TERMO DE TRATAMENTO DE DADOS PESSOAIS (DPA)
Anexo de Proteção de Dados entre o Lojista (Controlador) e a NEX Fidelização (Operadora)
Última atualização: 06 de junho de 2026 Versão: 1.0
Este Termo de Tratamento de Dados Pessoais ("DPA") integra e complementa os Termos de Uso e a Política de Privacidade da plataforma NEX Fidelização e regula o tratamento dos dados pessoais dos clientes finais (consumidores) que o lojista cadastra e gerencia na Plataforma.
Partes:
- CONTROLADOR: o lojista, pessoa física ou jurídica titular da conta na Plataforma, que decide coletar e tratar os dados de seus clientes finais.
- OPERADORA: NEX Software House ("NEX Fidelização" / "NEX"), que trata os dados dos clientes finais em nome e conforme as instruções do lojista.
1. Objeto e papéis das partes
1.1. Em relação aos dados pessoais dos clientes finais inseridos ou gerados na Plataforma (nome, CPF, celular, e-mail, preferências de contato, pontos, histórico de compras e demais informações cadastradas pelo lojista), as partes reconhecem expressamente que:
- O lojista é o CONTROLADOR desses dados, pois é quem decide coletá-los, com qual finalidade e de quem;
- A NEX é a OPERADORA, limitando-se a tratá-los para viabilizar o funcionamento da Plataforma, segundo as instruções do lojista e este DPA.
1.2. A NEX não utilizará os dados pessoais identificáveis dos clientes finais para finalidades próprias, não os venderá nem os compartilhará para fins de marketing de terceiros.
1.3. Uso de dados anonimizados/agregados. O lojista autoriza a NEX a anonimizar os dados e a utilizá-los de forma agregada e estatística para melhoria da Plataforma, desenvolvimento de novas funcionalidades e geração de inteligência de negócio. Uma vez anonimizados — de modo que não permitam a identificação de qualquer titular —, tais dados deixam de ser considerados dados pessoais, nos termos do art. 12 da LGPD, e não estão sujeitos às demais cláusulas deste DPA.
2. Obrigações do LOJISTA (Controlador)
O lojista, na qualidade de Controlador, é o único responsável por garantir a licitude da coleta e do tratamento dos dados de seus clientes finais. Em especial, o lojista se obriga a:
2.1. Possuir base legal adequada (art. 7º da LGPD) para cada dado coletado — em regra, consentimento do cliente final e/ou execução de contrato e legítimo interesse relacionados ao programa de fidelidade — e a manter prova dessa base legal.
2.2. Informar seus clientes finais, de forma clara e acessível, sobre o tratamento de seus dados, suas finalidades, o uso da Plataforma NEX como ferramenta, e os direitos do titular.
2.3. Obter o consentimento específico do cliente final quando exigido por lei, especialmente para comunicações por WhatsApp ou outros canais de marketing, mantendo registro desse consentimento.
2.4. Não inserir dados pessoais sensíveis (art. 5º, II, da LGPD) na Plataforma, nem dados de crianças e adolescentes sem o devido amparo legal e consentimento dos responsáveis.
2.5. Coletar apenas os dados necessários (princípio da necessidade) e mantê-los atualizados.
2.6. Atender, como Controlador, às requisições dos titulares (acesso, correção, eliminação etc.) e às determinações da ANPD, podendo solicitar o apoio operacional da NEX conforme a Cláusula 4.
2.7. Responder perante os titulares, terceiros e autoridades pelo tratamento que realiza, isentando e indenizando a NEX por reclamações, autuações, perdas e danos decorrentes do descumprimento, pelo lojista, das obrigações deste DPA ou da legislação de proteção de dados.
3. Obrigações da NEX (Operadora)
A NEX, na qualidade de Operadora, obriga-se a:
3.1. Tratar os dados dos clientes finais somente conforme as instruções do lojista e para os fins de operação da Plataforma, salvo obrigação legal em contrário.
3.2. Adotar medidas técnicas e administrativas de segurança adequadas (criptografia, isolamento de dados entre lojistas por Row Level Security, controle de acesso, registros de acesso).
3.3. Garantir a confidencialidade dos dados, restringindo o acesso a pessoas autorizadas e sujeitas a dever de sigilo.
3.4. Auxiliar o lojista, na medida do tecnicamente possível, no atendimento às requisições dos titulares e no cumprimento das obrigações dos arts. 18, 48 e 49 da LGPD.
3.5. Notificar o lojista sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, em prazo razoável, fornecendo as informações disponíveis para que o lojista cumpra seus deveres de comunicação à ANPD e aos titulares.
3.6. Disponibilizar meios para que o lojista possa exportar ou eliminar os dados de seus clientes finais.
4. Atendimento a titulares e à ANPD
Como Operadora, a NEX não responde diretamente às requisições dos clientes finais. Ao receber solicitação de um titular, a NEX a encaminhará ao lojista responsável e prestará o apoio técnico necessário. A decisão e a resposta cabem ao lojista, na qualidade de Controlador.
5. Subprocessadores (Suboperadores)
5.1. O lojista autoriza a NEX a contratar suboperadores para a prestação do serviço. Os suboperadores atuais são:
| Suboperador | Finalidade | Local |
|---|---|---|
| Supabase | Banco de dados e autenticação | Brasil (São Paulo) |
| Vercel | Hospedagem da aplicação | Estados Unidos |
| Stripe | Processamento de pagamentos | Estados Unidos |
| Resend | Envio de e-mails transacionais | Estados Unidos |
5.2. A NEX exige de seus suboperadores nível de proteção de dados compatível com este DPA e com a LGPD, e responde perante o lojista pela atuação deles nos limites da Cláusula 8.
5.3. A NEX poderá alterar a lista de suboperadores, comunicando o lojista por meio da Plataforma.
6. Transferência internacional
Alguns suboperadores processam dados fora do Brasil (Estados Unidos). Tais transferências observam o art. 33 da LGPD, com base em garantias adequadas (cláusulas contratuais padrão e compromissos de proteção firmados com os fornecedores). O banco de dados principal está hospedado no Brasil.
7. Eliminação dos dados ao término
7.1. Encerrada a relação contratual, a NEX, mediante solicitação do lojista, eliminará ou devolverá os dados pessoais dos clientes finais, salvo obrigação legal de conservação.
7.2. Na ausência de instrução do lojista, a NEX poderá eliminar os dados após prazo razoável, comunicado previamente.
8. Responsabilidade
8.1. Cada parte responde pelas obrigações que a LGPD lhe atribui em seu respectivo papel (Controlador/Operadora).
8.2. O lojista, como Controlador, é responsável pela licitude da coleta e pelo cumprimento das bases legais, e indenizará a NEX por danos decorrentes do descumprimento de suas obrigações.
8.3. A responsabilidade da NEX, como Operadora, limita-se aos casos em que descumprir as obrigações da LGPD especificamente direcionadas a operadores ou agir em desconformidade com as instruções lícitas do lojista (art. 42, §1º, I, da LGPD).
9. Vigência
Este DPA vigora enquanto durar a relação contratual entre o lojista e a NEX e, no que aplicável, sobrevive ao seu término quanto às obrigações de confidencialidade e eliminação de dados.
Ao criar uma conta e cadastrar clientes na Plataforma, o lojista declara ter lido, compreendido e aceito integralmente este Termo de Tratamento de Dados, assumindo a condição de Controlador dos dados de seus clientes finais.