Acordo de processamento de dados (DPA) do Capydox
Condições em que o Capydox atua como operador de dados para clientes que utilizam o serviço SaaS, em conformidade com o RGPD e a LGPD.
Última atualização: 21 de maio de 2026
Acordo de processamento de dados (DPA) do Capydox
Última atualização: 21/05/2026
Este Acordo de processamento de dados (o "DPA") faz parte do contrato principal celebrado entre o cliente (o "Cliente" ou o "Controlador") e o Capydox (o "Fornecedor" ou o "Operador") para uso do serviço de documentação e evidências de APIs (o "Serviço").
O DPA regula as condições em que o Capydox trata dados pessoais em nome do Cliente, em conformidade com o Regulamento (UE) 2016/679 (RGPD), com a Lei Geral de Proteção de Dados brasileira (LGPD) quando aplicável e demais normas relevantes.
1. Partes e papéis
- Controlador (Cliente)
O Cliente é a pessoa física ou jurídica que contrata o Serviço e determina as finalidades e os meios de tratamento dos dados pessoais incorporados ao Serviço.
- Operador (Capydox)
O Capydox é um profissional autônomo que atua sob o nome comercial "Capydox" e presta o Serviço ao Cliente. Para fins deste DPA, o Capydox atua como Operador em relação aos dados pessoais tratados em nome do Cliente.
2. Objeto, duração e natureza do tratamento
- Objeto
Este DPA regulamenta o tratamento de dados pessoais que o Capydox realiza em nome do Cliente no contexto da prestação do Serviço.
- Duração
Este DPA permanece em vigor enquanto o Capydox tratar dados pessoais em nome do Cliente com base no contrato principal. Ao término da relação, aplica-se a cláusula 11 (Exclusão ou devolução dos dados).
- Natureza e finalidades do tratamento
O Capydox tratará dados pessoais exclusivamente para:
- Prestar o Serviço contratado pelo Cliente.
- Oferecer funcionalidades de importação de coleções, geração e manutenção de especificações OpenAPI, gestão de evidências e documentação e colaboração em workspaces.
- Prestar suporte técnico e atividades de segurança relacionadas ao Serviço.
- Categorias de titulares dos dados
Conforme definido pelo Cliente, o tratamento pode envolver dados de:
- Colaboradores do Cliente (empregados, prestadores de serviço, administradores de sistemas).
- Usuários finais autorizados pelo Cliente.
- Contatos de clientes, fornecedores ou outros terceiros cujos dados possam constar no conteúdo técnico enviado ao Serviço.
- Tipos de dados pessoais
Dependendo de como o Cliente utiliza o Serviço, podem ser tratados, entre outros:
- Dados de identificação básicos (nome, sobrenome, e-mail corporativo, identificadores de usuário).
- Dados de uso e registros de atividade relacionados ao Serviço.
- Dados técnicos presentes em coleções de APIs (URLs, parâmetros, cabeçalhos, corpos de exemplo) que, em alguns casos, podem conter dados pessoais se o Cliente optar por incluí-los.
O Cliente compromete-se a não incluir, em regra, dados sensíveis nos termos da LGPD (por exemplo saúde, convicções religiosas) no Serviço, salvo se houver base legal adequada e o Capydox tenha sido informado previamente para avaliar medidas adicionais.
3. Instruções do Controlador
O Capydox tratará dados pessoais apenas de acordo com as instruções documentadas do Cliente, incluindo as instruções constantes neste DPA, no contrato principal e nas configurações definidas pelo Cliente dentro do Serviço.
O Cliente é responsável por:
- Definir finalidades e meios do tratamento.
- Configurar adequadamente permissões de usuários, workspaces e opções de segurança.
Se o Capydox entender que uma instrução viola a legislação de proteção de dados, informará o Cliente sem demora injustificada, na medida permitida pelas normas aplicáveis.
4. Confidencialidade
O Capydox garantirá que as pessoas autorizadas a tratar dados pessoais estejam sujeitas a obrigação de confidencialidade, seja por contrato, seja por dever legal.
O acesso a dados pessoais será limitado aos colaboradores do Capydox que precisam desses dados para prestar o Serviço, em conformidade com o princípio da necessidade.
5. Medidas de segurança
O Capydox adotará medidas técnicas e organizacionais adequadas para garantir nível de segurança compatível com os riscos, conforme o artigo 32 do RGPD e princípios da LGPD.
Entre outras, incluem-se:
- Comunicações criptografadas por HTTPS/TLS entre clientes, aplicativo desktop e servidores.
- Controles de acesso baseados em contas e papéis, com autenticação reforçada.
- Criptografia em nível de aplicação para determinados campos sensíveis armazenados em banco de dados (por exemplo conteúdo de coleções, especificações, evidências e documentação de workspaces em produção).
- Separação lógica de dados entre contas e workspaces de diferentes clientes.
- Rotinas de backup e planos de continuidade/recuperação de desastres.
- Procedimentos de gestão de vulnerabilidades e de incidentes de segurança.
O Capydox poderá atualizar ou modificar tais medidas, desde que o nível de proteção global não seja reduzido. Detalhes técnicos poderão constar em anexos ou documentação específica de segurança.
6. Suboperadores
- Autorização para suboperadores
O Cliente concede ao Capydox autorização geral para contratar suboperadores no contexto do Serviço (por exemplo provedores de hospedagem, banco de dados, e-mail, pagamentos, análise, armazenamento de binários e autenticação).
O Capydox:
- Manterá lista atualizada de suboperadores em sua documentação legal ou em anexo específico.
- Notificará o Cliente, em prazo razoável, sobre inclusão ou substituição de suboperadores, permitindo que o Cliente apresente objeções fundamentadas.
- Obrigações perante suboperadores
O Capydox compromete-se a:
- Firmar contrato escrito com cada suboperador, impondo obrigações de proteção de dados substancialmente equivalentes às deste DPA, em especial quanto a segurança, confidencialidade e assistência ao Controlador.
- Permanecer responsável perante o Cliente pelo cumprimento das obrigações de proteção de dados por parte dos suboperadores.
Se o Cliente se opuser justificadamente a um novo suboperador e o Serviço não puder ser prestado sem ele, o Cliente poderá rescindir o contrato nos termos do instrumento principal.
7. Transferências internacionais de dados
Quando o uso do Serviço envolver transferências internacionais de dados, o Capydox garantirá que estejam presentes as garantias adequadas exigidas pela legislação aplicável (RGPD, LGPD e outras), tais como:
- Decisões de adequação da Comissão Europeia.
- Cláusulas contratuais padrão ou instrumentos equivalentes.
- Outras garantias reconhecidas pelas autoridades competentes.
O Capydox disponibilizará ao Cliente, mediante solicitação razoável, informações sobre tais transferências e garantias, desde que isso não implique divulgação de segredos comerciais ou informações confidenciais de terceiros.
8. Assistência ao Controlador
Considerando a natureza do tratamento e as informações disponíveis, o Capydox auxiliará o Cliente, na medida do razoável, no cumprimento de suas obrigações em relação a:
- Atendimento a solicitações de titulares de dados (acesso, retificação, exclusão, oposição, limitação, portabilidade, quando aplicável).
- Notificação de incidentes de segurança às autoridades de proteção de dados e, quando exigido, aos titulares.
- Relatórios de impacto à proteção de dados e consultas prévias às autoridades, quando obrigatórios.
O Cliente permanece responsável pelas decisões sobre como responder às solicitações e obrigações e pelo conteúdo das comunicações enviadas a titulares e autoridades.
9. Incidentes de segurança
O Capydox notificará o Cliente, sem demora injustificada, sempre que tiver conhecimento de incidente de segurança que afete dados pessoais tratados em nome do Cliente.
A notificação incluirá, na medida do possível:
- Descrição da natureza do incidente.
- Categorias e número aproximado de titulares afetados.
- Consequências prováveis do incidente.
- Medidas adotadas ou propostas para remediar o incidente e mitigar seus efeitos.
O Capydox cooperará com o Cliente na prestação de informações adicionais requeridas pela autoridade competente.
10. Auditorias e verificações
O Cliente tem direito de verificar a conformidade do Capydox com este DPA.
Para isso, o Capydox colocará à disposição do Cliente as informações necessárias para demonstrar o cumprimento deste Acordo e, quando apropriado, permitirá auditorias ou inspeções razoáveis pelo Cliente ou por auditor independente por ele designado.
As auditorias:
- Devem ser solicitadas com antecedência razoável.
- Ficam limitadas a sistemas e informações relevantes para o Serviço prestado ao Cliente.
- Não devem interferir de maneira desproporcional nas operações normais do Capydox nem comprometer a segurança ou confidencialidade de outros clientes.
Custos extraordinários decorrentes de auditorias presenciais além das verificações padrão poderão ser cobrados do Cliente, conforme acordo entre as partes.
11. Exclusão ou devolução de dados
Ao término da prestação do Serviço ou mediante solicitação do Cliente, o Capydox, dentro de prazo razoável e conforme instruções do Cliente:
- Devolverá ao Cliente os dados pessoais tratados em seu nome, em formato razoavelmente estruturado; ou
- Excluirá tais dados, salvo se a legislação exigir sua retenção.
O Capydox poderá manter cópias bloqueadas dos dados enquanto houver obrigação legal ou possibilidade de responsabilização (por exemplo exigências fiscais ou contábeis), aplicando sempre medidas adequadas de segurança.
12. Responsabilidades e limitações
Cada parte será responsável por cumprir as obrigações que lhe cabem conforme a legislação de proteção de dados.
- O Cliente é responsável pelos princípios de proteção de dados, pela existência de bases legais para o tratamento e pelas informações fornecidas aos titulares.
- O Capydox é responsável pelas obrigações que lhe competem como Operador, conforme descritas neste DPA.
As limitações de responsabilidade previstas no contrato principal aplicam-se a este DPA na medida em que não contrariem normas de proteção de dados de caráter obrigatório.
13. Prevalência e alterações
Em caso de conflito entre este DPA e o contrato principal, prevalecerão as disposições deste DPA no que diz respeito a proteção de dados pessoais.
O Capydox poderá atualizar este DPA para refletir mudanças legais ou evoluções do Serviço. Em caso de alterações relevantes, o Capydox informará o Cliente com antecedência razoável, podendo o Cliente se opor ou rescindir o contrato nos termos do instrumento principal.