DPA e Tratamento de Dados para Clientes B2B

1. Título e escopo

Esta página explica como o Candidate.IA estrutura acordos de tratamento de dados para clientes empresariais na operação Brasil/LGPD.

Candidate.IA é uma marca operada por Alcance Ia LTDA, inscrita no CNPJ sob nº 52.642.129/0001-05.

O DPA pode ser aplicável quando uma organização usa o Candidate.IA para tratar dados de candidatos, usuários, colaboradores, avaliadores ou processos próprios.

O DPA final depende de contrato, escopo contratado, funcionalidades utilizadas, região, integrações, volume, requisitos do cliente e revisão jurídica das partes.

Esta página é informativa, não substitui contrato assinado e não significa aceite automático de DPA por visita à página.

Versão 1.0 — vigente a partir de 17 de maio de 2026.

2. O que é um DPA

DPA é um acordo ou anexo que define regras de tratamento de dados pessoais entre cliente e fornecedor.

Ele pode tratar papéis de controlador e operador, instruções documentadas, segurança, subprocessadores, transferência internacional, incidentes, direitos dos titulares, retenção, devolução, exclusão e encerramento.

Em SaaS B2B, o DPA ajuda a documentar responsabilidades, limites operacionais, cooperação e medidas de proteção de dados entre as partes.

3. Quando o DPA pode ser necessário

Um DPA pode ser necessário quando uma empresa cliente usa o Candidate.IA em processos com candidatos, profissionais, colaboradores, recrutadores, avaliadores ou usuários de uma organização.

Isso inclui, conforme aplicável, fluxos com entrevistas, testes, assessments, relatórios, match, recomendações, IA, análise de currículos ou documentos e gestão de processos próprios da organização.

O DPA é especialmente relevante quando a organização define a finalidade, critérios, base legal e uso dos resultados, e quando há dados de candidatos ou profissionais tratados por instrução dessa organização.

4. Papéis: controlador e operador

Em muitos fluxos B2B, a organização cliente pode atuar como controladora do processo, definindo finalidades, critérios, comunicações, convites, uso dos relatórios e decisões sobre candidatos ou profissionais.

O Candidate.IA pode atuar como operador ao tratar dados conforme instruções da organização cliente, por exemplo em processamento de documentos, entrevistas, testes, relatórios, análises, exportações ou rotinas de suporte ao processo.

O Candidate.IA também pode atuar como controlador independente para finalidades próprias, como segurança, autenticação, billing, logs técnicos, suporte, cookies ou analytics próprios quando aplicável, governança de subprocessadores, incidentes próprios e defesa de direitos.

O papel final depende do contrato, fluxo, funcionalidade e finalidade específica do tratamento.

5. O que o DPA pode cobrir

O DPA pode cobrir escopo do tratamento, categorias de dados, categorias de titulares, instruções documentadas, medidas técnicas e organizacionais, confidencialidade, subprocessadores e transferência internacional.

Também pode prever pedidos de titulares, incidentes, retenção, devolução, exclusão, backups, auditoria, evidências, encerramento, cooperação e limites de atendimento.

Quando aplicável, o DPA ou contrato pode tratar IA, scores, match, revisão humana, dados sensíveis incidentais, menores ou adolescentes e transparência em processos conduzidos por organizações clientes.

6. Dados e funcionalidades relevantes

O tratamento pode envolver candidatos e profissionais, usuários da organização, administradores, recrutadores, avaliadores, currículos, documentos, entrevistas, transcrições, testes, assessments, relatórios de IA, match, recomendações e dados de processo.

Também podem existir dados de billing, créditos, logs técnicos, registros de auditoria, incidentes, privacy records, exportações, pedidos de titulares e evidências operacionais minimizadas.

As categorias finais dependem das funcionalidades utilizadas, permissões, configuração, plano, contrato e instruções da organização cliente.

7. IA, scores e decisões relevantes

Recursos de IA, scores, relatórios, match e recomendações devem ser tratados como apoio informacional.

Clientes B2B são responsáveis pelo uso dos resultados em seus processos quando atuarem como controladores, incluindo critérios, revisão humana, comunicação, base legal, transparência e decisões relevantes sobre pessoas.

O DPA ou contrato pode estabelecer responsabilidades sobre revisão humana, explicações, limites de uso, transparência, registro de decisões e cooperação em pedidos de titulares.

O Candidate.IA não expõe prompts internos, chain-of-thought, segredos comerciais, dados de terceiros ou informações que comprometam segurança, prevenção a abuso ou propriedade intelectual.

8. Subprocessadores e transferência internacional

O Candidate.IA pode usar fornecedores de infraestrutura, IA, analytics consentido, pagamentos, suporte, hospedagem e serviços técnicos conforme a necessidade operacional e a funcionalidade utilizada.

A lista pública de fornecedores fica em /pt/subprocessadores e pode ser atualizada conforme contratos, arquitetura, regiões, funcionalidades e fornecedores evoluírem.

O DPA pode prever autorização geral ou específica para subprocessadores, aviso de novos fornecedores, direito de objeção e medidas aplicáveis para transferência internacional.

A existência desta página não significa que todos os fornecedores estejam automaticamente aprovados por todos os clientes; regras específicas dependem de contrato, DPA e contexto aplicável.

9. Segurança e medidas técnicas

Medidas de segurança podem incluir segregação multi-tenant, controle de acesso, storage privado, redaction de logs, webhooks e fluxos de IA, exportação sanitizada, registro de incidentes, consentimento de analytics, testes e documentação.

Rotinas de exclusão ou anonimização podem envolver dry-run, aprovação, validação de escopo e legal hold quando aplicável.

A página de segurança em /pt/seguranca descreve controles públicos de alto nível sem expor arquitetura interna ou detalhes sensíveis.

10. Direitos dos titulares em contexto B2B

Pedidos de titulares podem ser recebidos pelo Candidate.IA ou diretamente pelo cliente B2B, conforme canal, contexto, contrato e papel das partes.

Em dados de processo B2B, a organização cliente pode precisar decidir a resposta por atuar como controladora do processo. Nesses casos, o atendimento pode ficar aguardando validação da organização controladora.

O Candidate.IA pode apoiar tecnicamente exportação, exclusão, anonimização, explicações, registros, evidências e rotinas operacionais, conforme aplicável e conforme contrato ou instruções da organização cliente.

11. Incidentes

O DPA pode definir como o Candidate.IA avisará o cliente em incidentes que afetem dados do tenant, processo ou ambiente contratado, conforme escopo e requisitos aplicáveis.

O Candidate.IA registra e apoia resposta a incidentes, incluindo avaliação, contenção, evidências, investigação e cooperação conforme o papel das partes.

Comunicação à ANPD ou a titulares depende do controlador competente, DPO ou jurídico, avaliação de risco e requisitos legais aplicáveis.

12. Retenção, encerramento e backups

Cliente e Candidate.IA podem definir regras de retenção por categoria de dados, finalidade, contrato, obrigação legal, segurança, auditoria, evidência e encerramento do serviço.

Dados de processo podem seguir instruções do cliente, contrato, legal hold e requisitos aplicáveis. Dados de billing, fiscais, segurança, auditoria e evidências podem ter retenção própria.

Backups seguem ciclo técnico próprio, e a remoção em cópias de segurança pode ocorrer conforme expiração, sobrescrita, isolamento ou outros mecanismos técnicos aplicáveis.

13. Como solicitar ou revisar o DPA

Clientes B2B interessados podem solicitar informações sobre DPA pelo canal comercial indicado no site ou pelo Canal de Privacidade em /pt/privacidade/contato.

O DPA pode variar por plano, escopo, região, volume, integrações, funcionalidades utilizadas, exigências contratuais e revisão jurídica das partes.

Solicitar informações sobre DPA: /pt/privacidade/contato.

14. Limites desta página

Esta página é informativa e não substitui contrato assinado, proposta comercial, ordem de serviço, DPA negociado ou anexo específico.

Ela não altera automaticamente os Termos de Uso, a Política de Privacidade, a Política de Cookies ou contrato específico firmado com cliente.

Em caso de divergência, contrato assinado pode prevalecer, conforme aplicável e nos limites da legislação.

15. Links úteis

Política de Privacidade: /pt/privacidade. Termos de Uso: /pt/termos. Política de Cookies: /pt/cookies. Subprocessadores: /pt/subprocessadores. Segurança: /pt/seguranca. LGPD: /pt/lgpd. Canal de Privacidade: /pt/privacidade/contato.