ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS (APD)
Prabrink Express Comércio Varejista de Brinquedos Ltda ME CNPJ: 45.936.279/0001-58 — Av. das Américas, 11365, Sala 0235, Barra da Tijuca, CEP 22793-082, Rio de Janeiro/RJ
| Campo | Valor |
|---|---|
| Versão | 1.1 |
| Data de Vigência | 14 de junho de 2026 |
| Última Revisão | 14/06/2026 |
| Revisão Prevista | Anual ou após alteração normativa relevante |
| Base Legal | Lei nº 13.709/2018 (LGPD), Art. 39; Resoluções CD/ANPD nº 2/2022, nº 15/2024, nº 18/2024 e nº 19/2024 |
| Idioma | Português (Brasil) |
Documento aprovado e vigente desde 14/06/2026. Integra, com o Contrato Principal e a Política de Privacidade, o conjunto de documentos aceito pelo Contratante no onboarding.
CHANGELOG (v1.0 → v1.1)
- Cabeçalho preenchido (razão social, CNPJ, sede, tipo societário ME) e base legal ampliada com as Resoluções CD/ANPD 2/2022, 15/2024, 18/2024 e 19/2024.
- Cláusula 1: incluídas as definições de Open Finance, Agente de Tratamento de Pequeno Porte e Cláusulas-Padrão Contratuais.
- Cláusula 3.1: incluído o tratamento de dados de Open Finance (transações bancárias em modo leitura).
- Cláusula 9 (incidentes): prazo corrigido de 72h para 3 (três) dias úteis (6 para agente de pequeno porte, quando aplicável); notificação Operador→Controlador limitada a até 2 dias úteis; guarda do registro de incidente por 5 anos (art. 10 da Res. 15/2024).
- Cláusula 10: tabela de sub-operadores atualizada (Asaas, NFe.io, Pluggy, Cosmos/Bluesoft); integrações acionadas por instrução do Contratante (Mercado Livre, Nuvemshop, Melhor Envio) reclassificadas como destinatários; base de transferência internacional corrigida para cláusulas-padrão contratuais da ANPD (Res. 19/2024), removida a alegação de decisão de adequação.
- Cláusula 12 (Encarregado/DPO) reescrita conforme Res. 18/2024.
- Novas Cláusulas 17 (Open Finance) e 18 (Multi-CNPJ / compartilhamento intragrupo).
- Anexo I (Registro de Atividades de Tratamento) atualizado.
PREÂMBULO
Este Acordo de Processamento de Dados Pessoais ("APD") é celebrado entre Prabrink Express Comércio Varejista de Brinquedos Ltda ME, sociedade empresária limitada, enquadrada como microempresa (ME), inscrita no CNPJ sob o nº 45.936.279/0001-58, com sede na Av. das Américas, 11365, Sala 0235, Barra da Tijuca, CEP 22793-082, Rio de Janeiro/RJ ("Operador" ou "Contratada"), e o cliente pessoa jurídica que contrata os serviços conforme os Termos de Uso e Contrato de Prestação de Serviços de Software ("Controlador" ou "Contratante"), doravante denominados conjuntamente "Partes".
Este APD integra os Termos de Uso e Contrato de Prestação de Serviços de Software firmado entre as Partes ("Contrato Principal") e, em caso de conflito entre os documentos quanto à matéria de proteção de dados pessoais, este APD prevalece.
CLÁUSULA 1 — DEFINIÇÕES
Para os fins deste APD, além das definições constantes da LGPD (Lei nº 13.709/2018), adotam-se os seguintes conceitos:
"Dados Pessoais": qualquer informação relacionada a pessoa natural identificada ou identificável, incluindo CPF, nome, endereço, e-mail, telefone e demais atributos de clientes finais do Controlador.
"Dados Pessoais Sensíveis": não são tratados pelo Operador no âmbito deste APD. O Operador não trata dado de saúde, biométrico, genético, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou dado referente à vida sexual. Dados financeiros e bancários, quando tratados, não são considerados sensíveis nos termos do art. 5º, II, da LGPD.
"Controlador": a loja varejista contratante do serviço, que determina as finalidades e os meios do tratamento dos dados de seus clientes finais.
"Operador": Prabrink Express Comércio Varejista de Brinquedos Ltda ME, que trata dados pessoais em nome e sob as instruções do Controlador.
"Titular": pessoa natural a quem se referem os dados pessoais (ex.: consumidores finais do Controlador).
"Tratamento": toda operação realizada com dados pessoais, nos termos do art. 5º, X, da LGPD.
"Incidente de Segurança": evento adverso confirmado que afete a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais, nos termos do art. 48 da LGPD e da Resolução CD/ANPD nº 15/2024.
"Sub-Operador": terceiro subcontratado pelo Operador para realizar atividades de tratamento de dados em nome do Controlador.
"Open Finance": ecossistema de compartilhamento de dados financeiros regulado no Brasil, mediante o qual, por consentimento e instrução do Controlador, transações de conta bancária de sua titularidade são acessadas em modo somente-leitura para fins de conciliação financeira na Plataforma.
"Agente de Tratamento de Pequeno Porte": qualificação prevista na Resolução CD/ANPD nº 2/2022, aplicável a microempresas e empresas de pequeno porte; o Operador enquadra-se nessa categoria, observada a ressalva da Cláusula 16.6.
"Cláusulas-Padrão Contratuais": cláusulas aprovadas pela ANPD na forma da Resolução CD/ANPD nº 19/2024, utilizadas como mecanismo válido de transferência internacional de dados (art. 33, II, "b", da LGPD).
"ANPD": Autoridade Nacional de Proteção de Dados.
"Plataforma": o software SaaS ERP/Omnichannel disponibilizado pelo Operador ao Controlador.
CLÁUSULA 2 — OBJETO
O presente APD disciplina as condições nas quais o Operador realiza o tratamento de Dados Pessoais na execução dos serviços contratados, nos termos do art. 39 da LGPD, assegurando que o Operador tratará os dados pessoais somente conforme as instruções documentadas do Controlador e nas condições deste Acordo.
CLÁUSULA 3 — PAPÉIS E FINALIDADES DO TRATAMENTO
3.1 Dados em que o Contratante é Controlador e a Contratada é Operadora
| Categoria de Dados | Exemplos | Finalidade de Tratamento |
|---|---|---|
| Dados de clientes finais (PF) | CPF, nome completo, endereço, e-mail, telefone | Gestão de pedidos, emissão de NF-e, exportação LGPD |
| Dados de clientes finais (PJ) | CNPJ, razão social, IE, endereço, nome do responsável | Gestão de pedidos, emissão de NF-e, exportação LGPD |
| Documentos fiscais (NF-e) | Dados constantes no XML da NF-e, incluindo CPF/CNPJ do destinatário | Armazenamento e download por obrigação legal (5 anos) |
| Histórico de pedidos | Itens, valores, datas, canal de venda | Gestão de estoque, KPIs, exportação LGPD |
| Transações bancárias (Open Finance) | Lançamentos de conta bancária do Controlador, em modo leitura, podendo conter identificação de contrapartes | Conciliação financeira, mediante consentimento e instrução do Controlador (ver Cláusula 17) |
3.2 Dados em que a Contratada é Controladora
A Contratada, na qualidade de Controladora, trata dados do representante legal do Contratante e de seus usuários para finalidades próprias (prestação do serviço, faturamento, autenticação, controle de acesso, suporte técnico e melhoria do produto), bem como o Certificado Digital A1 (e-CNPJ ou e-CPF), armazenado em formato cifrado (AES-256-GCM) para fins de assinatura digital de NF-e. O tratamento como Controladora é regido pela Política de Privacidade disponível em prabrinkerp.com.br/privacidade, incorporada por referência a este APD.
CLÁUSULA 4 — BASE LEGAL DO TRATAMENTO
4.1 Dados de clientes finais do Controlador
Execução de contrato (art. 7º, V, LGPD); obrigação legal (art. 7º, II, LGPD — armazenamento de NF-e e dados fiscais pelo prazo legal de 5 anos); e legítimo interesse (art. 7º, IX, LGPD — logs de segurança e auditoria, com minimização).
4.2 Dados de usuários e representante legal do Controlador
Execução de contrato (art. 7º, V); obrigação legal (art. 7º, II); e legítimo interesse (art. 7º, IX — segurança da informação e melhoria do produto, mediante telemetria de uso não anonimizada, sem tratamento de conteúdo).
CLÁUSULA 5 — OBRIGAÇÕES DO OPERADOR
O Operador compromete-se a:
a) Tratar os dados pessoais somente de acordo com as instruções documentadas do Controlador, salvo se exigido por lei, caso em que notificará previamente o Controlador, exceto quando proibido por lei.
b) Garantir que pessoas autorizadas a tratar os dados pessoais estejam sujeitas a obrigações de confidencialidade.
c) Adotar as medidas técnicas e organizacionais de segurança descritas na Cláusula 8.
d) Assistir o Controlador no cumprimento das obrigações dos arts. 17 a 22 da LGPD (direitos dos titulares), conforme a Cláusula 7.
e) Comunicar prontamente ao Controlador qualquer solicitação de titular recebida diretamente, sem responder ao titular sem autorização prévia do Controlador, exceto quando exigido por lei.
f) Disponibilizar ao Controlador as informações necessárias para comprovação do cumprimento deste APD e permitir auditorias, nos termos da Cláusula 11.
g) Notificar o Controlador de incidentes de segurança conforme a Cláusula 9.
h) Manter registro das atividades de tratamento realizadas na qualidade de Operador (art. 37 da LGPD), na forma simplificada admitida ao agente de tratamento de pequeno porte (Res. CD/ANPD nº 2/2022).
i) Não subcontratar novos Sub-Operadores sem observar o disposto na Cláusula 10.
j) Ao término do contrato, devolver ou eliminar os dados pessoais do Controlador conforme a Cláusula 13.
CLÁUSULA 6 — OBRIGAÇÕES DO CONTROLADOR
O Controlador compromete-se a:
a) Garantir base legal adequada para o tratamento dos dados dos titulares antes de inseri-los na Plataforma.
b) Obter, quando exigido pela LGPD, o consentimento dos titulares para finalidades não cobertas por outras bases legais.
c) Fornecer ao Operador somente os dados estritamente necessários (princípio da minimização, art. 6º, III, LGPD).
d) Informar os titulares sobre o uso de Operadores e de integrações de terceiros em sua política de privacidade.
e) Notificar prontamente o Operador sobre qualquer alteração ou revogação de instruções de tratamento.
f) Cumprir todas as obrigações aplicáveis ao Controlador nos termos da LGPD, inclusive a comunicação de incidentes à ANPD e aos titulares (art. 48 da LGPD), com base nas informações fornecidas pelo Operador.
CLÁUSULA 7 — DIREITOS DOS TITULARES
O Controlador é o responsável principal pelo atendimento dos direitos dos titulares (art. 18 da LGPD). O Operador compromete-se a assistir o Controlador:
a) Fornecendo as funcionalidades de exportação LGPD da Plataforma (CSV e XMLs de NF-e compactados), que permitem atender pedidos de portabilidade, acesso e confirmação de tratamento.
b) Excluindo ou anonimizando dados de titulares específicos mediante solicitação formal do Controlador, no prazo de até 15 (quinze) dias úteis — dobrado para 30 (trinta) dias úteis quando aplicável o regime de agente de tratamento de pequeno porte (Res. CD/ANPD nº 2/2022) —, quando tecnicamente viável e inexistente obrigação legal de retenção.
c) Informando ao Controlador, em até 2 (dois) dias úteis, qualquer solicitação direta de titular recebida pelo Operador.
Dados integrantes de documentos fiscais (NF-e) com prazo de guarda legal obrigatório (mínimo de 5 anos, art. 195 do CTN e legislação tributária correlata) não poderão ser excluídos antes do vencimento desse prazo, mesmo mediante solicitação do titular, nos termos do art. 16, I, da LGPD.
CLÁUSULA 8 — MEDIDAS DE SEGURANÇA
8.1 Medidas técnicas implementadas
a) Criptografia AES-256-GCM para certificados digitais A1 e tokens OAuth; IV único (96 bits) gerado aleatoriamente por operação de gravação.
b) Isolamento de dados por tenant via Row-Level Security (RLS) no PostgreSQL 16; consultas cross-tenant bloqueadas por política de banco de dados.
c) Autenticação via JWT armazenado exclusivamente em cookies httpOnly, SameSite=Strict, Secure.
d) Comunicação em trânsito exclusivamente via TLS 1.2+.
e) Arquitetura Docker com rede interna isolada; serviços de banco de dados e cache não expostos à internet.
f) Rate limiting em camadas (Cloudflare + Nginx + aplicação).
g) Logs de acesso e auditoria com sanitização de PII (CPF, CNPJ de clientes, tokens e conteúdo de certificados não são registrados em logs).
h) Backups diários do banco de dados PostgreSQL armazenados cifrados no Cloudflare R2.
i) Credenciais de acesso ao servidor com autenticação exclusiva por chave SSH; senha root desabilitada.
8.2 Medidas organizacionais
Acesso à infraestrutura de produção restrito ao responsável técnico do Operador; dependências de software com versões fixadas; revisão anual das medidas de segurança ou após incidente relevante. O Operador adota política simplificada de segurança da informação compatível com sua estrutura, escala e volume de operações, na forma admitida ao agente de tratamento de pequeno porte (art. 12 da Res. CD/ANPD nº 2/2022).
CLÁUSULA 9 — INCIDENTES DE SEGURANÇA
9.1 Em caso de Incidente de Segurança que envolva dados pessoais tratados no âmbito deste APD, o Operador notificará o Controlador sem demora injustificada e, em qualquer caso, em até 2 (dois) dias úteis contados da confirmação de que o incidente afetou dados pessoais, por meio do e-mail do representante legal cadastrado pelo Controlador na Plataforma. O prazo reduzido visa assegurar ao Controlador margem para cumprir seu próprio prazo legal de comunicação.
9.2 A comunicação do Controlador à ANPD e aos titulares, quando o incidente puder acarretar risco ou dano relevante, deverá observar o prazo de 3 (três) dias úteis previsto na Resolução CD/ANPD nº 15/2024, contado do conhecimento pelo Controlador, prazo dobrado para 6 (seis) dias úteis caso o Controlador se qualifique como agente de tratamento de pequeno porte.
9.3 A notificação do Operador ao Controlador conterá, no mínimo: a natureza dos dados afetados; as categorias e o número aproximado de titulares afetados; a provável causa e as possíveis consequências; e as medidas adotadas ou propostas para remediar o incidente.
9.4 O Controlador é o responsável por comunicar o incidente à ANPD e aos titulares (art. 48 da LGPD e Res. 15/2024). O Operador prestará toda a assistência necessária.
9.5 O Operador manterá registro de todos os incidentes de segurança, inclusive dos não comunicados, pelo prazo mínimo de 5 (cinco) anos contados do registro, nos termos do art. 10 da Resolução CD/ANPD nº 15/2024.
CLÁUSULA 10 — SUB-OPERADORES, INTEGRAÇÕES E TRANSFERÊNCIA INTERNACIONAL
10.1 Sub-Operadores Autorizados
O Controlador autoriza, neste ato, o uso dos seguintes Sub-Operadores:
| Sub-Operador | País/Sede | Finalidade | Mecanismo de Transferência Internacional |
|---|---|---|---|
| Hetzner Online GmbH | Alemanha | Hospedagem da infraestrutura de produção (VPS) | Cláusulas-padrão contratuais da ANPD (art. 33, II, "b", LGPD; Res. 19/2024) |
| Cloudflare, Inc. | EUA | CDN, proteção DDoS, armazenamento de XMLs/DANFE, fotos de produto e exports (R2) | Cláusulas-padrão contratuais da ANPD (art. 33, II, "b", LGPD; Res. 19/2024) |
| Resend, Inc. | EUA | Envio de e-mails transacionais de sistema | Cláusulas-padrão contratuais da ANPD (art. 33, II, "b", LGPD; Res. 19/2024) |
| Asaas Gestão Financeira S.A. | Brasil | Processamento de pagamentos da assinatura | Não aplicável (tratamento em território nacional) |
| NFe.io (NFe Tecnologia) | Brasil | Emissão de NF-e/NFS-e e consultas fiscais | Não aplicável (território nacional) |
| Pluggy (Quanto Tecnologia / Pluggy) | Brasil | Open Finance — conexão bancária em modo leitura (ver Cláusula 17) | Não aplicável (território nacional) |
| Cosmos / Bluesoft | Brasil | Consulta de código EAN para enriquecimento de cadastro de produtos | Não aplicável (território nacional) |
Nota operacional (não contratual): a base de transferência internacional para Hetzner, Cloudflare e Resend são as cláusulas-padrão contratuais da ANPD (art. 33, II, "b", LGPD; Res. 19/2024), incorporadas pelo Operador na qualidade de exportador, conforme o Termo de Transferência Internacional de Dados arquivado pelo Operador. Não há, até a data, decisão de adequação da ANPD para esses países. Para Hetzner (UE), o dado permanece em território da UE e a base poderá ser substituída por eventual decisão de adequação da ANPD para a UE, quando emitida. Para Cloudflare e Resend (EUA), as cláusulas-padrão contratuais da ANPD constituem a base, operando os DPAs/cláusulas-tipo da UE desses fornecedores como salvaguarda complementar. A incorporação efetiva — cujo prazo de graça encerrou em 23/08/2025 — pressupõe a assinatura dos DPAs dos fornecedores e a verificação de que incorporam garantias equivalentes.
10.2 Integrações acionadas por instrução do Contratante
As plataformas a seguir são acionadas exclusivamente quando o Contratante conecta sua própria conta (autorização OAuth), atuando como destinatários/controladores autônomos por instrução do Contratante, e não como Sub-Operadores do Operador: Mercado Livre; Nuvemshop; Melhor Envio. O Contratante é responsável por revisar e aceitar os termos e políticas de privacidade dessas plataformas.
10.3 Novos Sub-Operadores e integrações futuras
Para adição de novos Sub-Operadores, o Operador comunicará o Controlador com antecedência mínima de 30 (trinta) dias, podendo o Controlador objetar mediante justificativa fundamentada; ausente manifestação no prazo, a autorização será presumida. Integrações em planejamento (ex.: SERPRO e serviços de mensageria como Meta/WhatsApp) observarão este procedimento quando implementadas.
10.4 Garantias
O Operador garantirá, via contrato ou aditivo, que os Sub-Operadores ofereçam garantias suficientes de implementação de medidas técnicas e organizacionais adequadas ao cumprimento da LGPD.
CLÁUSULA 11 — AUDITORIA E FISCALIZAÇÃO
11.1 Mediante solicitação formal com antecedência mínima de 15 (quinze) dias úteis, o Operador disponibilizará as informações necessárias para comprovar o cumprimento deste APD, incluindo registros de tratamento (art. 37 LGPD), relatório de impacto (se aplicável) e evidências das medidas de segurança.
11.2 Auditorias in loco ou por terceiros serão realizadas mediante aviso prévio de 30 (trinta) dias, no máximo 1 (uma) vez por ano, com custo suportado pelo Controlador solicitante.
CLÁUSULA 12 — ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
12.1 O Operador, na qualidade de agente de tratamento de pequeno porte, não está legalmente obrigado a indicar Encarregado (art. 11 da Res. CD/ANPD nº 2/2022). Ainda assim, como política de boas práticas e governança (art. 52, §1º, IX, da LGPD), o Operador designa Encarregado pelo Tratamento de Dados Pessoais.
12.2 Nos termos do art. 12 da Resolução CD/ANPD nº 18/2024, o Encarregado é pessoa jurídica:
- Encarregado (pessoa jurídica): Prabrink Express Comércio Varejista de Brinquedos Ltda ME.
- Pessoa natural responsável pela função: Susana Karin Silva Valle de Paredes.
- Canal de comunicação com titulares e com a ANPD: [email protected].
12.3 Nas ausências, impedimentos ou vacâncias da pessoa natural responsável, a função será exercida por substituto formalmente designado pelo Operador, sem prejuízo da continuidade do canal de comunicação.
12.4 O Operador mantém, independentemente da designação acima, canal de comunicação permanente com os titulares (art. 41, §2º, I, da LGPD).
CLÁUSULA 13 — TÉRMINO E DEVOLUÇÃO OU ELIMINAÇÃO DE DADOS
13.1 Mediante o término do Contrato Principal, por qualquer causa, o Operador:
a) Disponibilizará ao Contratante, por 30 (trinta) dias após o encerramento, funcionalidade de exportação de todos os dados cadastrais, pedidos, movimentações de estoque e XMLs de NF-e (CSV + ZIP de XMLs), mantendo o acesso de leitura/exportação durante esse período.
b) Após o prazo de exportação, procederá à eliminação segura dos dados do Controlador e de seus clientes finais, exceto os sujeitos a retenção legal.
c) Emitirá, a pedido do Controlador, declaração de eliminação no prazo de 10 (dez) dias úteis após a conclusão do processo.
13.2 Dados de NF-e emitidas serão retidos pelo prazo mínimo legal de 5 (cinco) anos após a emissão (art. 195 do CTN e legislação tributária aplicável). Findo esse prazo, serão eliminados.
CLÁUSULA 14 — PRAZO DE VIGÊNCIA
Este APD entra em vigor na data de aceite pelo Controlador e permanece vigente pelo mesmo período do Contrato Principal. A resilição do Contrato Principal implica a extinção deste APD, observadas as obrigações remanescentes das Cláusulas 9, 13 e 15.
CLÁUSULA 15 — PENALIDADES E RESPONSABILIDADE
15.1 Em caso de descumprimento pelo Operador das obrigações deste APD que resulte em sanção da ANPD ou em dano comprovado, o Operador responderá nos limites dos arts. 42 a 45 da LGPD, ressalvadas as excludentes legais.
15.2 O Controlador responderá perante os titulares por tratamentos em desacordo com suas instruções ou por dados inseridos sem base legal adequada.
15.3 A responsabilidade do Operador perante o Controlador, no âmbito deste APD, fica limitada ao valor total pago pelo Controlador nos 12 (doze) meses anteriores ao evento danoso, exceto nos casos de dolo ou culpa grave.
CLÁUSULA 16 — DISPOSIÇÕES GERAIS
16.1 Legislação aplicável: leis brasileiras, em especial a LGPD e o Código Civil.
16.2 Foro: Comarca do Rio de Janeiro/RJ, com renúncia a qualquer outro.
16.3 Atualizações: o Operador poderá atualizar este APD para refletir alterações normativas ou operacionais, comunicando o Controlador com antecedência mínima de 30 (trinta) dias.
16.4 Integração: este APD, o Contrato Principal e a Política de Privacidade constituem o acordo integral entre as Partes sobre proteção de dados.
16.5 Aceite eletrônico: o Controlador manifesta seu aceite mediante marcação de checkbox específico na interface de onboarding, o que constitui assinatura eletrônica válida nos termos do art. 10, §2º, da MP 2.200-2/2001 e da Lei nº 14.063/2020.
16.6 Enquadramento como agente de tratamento de pequeno porte: o Operador declara enquadrar-se como agente de tratamento de pequeno porte (Res. CD/ANPD nº 2/2022) e compromete-se a comprovar tal condição à ANPD em até 15 (quinze) dias, se solicitado. As flexibilizações deste APD baseadas nesse regime deixam de aplicar-se caso o Operador passe a realizar tratamento de alto risco na forma da regulamentação, hipótese em que prevalecerão os prazos e obrigações gerais da LGPD.
CLÁUSULA 17 — OPEN FINANCE (CONEXÃO BANCÁRIA)
17.1 A funcionalidade de Open Finance é opcional e somente é ativada mediante consentimento expresso do Controlador, manifestado por meio do widget de conexão do provedor (Pluggy).
17.2 O acesso às transações bancárias do Controlador é estritamente em modo somente-leitura, limitado à finalidade de conciliação financeira, vedada qualquer operação de movimentação de recursos.
17.3 O Controlador pode revogar a conexão a qualquer tempo, diretamente na Plataforma. A revogação interrompe imediatamente novos acessos.
17.4 Ao desconectar, os dados de transações importados serão eliminados ou anonimizados, ressalvados os já incorporados a lançamentos financeiros sujeitos a retenção legal ou contábil.
CLÁUSULA 18 — MULTI-CNPJ E COMPARTILHAMENTO INTRAGRUPO
18.1 Quando o Controlador operar sob a funcionalidade multi-CNPJ (grupo de estabelecimentos), cada CNPJ é considerado Controlador autônomo perante a LGPD.
18.2 O compartilhamento de dados (inclusive estoque e cadastros) entre os CNPJs do mesmo grupo ocorre exclusivamente mediante autorização do titular da conta proprietária do grupo, que declara possuir poderes para vincular os demais Controladores integrantes.
18.3 O Operador trata os dados do grupo conforme as instruções do proprietário do grupo, sem prejuízo das responsabilidades próprias de cada Controlador integrante.
Rio de Janeiro/RJ, 14 de junho de 2026
Prabrink Express Comércio Varejista de Brinquedos Ltda ME — CNPJ 45.936.279/0001-58
ANEXO I — REGISTRO DE ATIVIDADES DE TRATAMENTO (Art. 37 LGPD)
| Campo | Valor |
|---|---|
| Nome do Operador | Prabrink Express Comércio Varejista de Brinquedos Ltda ME — CNPJ 45.936.279/0001-58 |
| Encarregado (DPO) | Prabrink Express Ltda ME (PJ); pessoa natural responsável: Susana Karin Silva Valle de Paredes — [email protected] |
| Categorias de titulares | Clientes finais (PF e PJ) do Controlador; usuários do Controlador; contrapartes em transações bancárias (Open Finance) |
| Categorias de dados pessoais | CPF/CNPJ, nome, endereço, e-mail, telefone, dados de documentos fiscais (NF-e), transações bancárias (leitura) |
| Dados pessoais sensíveis | Nenhum |
| Finalidades | Execução de contrato; obrigação legal (retenção fiscal 5 anos); conciliação financeira |
| Bases legais | Art. 7º, II, V e IX, LGPD; art. 16, I, LGPD (retenção legal) |
| Prazo de retenção | Vigência do contrato + 5 anos para dados fiscais |
| Sub-operadores | Hetzner, Cloudflare, Resend, Asaas, NFe.io, Pluggy, Cosmos/Bluesoft (Cláusula 10.1) |
| Transferências internacionais | Hetzner (DE), Cloudflare (EUA), Resend (EUA) — cláusulas-padrão contratuais da ANPD (Res. 19/2024) |
| Medidas de segurança | Ver Cláusula 8 |
| Registro de incidentes | Guarda mínima de 5 anos (art. 10, Res. CD/ANPD nº 15/2024) |
Versão 1.1 — Aprovada e vigente desde 14/06/2026.
Dúvidas? [email protected]