proteger os Dados Pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida;
- Assegurar que as pessoas autorizadas a tratar os Dados Pessoais estejam sujeitas a dever de confidencialidade;
- Auxiliar o Controlador, na medida do razoável, no atendimento às solicitações dos Titulares relativas aos direitos previstos no art. 18 da LGPD;
- Auxiliar o Controlador no cumprimento das obrigações relativas a relatórios de impacto, comunicações de incidentes e demais demandas de autoridades competentes, quando aplicável;
- Notificar o Controlador, na hipótese de Incidente de Segurança que envolva os Dados Pessoais, conforme a Cláusula 10;
- Manter registros internos das operações de tratamento realizadas;
- Não utilizar os Dados Pessoais para finalidades próprias dissociadas da prestação dos serviços ao Controlador.
5. Obrigações do Controlador
O Controlador se compromete a:
- Tratar os Dados Pessoais com observância da LGPD e da demais legislação aplicável, inclusive quanto à definição de finalidades, bases legais e prazos de retenção próprios;
- Manter política de privacidade própria, transparente e acessível aos seus Titulares, descrevendo o tratamento que realiza;
- Obter o consentimento dos Titulares ou identificar outra base legal adequada, quando exigido por lei;
- Responder às solicitações dos Titulares relativas aos dados sob sua responsabilidade, inclusive aos direitos previstos no art. 18 da LGPD;
- Não inserir Dados Pessoais Sensíveis em campos do Hoxus ERP não destinados a tal finalidade, e orientar seus contatos a não trafegar dados sensíveis ou dados de pagamento pelo canal de atendimento integrado ao WhatsApp;
- Manter as suas credenciais de acesso em sigilo, sendo responsável por qualquer operação realizada com a sua conta;
- Indicar Encarregado pelo Tratamento de Dados (DPO) próprio, conforme aplicável à sua operação;
- Notificar prontamente o Operador caso identifique uso indevido, comprometimento de credenciais ou Incidente de Segurança relacionado à sua conta.
6. Subprocessadores
6.1. O Controlador autoriza expressamente o Operador a contratar subprocessadores para auxiliar na execução dos serviços, desde que o Operador imponha a eles obrigações de proteção de dados ao menos equivalentes às assumidas neste DPA.
6.2. O Operador permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações de proteção de dados por seus subprocessadores.
6.3. Os subprocessadores atualmente contratados pelo Operador são:
| Subprocessador | Categoria | Finalidade |
|---|---|---|
| Asaas (Asaas Gestão Financeira S.A.) | Pagamentos | Processamento de pagamentos e repasses, incluindo assinatura do Hoxus, pagamentos no Nexr e repasses do frete na Dicato. |
| Z-API (Z-API Tecnologia Ltda.) | Comunicação | Viabilização técnica da integração com WhatsApp utilizada na funcionalidade de atendimento. |
| Provedor de hospedagem em nuvem | Infraestrutura | Hospedagem dos dados e da infraestrutura técnica das plataformas, em servidores localizados no Brasil. |
6.4. O Operador comunicará ao Controlador, com antecedência mínima de 30 (trinta) dias, a inclusão ou substituição de subprocessadores, por meio de aviso na plataforma ou comunicação ao e-mail cadastrado.
6.5. O Controlador poderá opor-se à inclusão ou substituição de subprocessadores, manifestando-se por escrito durante o prazo de aviso. Não havendo manifestação no prazo, considera-se aceita a alteração.
6.6. Caso o Controlador se oponha a um novo subprocessador, e não seja possível ao Operador alcançar uma solução alternativa razoável, o Controlador poderá rescindir os Termos de Uso do Hoxus ERP, observada a Cláusula 12 quanto à devolução dos Dados Pessoais.
7. Operações de dropshipping e integração com marketplaces
7.1. Esta Cláusula aplica-se aos Clientes Contratantes que utilizam o Hoxus para operações de dropshipping, sejam eles Droppers (responsáveis pelo anúncio e venda dos produtos em marketplaces) ou Fornecedores (responsáveis pela disponibilização e despacho dos produtos).
7.2. Nessas operações, o Cliente Contratante reconhece que:
- Os marketplaces integrados (atualmente o Mercado Livre, e, conforme integrações futuras, Shopee, TikTok Shop, Shein, Temu, Magalu, Amazon e outros) atuam como controladores iniciais dos dados dos consumidores finais, segundo as próprias políticas e termos;
- O Dropper, ao receber os dados do consumidor final por meio da integração com o marketplace e figurar como remetente na nota fiscal e na entrega, é o controlador dos dados do consumidor final para fins de cumprimento da relação de consumo e da LGPD;
- O Fornecedor, ao receber dados do consumidor final do Dropper exclusivamente para a separação e o despacho do produto, deve limitar o tratamento a essa finalidade;
- O Grupo Hoxus, ao processar tecnicamente o fluxo de pedidos entre o marketplace e o Cliente Contratante, atua como operador segundo as instruções deste.
7.3. O Cliente Contratante se compromete a cumprir os Termos de Uso e as políticas de cada marketplace integrado, inclusive quanto ao uso dos dados dos consumidores finais, sendo o único responsável pela manutenção de cadastro válido e em conformidade junto a cada plataforma.
7.4. O Cliente Contratante é responsável pelo atendimento das obrigações decorrentes do Código de Defesa do Consumidor e demais legislações aplicáveis perante o consumidor final, incluindo o atendimento das solicitações de direitos previstas no art. 18 da LGPD.
7.5. O Grupo Hoxus não se responsabiliza por descumprimento, pelo Cliente Contratante, dos Termos de Uso dos marketplaces, nem por sanções, bloqueios ou exclusões de conta aplicadas por essas plataformas em decorrência de conduta do Cliente Contratante.
7.6. A integração técnica do Hoxus com cada marketplace é viabilizada por meio das respectivas APIs oficiais. Eventuais alterações, indisponibilidades ou descontinuidades dessas APIs estão fora do controle do Grupo Hoxus e poderão afetar o funcionamento da integração.
8. Transferência internacional de dados
8.1. Os Dados Pessoais tratados no âmbito deste DPA são armazenados em infraestrutura localizada no Brasil.
8.2. Caso, no futuro, o Operador venha a utilizar subprocessadores que armazenem ou processem Dados Pessoais fora do Brasil, adotará as salvaguardas previstas no Capítulo V da LGPD e comunicará a alteração ao Controlador conforme a Cláusula 6.4.
9. Medidas técnicas e organizacionais de segurança
O Operador adota, no mínimo, as seguintes medidas de segurança para proteger os Dados Pessoais:
- Controle de acesso por autenticação individualizada com usuário e senha;
- Criptografia das comunicações em trânsito (HTTPS/TLS);
- Segregação de ambientes de produção, homologação e desenvolvimento;
- Backups regulares e procedimentos de restauração;
- Registros de acesso e logs de auditoria;
- Dever de confidencialidade contratualmente imposto a colaboradores e prestadores;
- Procedimentos internos para identificação, contenção e resposta a Incidentes de Segurança;
- Atualização periódica de sistemas e revisão de vulnerabilidades.
As medidas de segurança poderão ser atualizadas a qualquer tempo, desde que mantido nível de proteção ao menos equivalente.
10. Incidentes de Segurança
10.1. O Operador notificará o Controlador, sem demora injustificada e no prazo máximo de 72 (setenta e duas) horas a partir da ciência do evento, sobre Incidente de Segurança que envolva os Dados Pessoais tratados em nome do Controlador.
10.2. A notificação conterá, na medida das informações disponíveis no momento:
- Descrição do Incidente, incluindo natureza e momento da ocorrência;
- Categorias e número aproximado de Titulares e de registros afetados;
- Possíveis consequências para os Titulares;
- Medidas adotadas ou propostas para conter e mitigar os efeitos do Incidente;
- Dados de contato para informações adicionais.
10.3. Caso, no momento da notificação inicial, as informações ainda não estejam plenamente disponíveis, o Operador as fornecerá ao Controlador em comunicações subsequentes, à medida que forem apuradas.
10.4. A comunicação à ANPD e aos Titulares, quando exigida pela LGPD, é responsabilidade do Controlador, que poderá contar com o auxílio razoável do Operador.
11. Direitos dos Titulares
11.1. As solicitações de Titulares relativas aos direitos previstos no art. 18 da LGPD — confirmação, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento e revogação de consentimento — devem ser direcionadas ao Controlador.
11.2. Caso o Operador receba diretamente uma solicitação de Titular, encaminhará a demanda ao Controlador no prazo razoável e prestará o auxílio razoável para o atendimento.
11.3. O Operador disponibiliza ao Controlador, por meio do Hoxus ERP, funcionalidades que permitem acessar, corrigir, exportar e eliminar Dados Pessoais, viabilizando o atendimento das solicitações dos Titulares pelo próprio Controlador.
12. Término do tratamento e devolução dos dados
12.1. Encerrados os Termos de Uso do Hoxus ERP, por qualquer motivo:
- Nos 30 (trinta) dias seguintes ao encerramento, o Controlador poderá solicitar a exportação dos Dados Pessoais sob sua responsabilidade, em formato estruturado e de uso comum. O Operador disponibilizará a exportação por meio das funcionalidades do Hoxus ERP ou, quando necessário, mediante solicitação ao canal de privacidade.
- Findo o prazo de 30 (trinta) dias sem solicitação de exportação, o Operador iniciará o procedimento de eliminação dos Dados Pessoais.
- Até 90 (noventa) dias após o encerramento, o Operador concluirá a eliminação dos Dados Pessoais de seus sistemas, incluindo backups e ambientes de réplica, observados os ciclos técnicos de rotação.
12.2. Excetuam-se da eliminação os Dados Pessoais cuja conservação seja exigida por obrigação legal ou regulatória (notas fiscais, registros contábeis, dados tributários, entre outros), os quais serão mantidos pelos prazos legais e tratados apenas para esse fim.
12.3. As conversas armazenadas por meio da funcionalidade de atendimento integrada ao WhatsApp seguem o prazo específico de 24 (vinte e quatro) meses contados da última mensagem, conforme indicado na Política de Privacidade, sendo o procedimento de eliminação pós-cancelamento descrito no item 12.1 também aplicável.
12.4. A pedido do Controlador, o Operador fornecerá declaração confirmando a eliminação dos Dados Pessoais ao término do procedimento.
13. Demonstração de conformidade
13.1. O Operador disponibilizará, mediante solicitação razoável e justificada do Controlador, as informações necessárias para demonstrar o cumprimento das obrigações previstas neste DPA.
13.2. O direito de auditoria do Controlador poderá ser exercido por meio de questionários, certificações ou relatórios de auditoria que o Operador venha a possuir, evitando-se acessos diretos a sistemas ou instalações sempre que possível, de modo a preservar a segurança da operação e a confidencialidade de outros Controladores.
13.3. Eventuais auditorias presenciais, quando estritamente necessárias e juridicamente exigidas, deverão ser previamente acordadas entre as Partes, com aviso mínimo de 30 (trinta) dias, sem prejuízo das obrigações de confidencialidade.
14. Responsabilidade
14.1. Cada Parte responde por danos decorrentes do descumprimento das obrigações que lhe são atribuídas por este DPA e pela LGPD.
14.2. Os limites de responsabilidade previstos nos Termos de Uso do Hoxus ERP aplicam-se também a este DPA, salvo nas hipóteses em que a LGPD vede tal limitação.
14.3. Caso uma das Partes seja condenada ao pagamento de indenização decorrente exclusivamente do descumprimento da outra Parte, terá direito de regresso contra a Parte inadimplente, observados os limites legais e contratuais aplicáveis.
15. Vigência e disposições finais
15.1. Este DPA tem vigência atrelada à dos Termos de Uso do Hoxus ERP, mantendo-se em vigor enquanto durar a relação contratual entre as Partes e pelo prazo necessário ao cumprimento das obrigações pós-término previstas na Cláusula 12.
15.2. Em caso de conflito entre este DPA e os Termos de Uso do Hoxus ERP quanto a matérias de proteção de dados pessoais, prevalecerão as disposições deste DPA.
15.3. O Operador poderá atualizar este DPA periodicamente, observado o aviso prévio mínimo de 30 (trinta) dias ao Controlador, sendo aplicável a esse aviso o regime previsto na Cláusula 6.5 (silêncio implica aceitação, observado o direito de rescisão).
15.4. Fica eleito o foro da comarca de Jacutinga/MG, com renúncia a qualquer outro, por mais privilegiado que seja, para dirimir quaisquer controvérsias decorrentes deste DPA.
16. Contato e Encarregado
Para fins deste DPA, o canal de contato com o Operador para assuntos de proteção de dados é a Encarregada pelo Tratamento de Dados Pessoais (DPO), Sra. Andressa Mariane de Lima, por meio do e-mail privacidade@hoxus.com.br.
Este DPA foi atualizado em 21 de junho de 2026.