Acordo legal vigente

Acordo de Tratamento de Dados

Este Acordo de Tratamento de Dados ("DPA") regula o tratamento de Dados Pessoais que a talyzr SpA ("Operador") realiza por conta do Cliente ("Controlador") no âmbito da prestação do serviço talyzr. Faz parte integrante do Contrato Principal celebrado entre as partes e aplica-se automaticamente a todos os clientes que utilizem o serviço.

Última atualização: 14 de maio de 2026 · Versão: 1.0

1. Definições e partes

As Partes. Este DPA é celebrado entre o Cliente ("Controlador"), entidade que contrata o serviço talyzr e determina as finalidades e meios do tratamento de Dados Pessoais; e a talyzr SpA, sociedade por ações constituída no Chile ("Operador" ou "talyzr"), que trata Dados Pessoais exclusivamente por conta do Controlador.

Para os fins deste DPA, entende-se por:

  • Dados Pessoais: qualquer informação relativa a uma pessoa natural identificada ou identificável, conforme a Lei n.º 21.719 do Chile, o GDPR (UE) 2016/679, a LGPD (Brasil) Lei 13.709/2018 e demais normas equivalentes aplicáveis.
  • Tratamento: qualquer operação realizada sobre Dados Pessoais (coleta, armazenamento, organização, consulta, comunicação, exclusão etc.).
  • Subprocessador: terceiro contratado pela talyzr para tratar Dados Pessoais por conta do Controlador, listado no Anexo B.
  • Titular: pessoa natural a quem se referem os Dados Pessoais (tipicamente, empregados, candidatos e gestores do Controlador).
  • Violação de Segurança: incidente que resulta na destruição, perda, alteração, comunicação ou acesso não autorizado a Dados Pessoais.
  • Instruções Documentadas: o Contrato Principal, este DPA e quaisquer instruções adicionais que o Controlador transmita por escrito ou por meio dos painéis de configuração do serviço.

2. Objeto e duração do tratamento

A talyzr trata Dados Pessoais única e exclusivamente para prestar o serviço talyzr ao Controlador conforme o Contrato Principal e as Instruções Documentadas. A talyzr não utilizará os Dados Pessoais para fins próprios, não os venderá, não os compartilhará com terceiros distintos dos Subprocessadores listados no Anexo B, nem os empregará para treinar modelos próprios de inteligência artificial.

O tratamento manter-se-á vigente enquanto durar a relação contratual entre o Controlador e a talyzr, acrescido de um período de retenção pós-cancelamento de 30 (trinta) dias corridos para permitir ao Controlador exportar seus dados, conforme regulado na seção "Devolução e destruição".

3. Natureza do tratamento

A descrição detalhada dos Dados Pessoais tratados, das categorias de Titulares, das finalidades, da frequência e da duração consta do Anexo A deste DPA.

Categorias sensíveis sob o GDPR Art. 9 / Lei 21.719 (dados especialmente protegidos): a talyzr não trata dados relativos a saúde, vida sexual ou orientação sexual, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, origem racial ou étnica, dados genéticos, dados biométricos para identificação unívoca, nem dados relativos a condenações ou infrações penais. O Controlador obriga-se a não incorporar tais dados ao serviço talyzr, salvo acordo prévio e por escrito com a talyzr que defina as salvaguardas adicionais aplicáveis.

4. Obrigações do Operador

Conforme o Artigo 28(3) do GDPR e disposições equivalentes da LGPD e da Lei 21.719, a talyzr obriga-se a:

  • Tratar os Dados Pessoais apenas conforme as Instruções Documentadas do Controlador, inclusive quanto a transferências internacionais, salvo quando uma obrigação legal exigir o contrário, hipótese em que a talyzr informará o Controlador antes do tratamento.
  • Garantir que as pessoas autorizadas a tratar os Dados Pessoais tenham se comprometido a respeitar a confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade.
  • Aplicar as medidas técnicas e organizativas apropriadas descritas na seção "Medidas técnicas e organizativas" e no Anexo II do Contrato Principal, quando existir.
  • Cumprir as condições de subprocessamento estabelecidas na seção "Subprocessadores".
  • Assistir o Controlador no cumprimento das solicitações dos Titulares (acesso, retificação, exclusão, oposição, portabilidade, limitação) por meio das ferramentas técnicas oferecidas pelo serviço.
  • Assistir o Controlador na garantia do cumprimento das obrigações de segurança, notificação de violações, avaliações de impacto (DPIA) e consultas prévias à autoridade de controle.
  • A critério do Controlador, excluir ou devolver todos os Dados Pessoais após o término da prestação do serviço e excluir as cópias existentes, salvo obrigação legal de conservação.
  • Disponibilizar ao Controlador as informações necessárias para demonstrar o cumprimento das obrigações aqui estabelecidas e permitir as auditorias descritas na seção correspondente.

5. Notificação de violações de segurança

A talyzr notificará o Controlador sobre qualquer Violação de Segurança que afete seus Dados Pessoais sem demora indevida e, em qualquer caso, dentro de 72 (setenta e duas) horas corridas a partir do conhecimento da violação pela talyzr.

A notificação conterá, no mínimo:

  • Natureza da violação, incluindo, quando possível, as categorias e o número aproximado de Titulares afetados e de registros de Dados Pessoais afetados.
  • Dados de contato do responsável da talyzr para gerir a violação.
  • Consequências prováveis da violação.
  • Medidas adotadas ou propostas pela talyzr para abordá-la e mitigar seus possíveis efeitos adversos.

Se a informação completa não estiver disponível no momento da notificação inicial, a talyzr a entregará em fases à medida que for obtida, sem demoras injustificadas.

A notificação será enviada por correio eletrônico ao contato técnico-legal designado pelo Controlador no painel da talyzr. O Controlador é responsável por manter atualizada essa informação de contato.

O Controlador, em sua qualidade de Responsável pelo Tratamento, é quem deve efetuar as notificações às autoridades de controle e aos Titulares quando cabível. A talyzr prestará toda a assistência razoável para que o Controlador possa cumprir oportunamente tais notificações.

6. Direitos dos Titulares

O Controlador, como Responsável pelo Tratamento, atende diretamente às solicitações dos Titulares relativas aos seus direitos de acesso, retificação, exclusão, oposição, portabilidade, limitação do tratamento e retirada do consentimento.

A talyzr assistirá o Controlador no atendimento dessas solicitações por meio de:

  • Funcionalidades do produto: exportação de dados em formato estruturado (ZIP com arquivos JSON/CSV) disponível no fluxo "GDPR export" do painel; edição e exclusão de registros pela interface do Controlador; histórico de alterações no AuditLog imutável.
  • Assistência operativa: resposta a consultas específicas do Controlador em até 10 (dez) dias úteis a partir do recebimento da solicitação, sem prejuízo de prazos menores estabelecidos por lei.

Se um Titular contatar a talyzr diretamente exercendo um direito, a talyzr encaminhará a solicitação ao Controlador sem processá-la, salvo instrução expressa do Controlador em contrário.

7. Subprocessadores

O Controlador autoriza de forma geral a talyzr a contratar Subprocessadores para o tratamento de Dados Pessoais, conforme as condições estabelecidas nesta seção e a lista atualizada do Anexo B.

A talyzr obriga-se a:

  • Celebrar um contrato escrito com cada Subprocessador que imponha obrigações de proteção de dados equivalentes às estabelecidas neste DPA.
  • Manter uma lista atualizada de Subprocessadores no Anexo B e comunicar ao Controlador toda incorporação ou substituição planejada com pelo menos 30 (trinta) dias de antecedência.
  • Responder perante o Controlador pelo cumprimento das obrigações de cada Subprocessador como se fossem próprias.

Direito de objeção: nos 30 dias posteriores à notificação de uma alteração de Subprocessador, o Controlador poderá objetar à alteração por motivos razoáveis relacionados à proteção de Dados Pessoais. Se a objeção não puder ser resolvida por meio de medidas técnicas ou organizativas adicionais, o Controlador poderá rescindir o Contrato Principal sem penalidade quanto ao serviço afetado, com direito à devolução proporcional dos valores pré-pagos não auferidos.

8. Transferências internacionais

A infraestrutura principal da talyzr está hospedada na região AWS sa-east-1 (São Paulo, Brasil). Os dados dos clientes LATAM permanecem residentes nessa região.

Alguns Subprocessadores listados no Anexo B tratam dados fora da região principal (Estados Unidos, União Europeia, Reino Unido). Para essas transferências, aplicam-se os mecanismos legais a seguir:

  • Para Controladores estabelecidos no Espaço Econômico Europeu ou no Reino Unido, as transferências são realizadas sob as Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia mediante a Decisão de Execução (UE) 2021/914 — Módulo Two (Controlador-para-Operador), incorporadas por referência no Anexo C deste DPA.
  • Para Controladores estabelecidos no Brasil ou no Chile, as transferências são realizadas em conformidade com os mecanismos previstos pela LGPD e pela Lei 21.719 respectivamente.

A talyzr aplica medidas técnicas e organizativas adicionais para as transferências internacionais, incluindo criptografia em trânsito (TLS 1.2+) e em repouso, controles de acesso sob o princípio do menor privilégio e revisão periódica da adequação do destino conforme o critério Schrems II.

9. Medidas técnicas e organizativas

A talyzr implementa e mantém medidas técnicas e organizativas apropriadas para garantir um nível de segurança adequado ao risco, conforme o GDPR Art. 32 e normas equivalentes.

Medidas técnicas vigentes:

  • Criptografia em trânsito mediante TLS 1.2 ou superior em todas as comunicações públicas.
  • Criptografia em repouso de bancos de dados (Neon PostgreSQL gerenciado) e armazenamento de objetos (Amazon S3 com SSE-S3).
  • Isolamento multi-tenant aplicado na camada ORM por meio de filtragem obrigatória pelo identificador de empresa em todas as consultas, com falha fechada na ausência do identificador.
  • Autenticação baseada em JWTs de curta duração, segundo fator TOTP, SSO empresarial opcional (SAML 2.0, OIDC) e provisionamento via SCIM 2.0.
  • Validação de senhas contra o serviço Have I Been Pwned para bloquear credenciais comprometidas conhecidas.
  • Backups automatizados com recuperação a ponto no tempo (point-in-time recovery) gerenciados pelo provedor do banco de dados.
  • Registro de auditoria persistente para todas as ações críticas (criação, modificação e exclusão de recursos) consultável pelo Controlador.
  • Monitoramento de erros e disponibilidade via Sentry com limpeza automática de informações pessoais identificáveis (PII).
  • Endpoints de health-check (/health/live, /health/ready) para monitoramento externo de disponibilidade.
  • Cabeçalhos de segurança web: HSTS de 2 anos, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy restritiva, Content-Security-Policy em modo Report-Only com migração planejada para enforce.
  • WAF e CDN globais com regras gerenciadas e regras personalizadas para o caso de uso da talyzr.
  • Rate limiting global (60 requisições por minuto por padrão) e específico em endpoints de autenticação.
  • Redação de informações pessoais identificáveis antes do envio de prompts a provedores de inteligência artificial.
  • Revisão de código obrigatória mediante pull requests antes de cada implantação em produção.

Medidas organizativas vigentes:

  • O pessoal com acesso a Dados Pessoais assinou acordo de confidencialidade (NDA) e está sujeito a obrigações contratuais e legais de confidencialidade conforme o Código do Trabalho chileno e normas equivalentes.
  • Acesso a sistemas de produção restrito conforme o princípio do menor privilégio, com revisão periódica.
  • Segundo fator de autenticação obrigatório para todas as contas com acesso à produção.
  • Política documentada de resposta a incidentes com fases definidas (detecção, contenção, erradicação, recuperação e postmortem) e prazos de notificação ao Controlador alinhados com a seção "Notificação de violações".
  • Processos formais de onboarding e offboarding do pessoal, com provisão e revogação tempestiva de credenciais.
  • Política de gestão de credenciais e rotação periódica de chaves de provedores.

10. Auditorias e direitos de inspeção

A talyzr disponibiliza ao Controlador as informações razoavelmente necessárias para demonstrar o cumprimento das obrigações deste DPA, incluindo:

  • Documentação pública sobre arquitetura, subprocessadores e medidas de segurança disponível em talyzr.com.
  • Resposta a questionários de segurança padrão (SIG Lite, CAIQ ou equivalentes) até uma vez por ano por Controlador, sem custo adicional.
  • Relatórios de certificações que a talyzr venha a obter (SOC 2, ISO/IEC 27001), quando disponíveis. A talyzr trabalha ativamente para a obtenção desses relatórios.

O Controlador poderá solicitar auditorias presenciais sob as seguintes condições cumulativas: (a) máximo uma vez por ano civil, (b) com aviso prévio por escrito de pelo menos 30 dias corridos, (c) durante o horário comercial chileno, (d) sujeitas à assinatura de um acordo de confidencialidade pelo auditor com a talyzr, (e) os custos do auditor e os custos razoáveis que o exercício do direito imponha à talyzr correrão por conta do Controlador, salvo se a auditoria revelar descumprimentos materiais por parte da talyzr.

Uma auditoria não poderá comprometer a confidencialidade ou segurança dos dados de outros clientes da talyzr. A talyzr poderá objetar fundamentadamente a um auditor concreto se tiver motivos razoáveis (por exemplo, conflito de interesse com um concorrente).

11. Devolução e exclusão de dados ao término

Ao término do Contrato Principal por qualquer causa, a talyzr disponibilizará ao Controlador a exportação dos Dados Pessoais em formato estruturado e legível por máquina por um período de 30 (trinta) dias corridos a partir da data efetiva do término.

Vencido o prazo de retenção, a talyzr procederá à exclusão irreversível dos Dados Pessoais do banco de dados produtivo, dos sistemas auxiliares (caches, filas, índices) e dos logs operativos, dentro de um prazo adicional de até 30 dias corridos.

Os backups que contenham Dados Pessoais são sobrescritos automaticamente dentro do ciclo de retenção de backups do provedor de banco de dados (point-in-time recovery até 30 dias). A talyzr não extrai nem segrega Dados Pessoais individuais a partir de backups; os dados sairão dos backups por seu ciclo natural de rotação.

A pedido do Controlador, a talyzr emitirá um certificado de destruição assinado por seu Representante Legal confirmando o cumprimento das obrigações desta seção.

O acima exposto não se aplica a Dados Pessoais que a talyzr deva conservar por mandado legal expresso (por exemplo, registros fiscais ou contábeis), os quais serão resguardados sob as mesmas medidas de segurança descritas neste DPA pelo prazo legal mínimo e posteriormente excluídos.

12. Responsabilidade e disposições finais

A responsabilidade das partes decorrente do descumprimento das obrigações deste DPA rege-se pelos limites e condições estabelecidos no Contrato Principal. As partes acordam que este DPA não amplia nem reduz os limites de responsabilidade ali pactuados, salvo no estritamente necessário para cumprir obrigações legais imperativas.

Prevalência de documentos. Em caso de contradição entre este DPA e o Contrato Principal, prevalecerá o disposto neste DPA exclusivamente quanto ao tratamento de Dados Pessoais.

Modificações. A talyzr poderá atualizar este DPA para refletir alterações regulatórias, incorporação de novas medidas de segurança ou ajustes na lista de Subprocessadores. As alterações materiais serão notificadas ao Controlador com pelo menos 30 dias corridos de antecedência. O Controlador poderá objetar às alterações materiais sob o mesmo procedimento aplicável a Subprocessadores.

Lei aplicável e jurisdição. Este DPA rege-se pelas leis da República do Chile e, no que couber, pela normativa de proteção de dados do local de estabelecimento do Controlador. As controvérsias serão submetidas à jurisdição acordada no Contrato Principal. Se o Contrato Principal nada dispuser, serão competentes os tribunais ordinários de justiça com sede na cidade de Santiago do Chile.

Anexo A

Descrição do tratamento

Categorias de TitularesEmpregados, executivos, candidatos e gestores da organização do Controlador, bem como qualquer pessoa cujos dados o Controlador carregue no serviço talyzr.
Categorias de Dados PessoaisIdentificadores (nome, sobrenome, e-mail, RUT ou equivalente, foto de perfil opcional). Dados trabalhistas (cargo, área, gerência, gestor direto, data de admissão, salário-base, tipo de contrato). Dados de talento (avaliações de desempenho, avaliações de potencial, níveis de habilidades, pontuações de criticidade do cargo, índice de risco de talento, candidatos a sucessão, recomendações geradas por IA, planos de ação atribuídos, registros de capacitação).
Categorias especiais (sensíveis)Nenhuma. A talyzr não trata categorias especiais sob o GDPR Art. 9 nem dados especialmente protegidos sob a Lei 21.719.
Frequência do tratamentoContínua durante a vigência do Contrato Principal: sincronizações automáticas com HRIS (quando aplicável), importações manuais pontuais, acessos do pessoal autorizado do Controlador, geração de recomendações por IA sob demanda.
Duração do tratamentoVigência do Contrato Principal acrescida de 30 dias corridos de período de retenção pós-cancelamento.
Finalidades do tratamentoPrestação do serviço talyzr: análise de risco de talento, planejamento de sucessão, mapas de cobertura, recomendações de ações, avaliação de habilidades, perfil 360°, cenários what-if, dashboard CHRO, agente conversacional Taly sobre dados do Controlador, ciclos de talent review e relatórios executivos.
Prazo de retençãoDurante a vigência do Contrato Principal e até 30 dias corridos após o término. Logs de auditoria persistentes enquanto o Controlador mantiver acesso ao serviço. Backups conforme o ciclo de point-in-time recovery do provedor de banco de dados (máximo 30 dias).

Anexo B

Lista de Subprocessadores autorizados

A talyzr utiliza os seguintes Subprocessadores para a prestação do serviço. Esta lista é atualizada com alterações notificadas ao Controlador com pelo menos 30 dias de antecedência, conforme a seção "Subprocessadores".

SubprocessadorPropósitoDados tratadosPaís / Região
Neon, Inc.Banco de dados PostgreSQL serverless gerenciado com pgvector para embeddings.Totalidade dos Dados Pessoais do Controlador.United States (AWS sa-east-1)
Amazon Web Services, Inc.Infraestrutura cloud: compute (EC2/ECS), storage (S3), CDN (CloudFront), balanceamento (ALB), WAF.Totalidade dos Dados Pessoais do Controlador em trânsito e arquivos armazenados (exports, imagens).United States (data in sa-east-1, São Paulo)
Anthropic, PBCModelo de linguagem (Claude Sonnet) para geração de recomendações de talento, agente Taly e perfis de habilidades.Prompts derivados com informações pessoais identificáveis previamente redacionadas pelo sistema de guardrails da talyzr. O contrato API da Anthropic proíbe o treinamento com dados do Controlador.United States
Voyage AI, Inc.Geração de embeddings vetoriais para busca semântica do agente Taly e da base de conhecimento.Texto de documentos do Controlador para vetorização (sem retenção pelo provedor).United States
Resend Labs, Inc.Envio de e-mail transacional (convites, alertas, recuperação de senha, digest semanal, notificações).Endereços de e-mail, nome do destinatário e conteúdo do e-mail enviado pela talyzr.United States
Paddle.com Market LtdProcessamento de pagamentos e faturamento como Merchant of Record (assinaturas, checkout, IVA global, dunning).Informação de faturamento do Controlador (razão social, identificador tributário, endereço, e-mail administrador) e dados de pagamento tokenizados (a Paddle não expõe cartões à talyzr).United Kingdom / Ireland
Upstash, Inc.Redis gerenciado para filas de trabalho (sync HRIS, jobs em background), rate limiting e cache.Dados transitórios em filas de processamento (tipicamente, identificadores e payloads de jobs) com TTL curto.United States / EU
Functional Software, Inc. (Sentry)Monitoramento de erros backend e frontend, breadcrumbs e observabilidade.Stack traces e metadata de erros com limpeza automática de informações pessoais identificáveis (PII scrubbing).EU (Frankfurt) / United States
HubSpot, Inc.CRM comercial para prospects e informação de marketing.Apenas dados de leads de marketing (visitantes que solicitam informação). Dados de Titulares do Controlador não são carregados no HubSpot.United States

A talyzr mantém um DPA assinado ou aceito com cada Subprocessador, com obrigações equivalentes às contraídas com o Controlador.

Anexo C

Cláusulas Contratuais-Tipo (SCCs) — UE 2021/914

Se o Controlador estiver estabelecido no Espaço Econômico Europeu, no Reino Unido ou na Suíça, ou estiver de outro modo sujeito ao GDPR ou ao UK GDPR, as Cláusulas Contratuais-Tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, Módulo Two (Controlador-para-Operador) são automaticamente incorporadas por referência a este DPA e consideram-se celebradas entre o Controlador (como "Exportador de Dados") e a talyzr (como "Importador de Dados").

Seleções aplicáveis às SCCs:

  • Cláusula 7 (Cláusula de adesão): aplicável, permitindo a incorporação de partes adicionais.
  • Cláusula 9 (Subcontratação): opção 2 — autorização geral com notificação prévia de 30 dias corridos, conforme a seção "Subprocessadores" deste DPA.
  • Cláusula 11 (Reclamações): o órgão independente de resolução de controvérsias não é aplicável.
  • Cláusula 17 (Lei aplicável): lei da Irlanda.
  • Cláusula 18 (Jurisdição): tribunais da Irlanda.
  • Anexo I.A (Lista das Partes): o Controlador é o Exportador identificado no Contrato Principal; a talyzr SpA é o Importador.
  • Anexo I.B (Descrição da Transferência): ver Anexo A deste DPA.
  • Anexo I.C (Autoridade de Controle Competente): a autoridade de controle do Estado-membro em que esteja estabelecido o representante do Exportador, ou qualquer autoridade de controle conforme o GDPR Art. 56.
  • Anexo II (Medidas Técnicas e Organizativas): ver seção "Medidas técnicas e organizativas" deste DPA.
  • Anexo III (Lista de Subprocessadores): ver Anexo B deste DPA.

Para Controladores estabelecidos no Reino Unido, as SCCs aplicam-se junto com o UK International Data Transfer Addendum emitido pela Information Commissioner's Office (ICO) sob a Seção 119A do Data Protection Act 2018, que é incorporado por referência.

O texto completo e vigente das SCCs está disponível no Jornal Oficial da União Europeia. Em caso de qualquer contradição entre as SCCs e outras disposições deste DPA, prevalecerão as SCCs unicamente quanto às transferências internacionais por elas cobertas.

Ver texto oficial das SCCs no EUR-Lex

Precisa que assinemos formalmente este DPA?

Se sua equipe jurídica precisar da assinatura de uma versão PDF deste DPA com a razão social e as informações do Controlador, escreva para nós e coordenamos a assinatura eletrônica em 1 dia útil.

Solicitar assinatura do DPAFalar com nossa equipe