Otto

Acordo de Tratamento de Dados (DPA) — Otto

Versão: 2026-05-06

Este Acordo de Tratamento de Dados ("DPA") é parte integrante dos Termos de Uso da plataforma Otto e regula o tratamento de dados pessoais nos termos da Lei nº 13.709/2018 (LGPD).

1. Definições

  • Controlador: o Cliente, pessoa jurídica que contrata a Plataforma.
  • Operador: a Otto Tecnologia LTDA, que trata os dados em nome do Controlador.
  • Titulares: pessoas naturais cujos dados são tratados (administradores, atendentes e compradores capturados via marketplaces).

2. Objeto

A Otto, na qualidade de Operadora, trata dados pessoais exclusivamente para:

  • viabilizar o atendimento de perguntas pré-venda dos marketplaces;
  • prover métricas e relatórios para o Controlador;
  • cumprir obrigações fiscais e contratuais.

3. Obrigações do Operador (Otto)

A Otto compromete-se a:

3.1. Tratar os dados estritamente conforme instruções documentadas do Controlador (consubstanciadas neste DPA, nos Termos de Uso e na configuração da Plataforma).

3.2. Garantir que pessoas autorizadas a tratar os dados estejam sob obrigação de confidencialidade.

3.3. Implementar medidas técnicas e administrativas de segurança apropriadas, incluindo:

  • TLS 1.2+ em todo tráfego;
  • criptografia em repouso de credenciais e tokens (AES-256-GCM);
  • senhas armazenadas com argon2id;
  • isolamento lógico multi-tenant via tenantId;
  • backups diários cifrados;
  • controle de acesso baseado em função (RBAC).

3.4. Notificar o Controlador, sem demora injustificada e em até 72 horas, sobre qualquer incidente de segurança que envolva dados pessoais sob sua custódia, indicando:

  • natureza do incidente;
  • categorias e número aproximado de titulares afetados;
  • medidas adotadas e a serem adotadas.

3.5. Auxiliar o Controlador no atendimento aos direitos dos titulares previstos no art. 18 da LGPD.

3.6. Eliminar ou devolver os dados ao Controlador ao final do contrato, salvo retenção legal obrigatória (NFS-e, registros fiscais).

4. Sub-operadores

A Otto utiliza sub-operadores listados na Política de Privacidade (Asaas, Fly.io, Vercel, Neon, Upstash, Sentry, APIs de marketplaces). A inclusão de novos sub-operadores será notificada com 30 dias de antecedência, podendo o Controlador objetar por escrito.

5. Transferência internacional

Quando houver transferência internacional, a Otto garantirá que ocorra para país com nível adequado de proteção ou mediante cláusulas contratuais padrão, conforme art. 33 da LGPD.

6. Direitos dos titulares e ANPD

A Otto colaborará prontamente com o Controlador no atendimento de pedidos dos titulares e em eventuais procedimentos perante a Autoridade Nacional de Proteção de Dados (ANPD).

7. Auditoria

O Controlador pode, mediante notificação com 30 dias de antecedência e às suas expensas, auditar o cumprimento deste DPA, observados horários comerciais e sigilo de informações de terceiros.

8. Vigência

Este DPA vigora enquanto durar o tratamento de dados pessoais decorrente do contrato principal e pelo período residual exigido por lei.

Última atualização: 2026-05-06. Contato: dpo@otto.app.br.