Acordo de Tratamento de Dados (DPA)
Última atualização: 17 de junho de 2026
1. Partes e papéis
Este Acordo de Tratamento de Dados (“DPA”) integra os Termos de Uso e a Política de Privacidade do Alvio. Nele:
- Controlador: você, usuário do Alvio, que decide quais dados pessoais registra no serviço e para quais finalidades.
- Operador: Instituto Innvicton Ltda, inscrita no CNPJ 23.285.285/0001-50, que trata os dados em nome do Controlador, seguindo suas instruções, para operar o Alvio.
Os termos “controlador”, “operador”, “tratamento”, “titular” e “dado pessoal” têm o significado da Lei Geral de Proteção de Dados (Lei 13.709/2018, “LGPD”).
2. Objeto e instruções de tratamento
O operador trata os dados pessoais exclusivamente para prestar o serviço descrito na Política de Privacidade: organizar finanças, tarefas, agenda, hábitos e metas, interpretar mensagens de WhatsApp enviadas ao Alvio e enviar os lembretes configurados pelo Controlador. O operador não usa os dados para finalidade própria, não os vende e não os utiliza para publicidade.
O operador age conforme as instruções documentadas do Controlador, representadas por este DPA, pela Política de Privacidade e pelas ações do Controlador dentro do produto.
3. Categorias de dados e titulares
São tratados: dados de conta (e-mail e autenticação); conteúdo criado pelo Controlador (transações financeiras, tarefas, eventos de agenda, hábitos, metas e lembretes); mensagens de WhatsApp enviadas ao Alvio; e dados técnicos mínimos de funcionamento e segurança. Os titulares são o próprio Controlador e, eventualmente, terceiros mencionados no conteúdo que ele registra.
4. Sub-operadores
O Controlador autoriza o operador a contratar sub-operadores para a prestação do serviço. Os sub-operadores atuais do Alvio são:
| Sub-operador | Finalidade |
|---|---|
| Supabase | Banco de dados e autenticação (armazenamento dos dados da conta e do conteúdo). |
| OpenAI (incluindo Whisper) | Interpretação de mensagens de texto e transcrição de áudios enviados ao Alvio por WhatsApp. |
| Anthropic (Claude) | Classificação e interpretação de mensagens para registrar o que o usuário pediu. |
| Provedor de WhatsApp (wuzapi) | Envio e recebimento das mensagens entre o usuário e o Alvio. |
| Google (Google Calendar) | Criação e atualização de eventos, apenas quando o usuário conecta a conta (escopo limitado a eventos criados pelo Alvio). |
O operador impõe aos sub-operadores obrigações de proteção de dados compatíveis com este DPA e permanece responsável perante o Controlador pelo cumprimento delas. Mudanças relevantes na lista de sub-operadores serão comunicadas no serviço.
5. Confidencialidade
O operador garante que as pessoas autorizadas a tratar os dados pessoais estão sujeitas a dever de confidencialidade e tratam os dados apenas na medida necessária à prestação do serviço.
6. Segurança (art. 46 da LGPD)
O operador adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou difusão. Entre elas: isolamento por usuário (Row Level Security), criptografia em trânsito (SSL/TLS), controle de acesso por autenticação e registros de acesso.
7. Incidentes de segurança (art. 48 da LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o operador comunicará o Controlador sem demora injustificada, com as informações disponíveis para que o Controlador avalie a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, conforme o art. 48 da LGPD.
8. Apoio ao Controlador e direitos dos titulares
O operador apoia o Controlador no atendimento aos pedidos de titulares (acesso, correção, portabilidade, eliminação e revogação de consentimento) e no cumprimento das obrigações dos arts. 46 a 49 da LGPD, na medida da sua atuação como operador.
9. Eliminação dos dados
Ao término da prestação do serviço, ou mediante solicitação do Controlador, o operador elimina os dados pessoais tratados, salvo quando a conservação for exigida por obrigação legal ou regulatória. O Controlador pode excluir registros diretamente no aplicativo e solicitar o encerramento da conta pelo contato abaixo.
10. Vigência
Este DPA vigora enquanto o operador tratar dados pessoais em nome do Controlador, ou seja, durante todo o uso do Alvio.
11. Contato e Encarregado (DPO)
Para assuntos de proteção de dados, exercício de direitos ou comunicação de incidentes, fale com o Encarregado pelo tratamento de dados: privacidade@factorya.com.br.