Acordo de Processamento de Dados
Última atualização: 2026-06-13
Este Adendo de Tratamento de Dados ("DPA") integra o contrato entre a Mailmundo LLC ("Mailmundo", "Operador") e o Cliente ("Controlador") e rege o tratamento, pela Mailmundo, de dados pessoais em nome do Cliente quando este utiliza o Serviço para enviar email aos seus próprios contatos. Ele foi concebido para apoiar a conformidade com as leis de proteção de dados aplicáveis, incluindo o GDPR da UE/Reino Unido, a LGPD e as leis estaduais de privacidade dos EUA (como CCPA/CPRA, VCDPA, CPA, CTDPA, UCPA e TDPSA). Esta página é informativa e não constitui aconselhamento jurídico; consulte seu advogado quanto às suas obrigações específicas. Em caso de conflito entre este DPA e os Termos quanto ao tratamento dos Dados Pessoais do Cliente, prevalece este DPA.
1. Papéis das Partes
Com relação aos dados de destinatários e contatos que o Cliente carrega, importa ou de outra forma fornece por meio do Serviço ("Dados Pessoais do Cliente"), o Cliente é o controlador (ou "empresa"/"controlador" sob a legislação estadual dos EUA) e determina as finalidades e os meios do tratamento, e a Mailmundo é o operador (ou "prestador de serviço"/"operador") que trata tais dados apenas conforme as instruções documentadas do Cliente. Quando a Mailmundo trata dados sobre a própria conta e cobrança do Cliente, a Mailmundo atua como controladora, regida por sua Política de Privacidade. A Mailmundo não venderá nem compartilhará os Dados Pessoais do Cliente, não os reterá, utilizará ou divulgará para qualquer finalidade que não seja a execução do Serviço ou conforme permitido por lei, e não os combinará com dados de outras fontes, exceto conforme permitido pela lei aplicável.
2. Escopo, Natureza e Finalidade do Tratamento
A Mailmundo trata os Dados Pessoais do Cliente para fornecer o Serviço: armazenando listas de contatos; enviando campanhas de email via AWS SES; tratando devoluções, aberturas, cliques, cancelamentos de inscrição e reclamações; mantendo listas de supressão; gerando análises; e prestando suporte e segurança correlatos. As categorias de titulares de dados são os destinatários e contatos do Cliente; as categorias de dados pessoais normalmente incluem endereços de email, nomes e quaisquer campos personalizados e metadados de engajamento que o Cliente opte por carregar. O tratamento prossegue pela duração do contrato. O Cliente instrui a Mailmundo a tratar os Dados Pessoais do Cliente conforme necessário para fornecer o Serviço e conforme de outra forma documentado no contrato; a Mailmundo notificará o Cliente se entender que uma instrução viola a lei aplicável.
3. Obrigações do Operador
A Mailmundo: (a) tratará os Dados Pessoais do Cliente apenas conforme as instruções documentadas do Cliente, inclusive para transferências internacionais, salvo se exigido por lei (caso em que notificará o Cliente, salvo proibição legal); (b) assegurará que as pessoas autorizadas a tratar os dados estejam vinculadas a confidencialidade; (c) implementará medidas técnicas e organizacionais de segurança apropriadas (Seção 5); (d) auxiliará o Cliente, considerando a natureza do tratamento, com solicitações de titulares de dados, segurança, notificação de violação, avaliações de impacto à proteção de dados e consultas a autoridades; e (e) disponibilizará as informações necessárias para demonstrar conformidade com este DPA. O Cliente é responsável pela licitude dos dados que carrega, pela obtenção de todos os consentimentos necessários e pelo conteúdo e destinatários de suas campanhas.
4. Suboperadores
O Cliente fornece autorização geral para que a Mailmundo contrate suboperadores para fornecer o Serviço, incluindo a Amazon Web Services (hospedagem e entrega de email AWS SES), a Supabase/PostgreSQL (hospedagem de banco de dados) e a Stripe (faturamento). A Mailmundo impõe a cada suboperador obrigações de proteção de dados não menos protetivas do que as deste DPA e permanece responsável pelo desempenho de seus suboperadores. A Mailmundo manterá uma lista atualizada de suboperadores e fornecerá aviso prévio razoável de adições ou substituições; o Cliente pode objetar por motivos razoáveis de proteção de dados, e as partes trabalharão de boa-fé para resolver a objeção, falhando o que o Cliente poderá rescindir o Serviço afetado.
5. Medidas de Segurança
A Mailmundo mantém salvaguardas administrativas, técnicas e físicas apropriadas ao risco, incluindo: criptografia de dados em trânsito; segurança em nível de linha (RLS) do PostgreSQL para isolar os dados de cada tenant; armazenamento de senhas e chaves de API como hashes unidirecionais; controles de acesso baseados em função (role-based) e acesso de menor privilégio; registro em log de auditoria de eventos relevantes para a segurança; e uso de provedores de infraestrutura reputados (AWS, Supabase, Stripe). A Mailmundo não possui atualmente certificação SOC 2 (a certificação consta de seu roadmap) e não alega qualquer certificação que não tenha obtido. O Cliente é responsável por configurar seu uso do Serviço de forma segura e por resguardar suas credenciais e chaves de API.
6. Solicitações de Titulares de Dados
Considerando a natureza do tratamento, a Mailmundo auxiliará o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, a responder a solicitações de titulares de dados que exerçam direitos sob a lei aplicável (acesso, exclusão, correção, portabilidade, oposição, exclusão de opção (opt-out) e similares). Se a Mailmundo receber uma solicitação diretamente de um titular de dados relativa aos Dados Pessoais do Cliente, ela, quando permitido, direcionará o indivíduo ao Cliente e não responderá, exceto conforme as instruções do Cliente ou conforme legalmente exigido. O Serviço oferece ferramentas de autoatendimento (como supressão, cancelamento de inscrição e exportação) que permitem ao Cliente atender diretamente a muitas dessas solicitações.
7. Transferências Internacionais de Dados
A Mailmundo está sediada nos Estados Unidos e trata dados lá e potencialmente em outras jurisdições. Quando Dados Pessoais do Cliente originários do EEE, do Reino Unido ou da Suíça são transferidos para um país sem decisão de adequação, as partes concordam que as Standard Contractual Clauses aplicáveis (e o UK International Data Transfer Addendum, quando relevante) são incorporadas por referência e se aplicam a tais transferências, com a Mailmundo como importadora de dados. O Cliente é responsável por assegurar que possui base legal e qualquer mecanismo de transferência exigido para os dados que encaminha por meio do Serviço. A Mailmundo prestará cooperação razoável para apoiar as obrigações de mecanismo de transferência do Cliente.
8. Notificação de Violação
A Mailmundo notificará o Cliente sem demora indevida após tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente, e fornecerá as informações razoavelmente disponíveis a ela para auxiliar o Cliente a cumprir suas próprias obrigações de notificação a autoridades e titulares de dados. Tal notificação não constitui reconhecimento de culpa ou responsabilidade. A Mailmundo tomará medidas razoáveis para investigar, mitigar e remediar a violação. O Cliente é responsável por determinar se o incidente exige notificação a reguladores ou indivíduos sob a lei aplicável e por realizar tais notificações.
9. Exclusão e Devolução de Dados
No encerramento ou expiração do contrato, e à escolha do Cliente, a Mailmundo excluirá ou devolverá os Dados Pessoais do Cliente e excluirá as cópias existentes, exceto na medida em que a retenção seja exigida pela lei aplicável ou para fins de backup, auditoria, supressão ou conformidade antispam, caso em que os dados permanecem sujeitos aos termos de confidencialidade e segurança deste DPA até serem excluídos. O Cliente é responsável por exportar seus dados antes do encerramento utilizando as ferramentas fornecidas. Os registros de supressão e cancelamento de inscrição podem ser retidos conforme necessário para honrar exclusões e demonstrar conformidade.
10. Auditoria
A Mailmundo disponibilizará ao Cliente as informações razoavelmente necessárias para demonstrar conformidade com este DPA. Mediante solicitação escrita razoável do Cliente, não mais de uma vez por ano (salvo se exigido por uma autoridade supervisora ou após uma violação), e sujeita a confidencialidade, a Mailmundo responderá a consultas de auditoria razoáveis ou fornecerá relatórios ou resumos disponíveis de suas práticas de segurança. Qualquer auditoria presencial será às custas do Cliente, agendada com aviso prévio razoável, conduzida durante o horário comercial e concebida para minimizar a perturbação e proteger os dados de outros clientes e a segurança do Serviço.
11. Vigência, Responsabilidade e Contato
Este DPA vigora enquanto a Mailmundo tratar os Dados Pessoais do Cliente em nome do Cliente e subsiste ao encerramento do contrato até que todos esses dados sejam excluídos ou devolvidos. A responsabilidade de cada parte sob este DPA está sujeita às limitações e exclusões de responsabilidade estabelecidas nos Termos de Serviço. Este DPA não exime qualquer das partes das obrigações que lhe sejam diretamente impostas pela lei de proteção de dados aplicável. Para assuntos de proteção de dados ou para exercer direitos sob este DPA, contate privacy@mailmundo.com ou o endereço publicado em nosso site.