Acordo de Tratamento de Dados
Data Processing Agreement (DPA) — Estabelece as responsabilidades e obrigações da Amethys enquanto operadora de dados pessoais de titulares cujos dados são tratados por meio dos Serviços contratados, em conformidade com a LGPD.
Definições e Partes
Para fins deste Acordo de Tratamento de Dados ("DPA"), aplicam-se as seguintes definições, além daquelas previstas na LGPD (Lei nº 13.709/2018):
"Controlador": O Usuário contratante dos Serviços da Amethys, que determina as finalidades e os meios do tratamento dos dados pessoais de membros de seu servidor Discord.
"Operador": A Amethys, que realiza o tratamento de dados pessoais em nome do Controlador, conforme as instruções por este definidas.
"Dados Pessoais do Usuário Final": Dados de membros dos servidores Discord do Controlador que são coletados, armazenados ou processados pelos bots e aplicações da Amethys durante a prestação dos Serviços.
"Suboperador": Terceiro contratado pela Amethys para auxiliar na prestação dos Serviços, que também realiza tratamento de dados em nome do Controlador.
Este DPA integra-se aos Termos de Serviço e demais documentos contratuais da Amethys, prevalecendo sobre disposições genéricas em matéria de proteção de dados.
Objeto e Instrução de Tratamento
Este DPA regula o tratamento de Dados Pessoais do Usuário Final realizado pela Amethys (Operadora) em nome do Usuário contratante (Controlador), no âmbito da prestação dos Serviços descritos nos Termos de Serviço.
A Amethys tratará os Dados Pessoais do Usuário Final exclusivamente conforme as instruções documentadas do Controlador e as configurações realizadas por este no painel de controle dos Serviços.
A Amethys notificará o Controlador caso receba instrução que, a seu juízo, viole a LGPD ou demais normas aplicáveis de proteção de dados.
O Controlador é o único responsável por assegurar a existência de base legal adequada para o tratamento dos Dados Pessoais do Usuário Final que instrui a Amethys a realizar.
Categorias de Dados e Finalidades
Os dados tratados pela Amethys na qualidade de Operadora podem incluir, conforme a configuração do Serviço pelo Controlador:
Discord ID (identificador único de usuário na plataforma Discord).
Nome de usuário (username) e apelido (nickname) no servidor.
Avatar e dados de perfil público disponibilizados pela API do Discord.
Histórico de comandos executados nos bots.
Logs de atividade, punições, advertências e registros de moderação gerados pelas ferramentas contratadas.
Pontuações, rankings, moedas virtuais e demais dados gerados por sistemas de gamificação, quando contratados.
A Amethys não tratará dados sensíveis de Usuários Finais, conforme definidos na LGPD, exceto quando expressamente configurado e autorizado pelo Controlador e com fundamento em base legal adequada.
Obrigações da Amethys (Operadora)
Tratar os Dados Pessoais do Usuário Final exclusivamente conforme as instruções do Controlador e as finalidades descritas nos Termos de Serviço, salvo obrigação legal em contrário.
Implementar medidas técnicas e organizacionais adequadas para garantir a segurança, confidencialidade e integridade dos dados tratados.
Não divulgar, vender, compartilhar ou utilizar os Dados Pessoais do Usuário Final para finalidades próprias da Amethys, exceto quando necessário para a prestação dos Serviços.
Notificar o Controlador em até 48 (quarenta e oito) horas sobre qualquer incidente de segurança que afete os Dados Pessoais do Usuário Final.
Excluir ou devolver os Dados Pessoais do Usuário Final ao término da prestação dos Serviços, salvo obrigação legal de retenção, mediante solicitação do Controlador.
Obrigações do Controlador (Usuário Contratante)
Assegurar que os membros de seu servidor Discord cujos dados são tratados foram informados e, quando necessário, consentiram com o tratamento de seus dados pelos bots e aplicações contratados.
Configurar os Serviços de forma adequada, respeitando os princípios da finalidade, necessidade e proporcionalidade previstos na LGPD.
Disponibilizar aos membros de seu servidor política de privacidade própria que informe sobre o uso de bots de terceiros e o tratamento de dados decorrente.
Medidas de Segurança
Criptografia de dados em trânsito mediante protocolos TLS 1.2 ou superior.
Controle de acesso baseado em funções (RBAC), com princípio do menor privilégio.
Autenticação segura para sistemas internos.
Logs de auditoria de acesso e alterações em dados sensíveis.
Procedimentos de resposta a incidentes documentados.
Revisões periódicas de segurança da infraestrutura.
As medidas de segurança poderão ser atualizadas pela Amethys para refletir o estado da arte e as melhores práticas do setor, sem necessidade de notificação prévia, desde que o nível de proteção não seja reduzido.
Suboperadores
O Controlador autoriza, de forma geral, o uso de suboperadores pela Amethys para a prestação dos Serviços, incluindo provedores de hospedagem, infraestrutura de banco de dados e monitoramento.
Impor aos suboperadores obrigações de proteção de dados equivalentes às previstas neste DPA, por meio de contratos escritos.
Permanecer responsável perante o Controlador pelas ações dos suboperadores em relação ao tratamento de dados.
A lista atualizada de suboperadores poderá ser solicitada pelo Controlador a qualquer momento pelos canais de suporte.
Duração e Encerramento
Este DPA vigorará enquanto a Amethys tratar Dados Pessoais do Usuário Final em nome do Controlador, ou seja, enquanto os Serviços contratados estiverem ativos.
Com o encerramento dos Serviços, a Amethys excluirá os Dados Pessoais do Usuário Final de seus sistemas no prazo de até 30 (trinta) dias, salvo obrigação legal de retenção, mediante solicitação do Controlador.