SALUS
FOLIO · ACORDOTratamento de Dados (DPA)

Data Processing Agreement · LGPD art. 39

Entre controlador e operadora.

Última revisão

18 de maio de 2026

Natureza

Anexo aos Termos de Uso

Encarregado (DPO)

privacidade@plataformasalus.com

Preâmbulo

Opresente Acordo de Tratamento de Dados (DPA) integra os Termos de Uso e regula a relação entre o Cliente — pessoa jurídica que contrata a SALUS, doravante Controlador — e a SALUS, doravante Operadora, quanto ao tratamento de dados pessoais previsto pela Lei nº 13.709/2018 (LGPD).

Cláusula I

Objeto e papéis

O Controlador permanece responsável pelas decisões de tratamento dos dados de seus colaboradores e administradores. A Operadora trata os dados exclusivamente em nome do Controlador, conforme instruções documentadas — em especial os Termos de Uso, esta Política de Privacidade e este DPA.

Cláusula II

Natureza, finalidade e duração

  • Natureza: coleta, armazenamento, organização, estruturação, análise estatística agregada e geração de relatórios documentais.
  • Finalidade: conformidade do Controlador com a NR-01 — diagnóstico, monitoramento contínuo e gestão de riscos psicossociais.
  • Duração: enquanto vigente a contratação, prorrogando-se pelo período de retenção legal.
  • Categorias de titulares: administradores do Controlador e colaboradores convidados a responder questionários.
  • Categorias de dados: identificação cadastral, dados setoriais agregados, respostas anonimizadas a questionários, registros de acesso e auditoria.

Cláusula III

Instruções e limitação de uso

A Operadora trata os dados apenas conforme as instruções do Controlador. Não utilizará os dados pessoais para finalidades próprias, treinamento de modelos comerciais externos, ou comercialização — ressalvadas as obrigações legais e a operação técnica estritamente necessária à prestação do serviço (segurança, prevenção a fraudes, logs de auditoria).

Se entender que uma instrução do Controlador viola a LGPD, a Operadora informará prontamente e poderá suspender a execução da instrução correspondente.

Cláusula IV

Confidencialidade

A Operadora garante que todo pessoal autorizado a tratar os dados está sujeito a obrigação contratual ou legal de confidencialidade, mantida mesmo após o término do vínculo.

Cláusula V

Medidas técnicas e organizacionais

A Operadora adota, de forma demonstrável, as seguintes medidas:

  • Criptografia em repouso (AES-256) e em trânsito (TLS 1.2+).
  • Autenticação multifator obrigatória para acessos administrativos.
  • Princípio do menor privilégio na concessão de permissões internas.
  • Trilha de auditoria imutável de eventos sensíveis.
  • Backups criptografados com redundância geográfica nacional.
  • Testes periódicos de vulnerabilidade e revisão de dependências.
  • Política de resposta a incidentes documentada e exercitada.
  • Anonimização clínica por desenho — mínimo de cinco respondentes por agregação setorial.

Cláusula VI

Suboperadores

O Controlador autoriza, em caráter geral, a contratação de suboperadores estritamente necessários à prestação do serviço:

SuboperadorFinalidadeLocalização
Infraestrutura em nuvem nacionalHospedagem e armazenamentoBrasil
Provedor de e-mail transacionalConfirmações e notificaçõesBrasil / EUA*
Provedor de assinatura ICP-BrasilAssinatura digital de relatóriosBrasil
Provedor de observabilidadeLogs de aplicação e métricasBrasil

*Para suboperadores fora do Brasil, são adotadas cláusulas-padrão e salvaguardas previstas no art. 33 da LGPD. A lista atualizada é disponibilizada mediante solicitação.

A Operadora notificará o Controlador com antecedência mínima de 30 dias sobre a inclusão ou substituição de suboperadores, facultando-lhe a objeção fundamentada.

Cláusula VII

Direitos dos titulares

A Operadora auxiliará o Controlador, na medida do possível, no atendimento às requisições de titulares previstas no art. 18 da LGPD — acesso, correção, anonimização, eliminação, portabilidade, entre outros. As requisições devem ser encaminhadas ao Encarregado do Controlador, que as direciona à Operadora quando depender da plataforma.

Cláusula VIII

Incidentes de segurança

A Operadora notificará o Controlador, sem demora injustificada e preferencialmente em até 72 horas da ciência, sobre qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A notificação conterá descrição da natureza, dados afetados, medidas adotadas e ponto de contato.

A Operadora cooperará com o Controlador na comunicação à ANPD e aos titulares afetados, quando aplicável.

Cláusula IX

Auditoria

A Operadora disponibilizará, mediante solicitação razoável e com aviso prévio de 15 dias, informações necessárias à demonstração de cumprimento das obrigações deste DPA. Auditorias presenciais limitam-se a 1 (uma) por ano e devem observar requisitos de confidencialidade.

Cláusula X

Retenção e devolução

Encerrada a prestação dos serviços, a Operadora, a critério do Controlador, devolverá ou eliminará os dados pessoais, salvo guarda legal obrigatória — em especial os 5 (cinco) anos previstos para evidência de conformidade NR-01 e eventual produção de prova trabalhista.

Cláusula XI

Disposições gerais

Este DPA prevalece sobre quaisquer disposições conflitantes dos Termos de Uso quanto ao tratamento de dados pessoais. Aplica-se o foro eleito nos Termos. Eventuais alterações serão notificadas com antecedência mínima de 30 dias.

Cópia assinada do DPA

Precisa do DPA assinado para o seu jurídico?

privacidade@plataformasalus.com

Solicitar cópia

✦ COLOFÃO · SALUS — ACORDO DE TRATAMENTO DE DADOS · ED. MMXXVI · I