Jurídico

Contrato de Tratamento de Dados (DPA)

Nos dados de candidatos, o cliente é o controlador e o Candit é o operador. Este contrato define as obrigações das partes nos termos da LGPD.

1. Partes e Papéis

Este Contrato de Tratamento de Dados (DPA) é celebrado entre a empresa cliente que utiliza o Candit e a Selenly LLC ("Candit"), operadora da plataforma. Em relação aos dados pessoais de candidatos e potenciais candidatos, o Cliente é o controlador e o Candit é o operador, nos termos da LGPD (Lei nº 13.709/2018). Nos tratamentos realizados para finalidades próprias do Candit — segurança da plataforma, registros (logs) e prevenção a fraudes — o Candit atua como controlador independente.

2. Objeto e Escopo

O Candit trata os dados pessoais de candidatos exclusivamente conforme as instruções documentadas do Cliente e para a prestação do serviço. Os dados de candidatos não são utilizados para treinar modelos ou produtos.

3. Obrigações do Candit (Operador)

Tratamento somente conforme instruções; compromisso de confidencialidade do pessoal; medidas técnicas e administrativas de segurança adequadas, nos termos do art. 46 da LGPD; comunicação ao Cliente, sem demora injustificada (no máximo em 72 horas), após tomar conhecimento de incidente de segurança; apoio no atendimento às solicitações dos titulares; e eliminação ou devolução dos dados pessoais ao término do contrato.

4. Obrigações do Cliente (Controlador)

Cabe ao Cliente: estabelecer a base legal para o tratamento dos dados dos candidatos, fornecer os avisos de privacidade e obter os consentimentos exigidos, garantir a licitude das instruções dadas ao Candit e informar corretamente a identidade do controlador nas configurações da plataforma.

5. Suboperadores

O Cliente concede autorização geral para os seguintes suboperadores utilizados na prestação do serviço: Supabase (banco de dados e armazenamento), OpenAI e Anthropic (avaliação apoiada por IA), ElevenLabs (entrevistas por voz), Resend (e-mail), Stripe (pagamentos; nenhum dado de candidato é transferido) e Google (calendário, mediante opt-in). Alterações de suboperadores são comunicadas com antecedência razoável; o Cliente pode se opor por motivo justificado.

6. Transferência Internacional

A infraestrutura de produção está hospedada nos Estados Unidos; as transferências são realizadas em conformidade com o art. 33 e seguintes da LGPD, com salvaguardas adequadas, como cláusulas contratuais específicas ou padrão. O consentimento, isoladamente, não é utilizado como base para transferências sistemáticas.

7. Segurança dos Dados

São aplicados: criptografia em trânsito (TLS), controle de acesso baseado em papéis e verificação adicional no acesso de administradores, trilha de auditoria, monitoramento de eventos de segurança, isolamento por cliente (tenant) e criptografia em repouso de credenciais sensíveis.

8. Retenção e Eliminação

As gravações de entrevistas por voz são mantidas por no máximo 180 dias e os registros do banco de talentos por no máximo 2 anos, com eliminação automática ao final do prazo. Os dados também são eliminados mediante solicitação do titular.

9. Direitos dos Titulares

Os titulares podem exercer os direitos previstos no art. 18 da LGPD pelos canais disponibilizados pelo Cliente ou pelo e-mail destek@candit.ai. O Candit fornece ao Cliente o apoio técnico necessário para o atendimento dessas solicitações.

10. Vigência e Lei Aplicável

Este DPA entra em vigor com a aceitação pelo Cliente na criação da conta ou no uso do serviço e é parte integrante do contrato de prestação de serviços. Aplica-se o direito brasileiro, em especial a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018).