Acordo de Processamento de Dados

Controlador de dados:

TCOM LTDA ("Desio") CNPJ: 65.291.044/0001-63 Endereço: Rua Francisco Rocha, 198 — Batel — Curitiba/PR — CEP 80.420-130 Representante Legal: Ricardo Alves Krug Encarregado de Dados (DPO): privacidade@desio.app

Operador de dados:

O restaurante ou estabelecimento parceiro ("Parceiro") cadastrado na Plataforma Desio, identificado pelos dados fornecidos no momento do cadastro, incluindo razão social, CNPJ e endereço.

Este Acordo de Processamento de Dados ("Acordo" ou "DPA") é celebrado entre o Controlador e o Operador, nos termos do Art. 39 da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), e constitui parte integrante dos Termos de Serviço da Plataforma Desio.

Este Acordo estabelece as condições sob as quais o Parceiro (Operador) trata dados pessoais de clientes em nome da Desio (Controlador), no contexto da utilização da Plataforma.

O tratamento de dados pelo Parceiro tem as seguintes finalidades:

• Gestão de pedidos e vouchers adquiridos pelos clientes
• Validação de vouchers e registro de utilização
• Comunicação com clientes através dos canais disponíveis na Plataforma (e-mail e WhatsApp)
• Segmentação e gestão de relacionamento com clientes (CRM)
• Análise de métricas de desempenho do estabelecimento

O Parceiro compromete-se a tratar os dados pessoais exclusivamente para as finalidades acima descritas e conforme as instruções da Desio, não podendo utilizá-los para fins próprios não autorizados.

Base legal para o tratamento:

• Art. 7º, V da LGPD — Execução de contrato ou de procedimentos preliminares relacionados a contrato
• Art. 7º, IX da LGPD — Interesse legítimo do controlador, quando aplicável

Os dados pessoais tratados pelo Parceiro variam conforme o plano contratado na Plataforma.

Dados acessíveis em todos os planos:

• Nome completo do cliente
• Endereço de e-mail
• Número de telefone (quando fornecido)
• Histórico de compras e vouchers (transações realizadas no estabelecimento do Parceiro)
• Status de vouchers (ativo, utilizado, expirado)

Dados adicionais acessíveis nos planos Business e superiores:

• Dados de segmentação RFM (recência, frequência e valor monetário)
• Estágio do ciclo de vida do cliente (novo, ativo, em risco, inativo)
• Padrões de visita e frequência de compra
• Registros de comunicação via WhatsApp e e-mail
• Tags e segmentos personalizados criados pelo Parceiro
• Data de aniversário (quando fornecida pelo cliente)

Dados não acessíveis ao Parceiro:

• Dados de pagamento (cartão de crédito, dados bancários) — processados exclusivamente pelo Stripe
• Dados de navegação e cookies
• Dados de outros estabelecimentos parceiros

O Parceiro, na qualidade de Operador de dados, compromete-se a:

Tratamento conforme instruções:

• Tratar os dados pessoais exclusivamente conforme as instruções documentadas da Desio e para as finalidades previstas neste Acordo
• Não utilizar os dados pessoais para finalidades próprias não autorizadas
• Não compartilhar, vender, alugar ou transferir dados pessoais de clientes a terceiros sem autorização prévia e por escrito da Desio

Confidencialidade:

• Garantir que todas as pessoas autorizadas a tratar dados pessoais estejam sujeitas a obrigações de confidencialidade
• Limitar o acesso aos dados pessoais apenas aos colaboradores que necessitem para o cumprimento das finalidades previstas

Medidas de segurança:

• Adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação
• Manter registros das atividades de tratamento realizadas em nome da Desio

Notificação de incidentes:

• Comunicar à Desio, no prazo máximo de 72 (setenta e duas) horas após tomar conhecimento, qualquer incidente de segurança que envolva dados pessoais tratados no âmbito deste Acordo
• A notificação deve incluir: natureza do incidente, categorias e número aproximado de titulares afetados, consequências prováveis e medidas adotadas

Solicitações de titulares (DSAR):

• Encaminhar imediatamente à Desio (privacidade@desio.app) quaisquer solicitações recebidas diretamente de titulares de dados relativas ao exercício de seus direitos sob a LGPD
• Cooperar com a Desio no atendimento a tais solicitações

Transferência internacional:

• Não transferir dados pessoais para fora do território brasileiro sem autorização prévia e por escrito da Desio

Eliminação de dados:

• Ao término da relação contratual ou mediante solicitação da Desio, eliminar ou devolver todos os dados pessoais tratados no âmbito deste Acordo, salvo quando houver obrigação legal de retenção

A Desio, na qualidade de Controlador de dados, compromete-se a:

Encarregado de Dados (DPO):

• Manter canal de contato do Encarregado de Dados acessível em privacidade@desio.app
• Disponibilizar informações sobre o tratamento de dados na Política de Privacidade da Plataforma

Gestão de suboperadores:

• Informar ao Parceiro sobre os suboperadores utilizados no tratamento de dados pessoais (conforme seção "Suboperadores" deste Acordo)
• Notificar o Parceiro sobre alterações na lista de suboperadores com antecedência mínima de 30 dias
• Garantir que os suboperadores estejam vinculados a obrigações de proteção de dados equivalentes às previstas neste Acordo

Atendimento a solicitações de titulares:

• Responder às solicitações de titulares de dados no prazo de 30 (trinta) dias, prorrogável por mais 15 (quinze) dias mediante justificativa, conforme Art. 18 e 19 da LGPD

Documentação e auditoria:

• Disponibilizar ao Parceiro, mediante solicitação, informações necessárias para demonstrar conformidade com este Acordo
• Manter registros das atividades de tratamento conforme Art. 37 da LGPD

Base legal:

• Garantir que o tratamento de dados pessoais possua base legal adequada conforme Art. 7º da LGPD
• Informar os titulares sobre o tratamento de seus dados através da Política de Privacidade

A Desio utiliza os seguintes suboperadores para o tratamento de dados pessoais no âmbito da Plataforma:

• Stripe, Inc. (EUA) — Processamento de pagamentos e prevenção de fraudes. Certificação PCI DSS Nível 1. Dados tratados: nome, e-mail, dados de pagamento do cliente
• Twilio Inc. / WhatsApp (EUA) — Envio e recebimento de mensagens via WhatsApp. Dados tratados: número de telefone, conteúdo de mensagens, status de entrega
• Resend, Inc. (EUA) — Envio de e-mails transacionais e de marketing. Dados tratados: endereço de e-mail, nome do destinatário, conteúdo do e-mail
• PostHog, Inc. (EUA/UE) — Analytics e métricas de uso da Plataforma. Dados tratados: identificadores de sessão, eventos de navegação, dados comportamentais agregados
• Neon, Inc. (EUA) — Hospedagem de banco de dados (PostgreSQL). Dados tratados: todos os dados armazenados na Plataforma

Cada suboperador está vinculado a acordos de processamento de dados próprios e está sujeito a obrigações de proteção de dados equivalentes às previstas neste Acordo.

A Desio notificará o Parceiro sobre quaisquer alterações na lista de suboperadores com antecedência mínima de 30 dias. O Parceiro poderá se opor à inclusão de novo suboperador mediante comunicação fundamentada no prazo de 15 dias após a notificação.

A Desio implementa as seguintes medidas técnicas e organizacionais para proteger os dados pessoais tratados na Plataforma:

Criptografia e comunicação:

• Criptografia em trânsito via TLS/SSL em todas as comunicações
• Validação de assinaturas HMAC em webhooks (Stripe e Twilio) para garantir integridade e autenticidade das comunicações

Segurança de pagamentos:

• Conformidade PCI DSS Nível 1 através do Stripe — nenhum dado de cartão de crédito é armazenado nos servidores da Desio

Controle de acesso:

• Acesso a dados de clientes controlado por plano contratado (tier-gating) — funcionalidades de CRM e comunicação restritas aos planos Business e superiores
• Autenticação segura de sessão com proteção CSRF

Monitoramento e limitação:

• Rate limiting em operações sensíveis (solicitações DSAR: 3 por hora por IP)
• Monitoramento de eventos de segurança via PostHog

Infraestrutura:

• Banco de dados hospedado em infraestrutura gerenciada (Neon) com backups automatizados
• Isolamento de dados entre Parceiros — cada Parceiro acessa exclusivamente os dados de seus próprios clientes

Os dados pessoais são retidos conforme os seguintes prazos:

• Dados de transação (compras, vouchers, pagamentos) — 5 anos após a transação, conforme Art. 173 do Código Tributário Nacional (CTN)
• Dados de navegação e cookies — 12 meses
• Dados de CRM e segmentação — Durante a vigência da relação comercial entre o Parceiro e o cliente
• Dados de comunicação (e-mail e WhatsApp) — Durante a vigência do contrato do Parceiro

Ao término da relação contratual entre a Desio e o Parceiro:

• Os dados pessoais de clientes serão retidos pela Desio conforme os prazos legais aplicáveis
• O acesso do Parceiro aos dados será revogado imediatamente
• O Parceiro deverá eliminar quaisquer cópias de dados pessoais obtidos através da Plataforma, salvo quando houver obrigação legal de retenção

O Parceiro poderá solicitar a exportação de seus dados antes do encerramento da conta, conforme previsto nos Termos de Serviço.

Em razão da utilização de suboperadores localizados nos Estados Unidos e na União Europeia (conforme listado na seção "Suboperadores"), os dados pessoais tratados pela Plataforma podem ser transferidos para fora do território brasileiro.

Essas transferências são realizadas em conformidade com o Art. 33 da LGPD, com base nas seguintes garantias:

• Cláusulas contratuais padrão com cada suboperador
• Compromisso dos suboperadores com padrões de proteção de dados equivalentes aos exigidos pela LGPD
• Certificações de segurança dos suboperadores (PCI DSS para Stripe)

O Parceiro, ao aceitar este Acordo, consente com as transferências internacionais de dados realizadas pela Desio nas condições acima descritas.

A Desio compromete-se a avaliar periodicamente a adequação das garantias oferecidas pelos suboperadores internacionais e a informar o Parceiro sobre quaisquer alterações relevantes.

Em caso de incidente de segurança que envolva dados pessoais tratados no âmbito deste Acordo:

Notificação mútua:

• A parte que tomar conhecimento do incidente deverá notificar a outra parte no prazo máximo de 72 (setenta e duas) horas
• A notificação deve incluir: descrição do incidente, categorias e número aproximado de titulares afetados, consequências prováveis e medidas adotadas ou propostas

Notificação à ANPD:

• A Desio, como Controlador, é responsável por notificar a Autoridade Nacional de Proteção de Dados (ANPD) sobre incidentes que possam acarretar risco ou dano relevante aos titulares, conforme Art. 48 da LGPD

Cooperação e remediação:

• Ambas as partes cooperarão na investigação e remediação do incidente
• O Parceiro deverá fornecer à Desio todas as informações necessárias para o cumprimento das obrigações legais de notificação
• Serão adotadas medidas corretivas para prevenir a recorrência do incidente

Registro:

• Ambas as partes manterão registro documentado de todos os incidentes de segurança, incluindo fatos, efeitos e medidas corretivas adotadas

A Desio reserva-se o direito de verificar a conformidade do Parceiro com as obrigações previstas neste Acordo, mediante:

• Solicitação de informações e documentação sobre as práticas de tratamento de dados adotadas pelo Parceiro
• Realização de auditorias ou inspeções, diretamente ou por meio de auditor independente, mediante aviso prévio de 30 (trinta) dias
• Solicitação de relatórios de conformidade

O Parceiro compromete-se a:

• Cooperar com as auditorias realizadas pela Desio ou por auditores designados
• Disponibilizar acesso às instalações, sistemas e registros relevantes para a verificação
• Implementar as recomendações de conformidade resultantes das auditorias em prazo razoável

Os custos das auditorias serão de responsabilidade da Desio, salvo quando a auditoria revelar não conformidade do Parceiro com as obrigações previstas neste Acordo.

Este Acordo entra em vigor na data de cadastro do Parceiro na Plataforma Desio e permanece vigente enquanto durar a relação contratual entre as partes.

O Acordo será automaticamente rescindido quando:

• O contrato de prestação de serviços entre a Desio e o Parceiro for encerrado, por qualquer motivo
• O Parceiro solicitar o encerramento de sua conta na Plataforma

Efeitos da rescisão:

• O acesso do Parceiro aos dados pessoais de clientes será revogado imediatamente
• O Parceiro deverá eliminar todas as cópias de dados pessoais obtidos através da Plataforma no prazo de 30 (trinta) dias
• As obrigações de confidencialidade previstas neste Acordo permanecerão vigentes por prazo indeterminado
• As obrigações relativas a incidentes de segurança já ocorridos permanecerão vigentes até sua completa resolução

A Desio reterá os dados pessoais conforme os prazos legais aplicáveis, mesmo após o término deste Acordo.

Relação com os Termos de Serviço:

Este Acordo constitui parte integrante dos Termos de Serviço da Plataforma Desio. Em caso de conflito entre as disposições deste Acordo e os Termos de Serviço, prevalecerão as disposições deste Acordo no que se refere ao tratamento de dados pessoais.

Legislação aplicável:

Este Acordo é regido pela legislação brasileira, em especial pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e pelo Código de Defesa do Consumidor (Lei nº 8.078/90 — CDC).

Foro:

Para dirimir quaisquer controvérsias decorrentes deste Acordo, fica eleito o foro da Comarca de Curitiba, Estado do Paraná, com exclusão de qualquer outro, por mais privilegiado que seja.

Alterações:

A Desio poderá atualizar este Acordo para refletir mudanças nas práticas de tratamento de dados, na legislação aplicável ou nos suboperadores utilizados. Alterações significativas serão comunicadas ao Parceiro com antecedência mínima de 30 dias.

Contato:

Para dúvidas sobre este Acordo, entre em contato:

E-mail DPO: privacidade@desio.app E-mail geral: contato@desio.app Endereço: Rua Francisco Rocha, 198 — Batel — Curitiba/PR — CEP 80.420-130

Histórico de versões:

• Março de 2026 — Versão inicial.