Termos aplicáveis ao tratamento de dados pessoais pela Sinky.
Data Processing Agreement — Atualizado em Junho de 2026.
Última atualização: Junho de 2026
1. Objetivo
Este Data Processing Agreement ("DPA") estabelece os termos aplicáveis ao tratamento de Dados Pessoais realizado pela Sinky em conexão com a prestação de seus serviços.
Este DPA complementa:
os Termos de Uso da Sinky;
contratos comerciais celebrados entre as Partes;
a Política de Privacidade da Sinky;
demais documentos aplicáveis.
Em caso de conflito entre este DPA e outros documentos contratuais relacionados ao tratamento de Dados Pessoais, prevalecerá este DPA no que se refere especificamente à proteção de dados.
2. Definições
Para os fins deste DPA:
Cliente
Pessoa jurídica contratante dos serviços da Sinky.
Sinky
A entidade responsável pela prestação da plataforma e dos serviços contratados.
Dados Pessoais
Qualquer informação relacionada a pessoa natural identificada ou identificável.
Titular de Dados
Pessoa natural a quem os Dados Pessoais se referem.
Tratamento
Qualquer operação realizada sobre Dados Pessoais, incluindo coleta, armazenamento, acesso, utilização, compartilhamento, transferência, eliminação ou qualquer outra atividade semelhante.
Controlador
Parte responsável pelas decisões referentes ao tratamento dos Dados Pessoais.
Operador
Parte que realiza tratamento de Dados Pessoais em nome do Controlador.
Subprocessador
Terceiro contratado pela Sinky para auxiliar na prestação dos serviços.
3. Papéis das Partes
Salvo disposição contratual específica em contrário:
Cliente
Atua como Controlador dos Dados Pessoais processados por meio da plataforma.
Sinky
Atua como Operadora dos Dados Pessoais processados em nome do Cliente.
4. Objeto do Tratamento
A Sinky poderá processar Dados Pessoais exclusivamente para:
prestação dos serviços contratados;
execução de workflows configurados pelo Cliente;
processamento de decisões;
integração com fontes de dados autorizadas;
suporte técnico;
monitoramento operacional;
segurança da plataforma;
cumprimento de obrigações legais.
A Sinky não utilizará Dados Pessoais para finalidades incompatíveis com a prestação dos serviços.
5. Instruções do Cliente
A Sinky tratará Dados Pessoais conforme:
instruções documentadas do Cliente;
configurações implementadas pelo Cliente na plataforma;
obrigações legais aplicáveis.
O Cliente reconhece que é responsável pelas políticas, regras, workflows, integrações e decisões implementadas em seu ambiente.
6. Categorias de Dados
Dependendo da utilização da plataforma, os Dados Pessoais processados podem incluir:
Dados de Identificação
nome, CPF, RG, data de nascimento, endereço, telefone, e-mail.
Dados Profissionais
cargo, empresa, informações cadastrais.
Dados Financeiros
movimentações financeiras autorizadas, dados de Open Finance, histórico de crédito, informações bancárias.
logs, histórico de utilização, registros de auditoria.
7. Dados Sensíveis
O Cliente não deverá utilizar a plataforma para processar Dados Sensíveis, salvo quando:
permitido pela legislação aplicável;
necessário para a finalidade pretendida;
devidamente autorizado ou fundamentado em base legal válida.
Quando aplicável, a Sinky adotará medidas adicionais de proteção compatíveis com a natureza dos dados processados.
8. Segurança da Informação
A Sinky mantém controles técnicos e organizacionais apropriados para proteção dos Dados Pessoais. Esses controles podem incluir:
criptografia em trânsito;
criptografia em repouso;
controle de acesso baseado em papéis (RBAC);
autenticação multifator (MFA);
monitoramento contínuo;
registro de eventos;
segregação de ambientes;
gestão de vulnerabilidades;
resposta a incidentes.
Informações adicionais podem ser consultadas no Security & Trust Appendix da Sinky.
9. Subprocessadores
A Sinky poderá contratar Subprocessadores para apoiar a prestação dos serviços. A seleção desses fornecedores considera critérios relacionados a:
segurança;
privacidade;
disponibilidade;
conformidade.
A lista atualizada de Subprocessadores encontra-se disponível em documento próprio mantido pela Sinky.
10. Transferências Internacionais
Os Dados Pessoais poderão ser processados ou armazenados em países diferentes daquele em que o Cliente está localizado.
Quando aplicável, a Sinky adotará mecanismos apropriados para garantir nível adequado de proteção aos Dados Pessoais, incluindo:
cláusulas contratuais apropriadas;
salvaguardas técnicas;
requisitos legais aplicáveis.
11. IA e Processamento Automatizado
A plataforma poderá utilizar recursos de IA para apoiar funcionalidades como:
análise de risco;
prevenção à fraude;
compliance;
onboarding;
OCR;
classificação;
geração de recomendações;
explicabilidade.
Esses recursos operam como ferramentas de apoio à decisão. A responsabilidade pelas decisões finais permanece com o Cliente.
12. Treinamento de Modelos de IA
A Sinky não utilizará Dados Pessoais do Cliente para treinamento de modelos fundacionais públicos de IA sem autorização expressa do Cliente.
Dados processados por meio da plataforma não serão compartilhados para treinamento geral de modelos públicos sem autorização específica.
13. Confidencialidade
A Sinky garantirá que colaboradores, prestadores de serviço e terceiros autorizados estejam sujeitos a obrigações adequadas de confidencialidade.
14. Incidentes de Segurança
Em caso de incidente de segurança que afete Dados Pessoais sob responsabilidade da Sinky, a empresa adotará medidas razoáveis para:
investigar o incidente;
conter seus efeitos;
mitigar impactos;
comunicar o Cliente quando exigido por lei ou quando razoavelmente necessário.
15. Direitos dos Titulares
Sempre que aplicável, a Sinky prestará assistência razoável ao Cliente para atendimento de solicitações relacionadas aos direitos dos titulares de dados.
A responsabilidade principal pelo atendimento aos titulares permanece com o Cliente na qualidade de Controlador.
16. Retenção e Eliminação
Os Dados Pessoais serão mantidos pelo período necessário para:
execução dos serviços;
cumprimento de obrigações legais;
auditoria;
segurança;
resolução de disputas.
Após o encerramento da relação contratual, os dados poderão ser eliminados ou anonimizados conforme políticas internas e requisitos legais aplicáveis.
17. Auditoria
Mediante solicitação razoável e observadas obrigações de confidencialidade e segurança, a Sinky poderá disponibilizar evidências relacionadas aos seus controles de proteção de dados.
A disponibilização poderá ocorrer por meio de:
certificações;
relatórios independentes;
documentos de conformidade;
respostas a questionários de segurança.
18. Limitação de Responsabilidade
As responsabilidades relacionadas à proteção de dados observarão as limitações de responsabilidade previstas no contrato principal celebrado entre as Partes, salvo disposição legal obrigatória em sentido contrário.
19. Legislação Aplicável
Este DPA será interpretado de acordo com a legislação aplicável prevista no contrato principal celebrado entre as Partes.
20. Contato
Questões relacionadas à proteção de dados poderão ser encaminhadas para: