Adendo de Processamento de Dados

Última atualização: 15 de maio de 2026

Este DPA é incorporado por referência aos Termos de Serviço Empresarial e entra em vigor quando o Cliente aceitar os Termos de Serviço Empresarial ou utilizar o Serviço pela primeira vez após a data acima indicada, o que ocorrer primeiro. O Cliente que necessitar de uma cópia contra-assinada deste DPA em papel timbrado da empresa poderá solicitá-la por escrito a privacy@easyweek.io. A EasyWeek contra-assinará sem alterações ao conteúdo substancial deste modelo.

1. Definições

Os termos escritos em maiúscula, mas não definidos neste DPA, têm o significado atribuído nos Termos de Serviço Empresariais ou na LGPD (Lei nº 13.709/2018). Em particular:

• "LGPD" — Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).
• "Controlador", "Operador", "Titular dos Dados", "Dados Pessoais", "Incidente de Segurança com Dados Pessoais", "Tratamento", "Suboperador", "Autoridade de Proteção de Dados" — conforme definidos na LGPD (Lei nº 13.709/2018).
• "Dados Pessoais do Cliente" — Dados Pessoais que o Cliente ou seus usuários autorizados enviam ou geram por meio do Serviço e que são tratados pela EasyWeek em nome do Cliente.
• "Cláusulas Contratuais Padrão" — as Cláusulas Contratuais Padrão para a transferência de dados pessoais a países terceiros nos termos da LGPD (Lei nº 13.709/2018), adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, aplicáveis na medida em que as transferências internacionais de dados estejam sujeitas aos mecanismos previstos no art. 33 da LGPD.

2. Funções

O Cliente é o controlador dos Dados Pessoais do Cliente. A EasyWeek é a operadora e trata os Dados Pessoais do Cliente somente com base em instruções documentadas do Cliente e em conformidade com este APD, os Termos de Serviço Empresarial e a legislação aplicável, incluindo a LGPD (Lei nº 13.709/2018).

As partes reconhecem que a EasyWeek é a controladora de categorias limitadas de dados pessoais que a EasyWeek trata para suas próprias finalidades — por exemplo, credenciais de acesso de usuários autorizados, dados de faturamento e telemetria de uso do Serviço. Esse tratamento é regido pela Política de Privacidade Empresarial, e não por este APD.

3. Objeto, duração e finalidade

O objeto, a natureza, a finalidade, a duração, as categorias de Dados Pessoais e as categorias de Titulares de Dados estão descritos no Anexo I.

O DPA está em vigor enquanto o EasyWeek processar Dados Pessoais do Cliente em nome do Cliente e permanece vigente após o encerramento dos Termos de Serviço Empresariais pelo tempo necessário para o cumprimento da Seção 13.

4. Instruções do Cliente

O próprio Serviço, a configuração aplicada pelo Cliente por meio da interface do usuário e da API do Serviço, os Termos de Serviço Comerciais e este APD constituem as instruções documentadas completas e definitivas do Cliente à EasyWeek relativas ao tratamento de Dados Pessoais do Cliente. Quaisquer instruções adicionais ou diferentes requerem acordo por escrito e podem gerar taxas adicionais.

A EasyWeek informará o Cliente sem demora injustificada caso, em sua opinião, uma instrução viole a LGPD (Lei nº 13.709/2018) ou outra disposição de proteção de dados aplicável, podendo suspender a instrução contestada até o recebimento da confirmação por escrito do Cliente.

5. Confidencialidade

A EasyWeek garante que o pessoal autorizado a tratar os Dados Pessoais do Cliente assumiu compromisso de confidencialidade (ou está sujeito a uma obrigação legal adequada de confidencialidade) e está vinculado por controles de acesso e pelo princípio do mínimo privilégio. O acesso aos Dados Pessoais do Cliente é restrito ao pessoal que dele necessita para operar ou aprimorar o Serviço.

6. Segurança (MOTs)

EasyWeek implementa medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco, conforme estabelecido no Anexo II. A EasyWeek poderá atualizar suas MOTs ao longo do tempo, desde que o nível de proteção não seja reduzido.

7. Suboperadores

O Cliente concede à EasyWeek uma autorização geral por escrito para contratar Suboperadores. A lista de Suboperadores aprovados na data deste APD está definida no Anexo III e mantida em /business/subprocessors.

A EasyWeek notificará o Cliente com pelo menos trinta (30) dias de antecedência sobre qualquer adição ou substituição pretendida de Suboperadores, por meio da central de notificações no aplicativo e, quando o Cliente tiver optado por esse canal, por e-mail. O Cliente poderá opor-se com base em motivos documentados e razoáveis de proteção de dados dentro de trinta (30) dias a partir da notificação. Caso as partes não cheguem a um acordo, o Cliente poderá rescindir os Termos de Serviço Empresarial com relação à parte do Serviço que exige o Suboperador contestado, com reembolso proporcional das taxas pré-pagas referentes ao período restante.

A EasyWeek impõe obrigações de proteção de dados a cada Suboperador por meio de contrato escrito que ofereça proteção no mínimo equivalente à estabelecida neste APD. A EasyWeek permanece integralmente responsável perante o Cliente pelo cumprimento das obrigações de seus Suboperadores.

As transferências internacionais de dados pessoais para Suboperadores localizados fora do Brasil são realizadas em conformidade com o art. 33 da LGPD (Lei nº 13.709/2018), mediante mecanismos legítimos de transferência, tais como cláusulas contratuais padrão aprovadas pela ANPD — Autoridade Nacional de Proteção de Dados (https://www.gov.br/anpd/) ou outros instrumentos admitidos pela legislação brasileira vigente.

8. Transferências internacionais

Os Dados Pessoais do Cliente são processados principalmente no Espaço Econômico Europeu (EEE). Quando os Dados Pessoais do Cliente são transferidos para um país fora do EEE sem uma decisão de adequação da Comissão Europeia, as Cláusulas Contratuais Padrão (CCP) se aplicam com as seguintes seleções:

• Módulo Dois (Controlador para Operador) é incorporado por referência para transferências do Cliente (ou seu controlador no EEE) para a EasyWeek, quando a EasyWeek processa Dados Pessoais do Cliente em um país terceiro.
• Módulo Três (Operador para Operador) é incorporado por referência para transferências posteriores da EasyWeek para Suboperadores em um país terceiro.
• Cláusula 7 (Cláusula de adesão) é incluída.
• Cláusula 9(a) — Opção 2 (autorização geral por escrito, prazo de aviso de 30 dias) se aplica.
• Cláusula 11(a) — organismo independente de resolução de litígios não é selecionado.
• Cláusula 17 — a lei aplicável é a lei da Alemanha.
• Cláusula 18 — os tribunais competentes são os de Düsseldorf, Alemanha.
• Anexo I das CCP é preenchido por referência ao Anexo I deste APD.
• Anexo II das CCP é preenchido por referência ao Anexo II deste APD.
• Anexo III das CCP é preenchido por referência ao Anexo III deste APD.

Uma Avaliação de Impacto da Transferência resumindo a avaliação da EasyWeek sobre as leis do país de destino e quaisquer medidas técnicas, contratuais ou organizacionais complementares está disponível mediante solicitação em privacy@easyweek.io.

Nota sobre transferências internacionais conforme a LGPD (Lei nº 13.709/2018): Para titulares de dados brasileiros, as transferências internacionais de dados pessoais realizadas pela EasyWeek estão sujeitas aos requisitos do art. 33 da LGPD. As garantias contratuais descritas nesta seção — incluindo as Cláusulas Contratuais Padrão — constituem mecanismos de proteção adequados nos termos do art. 33, inciso II, da LGPD, na medida em que asseguram ao titular nível de proteção de dados pessoais adequado e equivalente ao previsto na Lei. Clientes que operem no Brasil e que transfiram dados pessoais de cidadãos brasileiros à EasyWeek são responsáveis por garantir que suas próprias transferências estejam em conformidade com os requisitos do art. 33 da LGPD. Dúvidas sobre os mecanismos de transferência aplicáveis podem ser encaminhadas a privacy@easyweek.io.

Para transferências ao Reino Unido, aplica-se o Adendo de Transferência Internacional de Dados do Reino Unido às CCP (emitido pelo ICO e em vigor desde 21 de março de 2022). Para transferências à Suíça, as CCP são lidas com as substituições exigidas pelo FDPIC.

9. Solicitações dos titulares dos dados

O Serviço disponibiliza funcionalidades de autoatendimento que permitem ao Cliente atender às Solicitações dos Titulares dos Dados referentes a acesso, retificação, apagamento, limitação, portabilidade e oposição. Quando um Titular dos Dados entrar em contato diretamente com a EasyWeek, a EasyWeek encaminhará a solicitação ao Cliente sem demora injustificada e não responderá ao Titular dos Dados, exceto para confirmar o recebimento e direcionar a solicitação ao Cliente.

A EasyWeek auxiliará o Cliente, levando em consideração a natureza do tratamento, por meio de medidas técnicas e organizacionais adequadas, no cumprimento da obrigação do Cliente de responder às Solicitações dos Titulares dos Dados nos termos dos arts. 17 a 22 da LGPD (Lei nº 13.709/2018).

10. Violação de dados pessoais

A EasyWeek notificará o Cliente sem demora injustificada e, em todo caso, no prazo de setenta e duas (72) horas após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente. A notificação incluirá, no mínimo, as informações exigidas pelo art. 48 da LGPD (Lei nº 13.709/2018) na medida em que forem conhecidas: a natureza da Violação, as categorias e o número aproximado de Titulares de Dados e registros afetados, as prováveis consequências e as medidas tomadas ou propostas.

A EasyWeek tomará medidas razoáveis para conter e remediar a Violação e para fornecer ao Cliente as informações necessárias para que o Cliente cumpra suas próprias obrigações de notificação perante a ANPD — Autoridade Nacional de Proteção de Dados e perante os Titulares de Dados afetados.

11. AIPD e consulta prévia

A EasyWeek prestará ao Cliente assistência razoável para qualquer Avaliação de Impacto à Proteção de Dados (AIPD) ou consulta prévia que o Cliente seja obrigado a realizar nos termos dos arts. 38 ou 39 da LGPD (Lei nº 13.709/2018), na medida em que tal assistência seja razoavelmente necessária e as informações sejam detidas pela EasyWeek.

12. Auditoria

A EasyWeek disponibilizará ao Cliente todas as informações necessárias para demonstrar a conformidade com este APD, incluindo:

• Cópias atualizadas das certificações e relatórios de auditoria mais relevantes (como ISO 27001, quando disponível, e relatórios SOC 2 tipo II dos Suboperadores relevantes).
• Respostas por escrito a um questionário de segurança razoável, uma vez por período de doze meses, sem custo.

Quando as informações acima não forem suficientes e o Cliente for obrigado pela ANPD — Autoridade Nacional de Proteção de Dados a realizar uma auditoria in loco, o Cliente poderá conduzir ou designar um auditor independente para realizar uma auditoria às expensas do Cliente, mediante aviso prévio por escrito de pelo menos sessenta (60) dias, durante o horário comercial, não mais de uma vez por período de doze meses (a menos que tenha ocorrido uma Violação de Dados Pessoais), sob obrigações razoáveis de confidencialidade e sem prejudicar as operações comerciais da EasyWeek nem a segurança dos demais clientes. O escopo da auditoria limita-se à verificação da conformidade da EasyWeek com este APD.

13. Devolução e exclusão

Dentro de trinta (30) dias após o término dos Termos de Serviço Empresariais, o Cliente poderá exportar os Dados Pessoais do Cliente por meio das ferramentas de exportação de autoatendimento fornecidas pelo Serviço. Após esse prazo de carência de trinta dias, a EasyWeek excluirá ou anonimizará os Dados Pessoais do Cliente em um prazo razoável e, em qualquer caso, dentro de noventa (90) dias, salvo na medida em que a EasyWeek seja obrigada pela LGPD (Lei nº 13.709/2018) ou outra legislação aplicável a reter parte ou a totalidade desses dados (hipótese em que os dados retidos permanecem sujeitos às obrigações de confidencialidade e segurança deste DPA).

Os backups que contêm Dados Pessoais do Cliente são sobrescritos de forma rotativa dentro do período padrão de retenção de backups e permanecem sujeitos a este DPA até o seu vencimento.

14. Responsabilidade e disposições gerais

A responsabilidade de cada parte nos termos ou em conexão com este DPA está sujeita às limitações e exclusões de responsabilidade estabelecidas nos Termos de Serviço Empresarial.

Este DPA faz parte dos Termos de Serviço Empresarial. Em caso de conflito entre este DPA e os Termos de Serviço Empresarial no que diz respeito ao tratamento de Dados Pessoais do Cliente, este DPA prevalecerá. Em caso de conflito entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.

As transferências internacionais de dados pessoais de titulares brasileiros são realizadas em conformidade com o art. 33 da LGPD (Lei nº 13.709/2018), mediante a adoção de mecanismos adequados de garantia, incluindo cláusulas contratuais padrão aprovadas pela ANPD ou outras salvaguardas equivalentes reconhecidas pela legislação brasileira aplicável.

Este DPA é regido pelas leis da República Federal da Alemanha. Os tribunais de Düsseldorf, Alemanha, têm jurisdição exclusiva, sem prejuízo das proteções obrigatórias dos Titulares dos Dados previstas na legislação de sua residência habitual.

Anexo I – Descrição do tratamento

Objeto O tratamento necessário para fornecer o Serviço Business EasyWeek ao Cliente.

Duração Pelo prazo dos Termos de Serviço Business e qualquer período de retenção pós-rescisão exigido para cumprir a Seção 13.

Natureza e finalidade do tratamento Hospedagem, armazenamento, recuperação, organização, modificação, transmissão, exclusão, anonimização, análise estatística e demais operações de tratamento necessárias para fornecer agendamento online, gestão de relacionamento com o cliente, finanças e faturamento, automação de marketing, criação de sites, lembretes e notificações, listagem em marketplace, funcionalidades assistidas por IA e funções auxiliares.

Categorias de Titulares de Dados

• Clientes finais e potenciais clientes do Cliente
• Funcionários, freelancers, prestadores de serviço e demais usuários autorizados do Cliente
• Visitantes das páginas de agendamento online e widgets incorporados do Cliente
• Remetentes e destinatários de comunicações roteadas por meio do Serviço

Categorias de Dados Pessoais

• Dados de identificação (nome, foto, gênero)
• Dados de contato (e-mail, telefone, endereço)
• Credenciais de conta dos usuários autorizados do Cliente
• Histórico de reservas e agendamentos
• Anotações, arquivos, fotos, documentos enviados pelo Cliente
• Dados de programa de fidelidade, saldos de cartões-presente, segmentos de clientes
• Conteúdo de comunicações (SMS, WhatsApp, corpo de e-mail, corpo de notificação push, chat no aplicativo)
• Dados financeiros (registros de faturas, status de pagamento, últimos 4 dígitos de cartões de pagamento — os dados completos do cartão são tratados diretamente pela Stripe e não armazenados pela EasyWeek)
• Dados técnicos (endereço IP, identificador de dispositivo, navegador, idioma, registros de data e hora)
• Quando o Cliente optar por registrá-los: anotações relacionadas à saúde (em contextos de beleza, bem-estar, saúde ou odontologia). O Cliente é responsável por garantir que possui base legal válida nos termos do art. 11 da LGPD (Lei nº 13.709/2018) antes de registrar tais dados.

Frequência das transferências Contínua.

Retenção Os Dados Pessoais do Cliente são retidos pelo tempo que o Cliente instruir e conforme descrito na Seção 13.

Transferências internacionais de dados Na medida em que o tratamento descrito neste Anexo implique a transferência de dados pessoais para fora do território brasileiro, tais transferências estão sujeitas ao art. 33 da LGPD (Lei nº 13.709/2018) e somente são realizadas com base em uma das hipóteses legais admitidas, incluindo cláusulas contratuais específicas, políticas globais de proteção de dados aprovadas pela ANPD, ou quando necessário para a execução do contrato celebrado com o titular dos dados. As medidas de salvaguarda aplicáveis estão detalhadas no Adendo de Proteção de Dados (DPA) celebrado entre as partes.

Anexo II – Medidas técnicas e organizacionais

A EasyWeek implementa pelo menos as seguintes medidas, que poderá atualizar periodicamente, desde que o nível de proteção não seja reduzido:

• Pseudonimização e criptografia — TLS 1.3 para dados em trânsito em redes públicas; AES-256 para dados em repouso (armazenamento em banco de dados, armazenamento de objetos, backups); chaves de criptografia por locatário para campos sensíveis, quando aplicável.
• Confidencialidade — controle de acesso baseado em funções com privilégio mínimo, autenticação multifator obrigatória para todo acesso administrativo, tempo limite de sessão automático, controles de acesso baseados em IP para sistemas de produção, obrigações de confidencialidade por escrito para todo o pessoal.
• Integridade — gestão de mudanças, revisão de código, varredura automatizada de dependências, artefatos de implantação assinados, verificações de integridade em backups.
• Disponibilidade e resiliência — hospedagem de produção nos data centers da Hetzner na Alemanha com energia e rede redundantes, orquestração Kubernetes com autorrecuperação, backups diários com replicação entre zonas, plano de recuperação de desastres documentado com exercícios anuais de simulação, página de status em status.easyweek.io.
• Restauração — retenção de backups suficiente para restaurar o serviço após um incidente físico ou técnico; testes de restauração trimestrais.
• Testes e avaliação — teste de penetração anual por terceiros no ambiente de produção, testes contínuos de segurança de aplicações estáticos e dinâmicos em CI/CD, processo de gestão de vulnerabilidades com SLAs de remediação definidos.
• Segregação de redes — os ambientes de produção, homologação e desenvolvimento são separados lógica e fisicamente; acesso administrativo exclusivamente por meio de hosts bastião.
• Registro e monitoramento — registros de auditoria centralizados para autenticação, autorização, alterações de configuração e eventos de exportação de dados, retidos por pelo menos um ano; monitoramento de informações e eventos de segurança com alertas sobre anomalias.
• Desenvolvimento seguro — SDLC com modelagem de ameaças, revisão por pares, varredura de segredos, conformidade de licenças e padrões de codificação alinhados à OWASP.
• Gestão de fornecedores — contratos por escrito com todos os Suboperadores impondo obrigações equivalentes; revisão periódica.
• Segurança de pessoal — verificações de antecedentes onde legalmente permitido; treinamento em conscientização de segurança e proteção de dados na contratação e anualmente a partir de então.
• Gestão de incidentes — plantão 24/7; playbook de resposta a incidentes documentado; notificação de violação em até 72 horas conforme a Seção 10.
• Segurança física — o acesso físico às instalações de processamento é controlado pelo Suboperador que opera a instalação (Hetzner, Google Cloud) sob controles certificados ISO 27001 / SOC 2.

Anexo III – Suboperadores aprovados

A lista atual de suboperadores (operadores) da EasyWeek é publicada e mantida em /business/subprocessors. A lista nesse URL é aqui incorporada por referência a este APD e ao Anexo III.

As transferências internacionais de dados pessoais realizadas pelos suboperadores listados observam os requisitos do art. 33 da LGPD (Lei nº 13.709/2018), incluindo, conforme aplicável, a existência de país ou organismo internacional que proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD, ou a adoção de garantias adequadas pelo operador, tais como cláusulas contratuais específicas ou normas corporativas globais aprovadas pela ANPD — Autoridade Nacional de Proteção de Dados (https://www.gov.br/anpd/).