Migração 100% grátis + 1 mês grátis com cupom MIGRAR1MES · novos clientes em planos até R$ 200/mês Migrar agora

Cláusulas Contratuais (DPA)

Versão 1.0 ·
Quem precisa deste documento. Este Acordo aplica-se ao Cliente que, ao utilizar a infraestrutura Rollin Host, processa dados pessoais de terceiros (clientes finais, usuários, leads). Nesse caso, você é o controlador e a Rollin Host atua como operadora desses dados, na forma da LGPD.

1. Objeto e papéis das partes

Estas Cláusulas Contratuais ("Acordo" ou "DPA") regulamentam o tratamento de dados pessoais de terceiros realizado pela Rollin Serviços Digitais e Tecnologia LTDA, CNPJ 64.204.851/0001-39 ("Rollin Host" ou "Operadora"), por conta e ordem do Cliente ("Controlador"), no âmbito dos serviços de hospedagem, VPS, dedicado, e-mail e correlatos ("Serviços").

O Cliente é o Controlador dos dados pessoais que carrega, processa ou armazena nos Serviços, definindo finalidades e meios essenciais do tratamento. A Rollin Host é a Operadora, atuando segundo as instruções documentadas do Controlador (art. 5º, VI e VII, da LGPD).

Este Acordo integra e complementa os Termos de Serviço e a Política de Privacidade, prevalecendo, em caso de conflito, no que tange ao tratamento de dados pessoais.

2. Definições

Os termos abaixo seguem as definições da Lei nº 13.709/2018 (LGPD):

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
  • Dado pessoal sensível: dados sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos (art. 5º, II).
  • Tratamento: toda operação realizada com dados pessoais (art. 5º, X).
  • Titular: pessoa natural a quem se referem os dados pessoais (art. 5º, V).
  • Controlador: a quem competem as decisões referentes ao tratamento (art. 5º, VI).
  • Operador: realiza o tratamento em nome do controlador (art. 5º, VII).
  • Suboperador: terceiro contratado pela Operadora para realizar parte do tratamento.
  • Incidente: evento que cause acesso não autorizado, perda, destruição, alteração ou exfiltração de dados pessoais.
  • ANPD: Autoridade Nacional de Proteção de Dados.

3. Quando se aplica este Acordo

Este Acordo aplica-se sempre que o Cliente, ao utilizar os Serviços, armazenar ou processar dados pessoais de terceiros — situação típica em sites com formulários, lojas virtuais, sistemas de CRM hospedados na infraestrutura, listas de e-mail, painéis de gestão, e similares.

O aceite dos Termos de Serviço e/ou do Termo de Adesão, combinado com o efetivo armazenamento ou processamento de dados pessoais nos Serviços, equivale ao aceite deste Acordo, dispensando, salvo solicitação expressa, formalização específica em documento apartado. Cliente PJ que necessite de DPA assinado fisicamente deve solicitar pelo dpo@rollinhost.com.br.

4. Finalidades e instruções de tratamento

A Rollin Host trata dados pessoais do Controlador exclusivamente para os fins de:

  • Disponibilizar a infraestrutura computacional contratada (armazenamento, processamento, rede);
  • Executar backups conforme a Política de Backup;
  • Garantir a segurança dos serviços (proteção contra ataques, fraudes, abusos);
  • Cumprir obrigações legais e regulatórias aplicáveis;
  • Atender solicitações específicas do Controlador (suporte técnico, restauração de backup, migração).

O Controlador instrui a Operadora a tratar os dados pessoais somente para as finalidades acima. Instruções específicas adicionais devem ser comunicadas por canal autenticado (ticket, e-mail cadastrado). A Operadora informará tempestivamente caso uma instrução, em sua avaliação, conflite com a LGPD ou outra norma aplicável.

5. Natureza, categorias e titulares

5.1 Natureza dos dados

A natureza, o volume e as categorias de dados pessoais tratados são determinados unilateralmente pelo Controlador. A Rollin Host não tem controle sobre o conteúdo carregado pelo Cliente, salvo pela observação de regras técnicas e legais (limites do plano, obrigações da AUP).

5.2 Categorias usuais de titulares

De forma exemplificativa e não exaustiva, os titulares cujos dados podem ser tratados nos Serviços incluem: clientes finais do Controlador, leads, fornecedores, colaboradores do Controlador, e usuários cadastrados em sistemas hospedados. Em circunstâncias específicas, podem ser tratados dados de crianças e adolescentes — nesse caso, o Controlador é integralmente responsável pela obtenção do consentimento parental, conforme art. 14 da LGPD.

5.3 Dados sensíveis

O Controlador deve avaliar internamente se os dados que carrega são sensíveis (art. 11 da LGPD) e, se for o caso, aplicar as bases legais e medidas de segurança adicionais cabíveis. A Rollin Host disponibiliza mecanismos técnicos compatíveis com o tratamento de dados sensíveis (criptografia, controles de acesso, logs), mas a configuração final é responsabilidade do Controlador.

6. Duração do tratamento

A Operadora trata os dados pessoais pelo período de vigência dos Serviços contratados, observados os prazos de eliminação após o término, conforme seção 13 e a Política de Backup, seção 10.

7. Suboperadores

O Controlador autoriza, por meio deste Acordo, a contratação dos seguintes tipos de suboperadores pela Rollin Host, observado o dever de adotar medidas mínimas de segurança equivalentes às praticadas internamente:

  • Provedores de datacenter e infraestrutura física;
  • Operadores de telecomunicações e provedores de trânsito de internet;
  • Provedores de serviços de mitigação de DDoS e proteção de borda;
  • Provedores de meios de pagamento (para fins de cobrança da Rollin Host com o Cliente — não para os pagamentos do Controlador com seus clientes finais);
  • Ferramentas de suporte e atendimento (sistemas de tickets, comunicação interna).

A Rollin Host informará alterações materiais na lista de suboperadores com antecedência razoável. O Controlador pode solicitar a relação atualizada de suboperadores efetivamente envolvidos com seus Serviços, mediante requerimento ao DPO.

A Rollin Host responde perante o Controlador pela atuação de seus suboperadores no tratamento dos dados pessoais, nos termos do art. 39, §3º, da LGPD, observados os limites contratuais e legais.

8. Transferência internacional

Os Serviços são prestados preferencialmente em datacenters localizados no território brasileiro ou em jurisdições com nível adequado de proteção de dados, conforme avaliação da Rollin Host. Quando houver transferência internacional, ela observará as bases legais previstas no art. 33 da LGPD (notadamente cláusulas-padrão contratuais ou medidas equivalentes).

A localização específica de datacenter aplicável ao Serviço contratado pode ser informada mediante solicitação ao DPO.

9. Medidas de segurança da informação

A Rollin Host adota medidas técnicas e administrativas para proteger os dados pessoais, incluindo, no mínimo:

  • Criptografia em trânsito (TLS 1.2+) em todas as conexões a painéis e APIs;
  • Criptografia em repouso para backups e volumes destinados a esse fim;
  • Controle de acesso baseado em papéis (RBAC) à infraestrutura interna, com autenticação multifator (MFA) para colaboradores que atuam em ambientes que tocam dados de clientes;
  • Segregação lógica entre tenants (isolamento por conta cPanel, máquina virtual, container ou rede);
  • Trilhas de auditoria das operações administrativas relevantes;
  • Endurecimento dos sistemas operacionais (hardening), aplicação de patches de segurança;
  • Proteção perimetral contra ataques (firewall, mitigação de DDoS, detecção e bloqueio de tentativas de intrusão);
  • Procedimentos formais de resposta a incidentes;
  • Treinamento periódico das equipes que tocam dados pessoais.

Algumas configurações específicas (por exemplo, o uso de criptografia em nível de aplicação para dados sensíveis dentro do próprio sistema do Controlador) cabem ao Controlador, no exercício de suas responsabilidades operacionais.

10. Incidentes de segurança

Em caso de incidente de segurança envolvendo dados pessoais sob a responsabilidade do Controlador, a Rollin Host:

  • Notifica o Controlador sem demora injustificada, prazo este que não excederá 72 (setenta e duas) horas a contar da efetiva ciência do incidente, salvo em casos em que a lei ou a investigação forense exijam outro prazo;
  • Fornece, na medida do possível, informações sobre: natureza do incidente, dados pessoais afetados, titulares envolvidos (estimativa quando não houver número exato), medidas adotadas e mitigações em curso;
  • Coopera com o Controlador no atendimento de eventual obrigação de comunicar à ANPD ou aos titulares, nos termos do art. 48 da LGPD;
  • Mantém registros internos do incidente e suas tratativas pelo prazo legal aplicável.

A obrigação de comunicar à ANPD e/ou aos titulares, quando aplicável, é do Controlador, exceto se o incidente afetar exclusivamente serviços e dados sob responsabilidade da Rollin Host.

11. Direitos dos titulares

Os direitos previstos no art. 18 da LGPD (acesso, retificação, portabilidade, eliminação, anonimização etc.) são exercidos primariamente perante o Controlador. A Rollin Host, na qualidade de Operadora, presta cooperação técnica razoável quando o Controlador necessitar de auxílio para atender à requisição do titular — por exemplo, para localizar registros, exportar dados ou eliminar informações específicas dos sistemas hospedados.

Solicitações de titulares recebidas diretamente pela Rollin Host envolvendo dados sob controle do Cliente são encaminhadas ao Controlador em até 5 (cinco) dias úteis, juntamente com as informações necessárias para o atendimento.

12. Auditoria e cooperação

Mediante solicitação razoável e com antecedência mínima de 30 dias, o Controlador pode requerer:

  • Documentação de medidas técnicas e administrativas adotadas pela Rollin Host;
  • Sumários de relatórios externos de segurança que a Rollin Host venha a produzir (auditorias internas, testes de invasão);
  • Esclarecimentos por escrito sobre práticas de tratamento.

Auditorias presenciais ou inspeções on-site não são, em regra, autorizadas em razão da natureza compartilhada da infraestrutura e dos riscos a outros clientes; a Rollin Host fornece evidências documentais equivalentes. Eventuais solicitações de auditoria serão analisadas individualmente, observados o sigilo, a segurança e os custos envolvidos.

13. Devolução e eliminação dos dados

Ao término dos Serviços (cancelamento, rescisão, fim do contrato), a Rollin Host, conforme instruções do Controlador:

  • Disponibiliza, durante o período de retenção definido na Política de Backup, mecanismo para o Controlador exportar seus dados;
  • Após o decurso do prazo, elimina os dados pessoais e seus backups, ressalvada a retenção mínima exigida por obrigação legal ou regulatória.

A solicitação de eliminação imediata pelo titular (LGPD art. 18, VI) é executada nos termos da Política de Backup, seção 11, observando a quarentena lógica quando aplicável.

14. Responsabilidade

Cada parte é responsável pelo cumprimento de suas obrigações decorrentes da LGPD e deste Acordo. A responsabilidade civil das partes perante terceiros e ANPD observa o art. 42 e seguintes da LGPD, levando em conta os papéis efetivamente desempenhados (Controlador x Operadora) e a contribuição causal de cada uma para o eventual dano.

Eventual indenização devida pela Rollin Host ao Controlador, em razão de descumprimento deste Acordo, observa o limite de responsabilidade previsto nos Termos de Serviço, salvo nas hipóteses em que a lei vede tal limitação.

15. Vigência e rescisão

Este Acordo vigora pelo mesmo prazo dos Serviços contratados e produz efeitos enquanto houver tratamento de dados pessoais sob a responsabilidade do Controlador na infraestrutura da Rollin Host. As obrigações que, por sua natureza, devam subsistir ao término (por exemplo, sigilo, notificação de incidentes ainda não comunicados, eliminação dos dados) permanecem aplicáveis após a rescisão.

16. Lei aplicável e foro

Este Acordo rege-se pelas leis brasileiras, com destaque para a LGPD (Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014). Fica eleito o foro da Comarca de Campinas — SP, ressalvado o direito do consumidor pessoa física à comarca de seu domicílio (CDC, art. 101, I).

17. Contato e DPO (Encarregado)

A Rollin Host disponibiliza canal específico para questões relacionadas a tratamento de dados pessoais, sob responsabilidade do Encarregado (Data Protection Officer — DPO):