Acordo de Processamento de Dados (DPA)

Última atualização: junho de 2026 · Versão 1.0

Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Serviço do Instagram AutoReply e estabelece as condições sob as quais o Operador (Instagram AutoReply) processa dados pessoais em nome do Controlador (cliente/usuário do serviço), em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento UE 2016/679).

1. Definições

• Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
• Controlador: o cliente que contrata o serviço Instagram AutoReply e determina as finalidades e os meios do processamento.
• Operador / Processador: Instagram AutoReply, que processa dados pessoais por conta e sob instrução do Controlador.
• Titulares dos Dados: os usuários do Instagram que interagem com os posts do Controlador.
• Processamento: qualquer operação realizada sobre dados pessoais.

2. Dados processados

O Operador processa os seguintes dados pessoais por conta do Controlador:

Categoria	Dados	Finalidade	Retenção
Identificadores de comentário	ID público do comentário no Instagram	Deduplicação de eventos	48 horas
Identificadores de usuário	ID público do usuário Instagram (scoped user ID)	Cooldown, opt-out, deduplicação	48 horas (processedComments) / indefinida enquanto ativo no opt-out
Conteúdo de comentário	Texto do comentário	Matching de palavras-chave para disparo de regras	Não armazenado após processamento
Primeiro nome	Nome público do perfil Instagram (campo name)	Personalização da mensagem com {nome}	Cache de 1 hora, sem persistência permanente
Credenciais do Controlador	Token OAuth do Instagram Business do Controlador	Autenticação para envio de DMs e respostas em nome do Controlador	Enquanto a conta estiver ativa; excluído no logout ou revogação

3. Base legal do processamento

O processamento dos dados dos Titulares é realizado com base no legítimo interesse do Controlador (art. 7º, IX, LGPD; art. 6º(1)(f), GDPR) para fins de automatização de resposta a interações voluntárias dos Titulares em publicações públicas do Instagram. O Controlador é responsável por garantir que seu uso do serviço esteja em conformidade com as bases legais aplicáveis à sua atividade.

4. Obrigações do Operador

O Instagram AutoReply compromete-se a:

• Processar dados pessoais apenas conforme instruções documentadas do Controlador (configurações de regras no painel).
• Implementar medidas técnicas e organizacionais adequadas para proteger os dados.
• Não divulgar dados a terceiros sem autorização, exceto quando exigido por lei.
• Auxiliar o Controlador no atendimento de direitos dos Titulares (acesso, correção, exclusão).
• Excluir ou devolver dados ao término do contrato, conforme instrução do Controlador.
• Notificar o Controlador em até 72 horas em caso de incidente de segurança que afete dados pessoais.
• Manter registro das atividades de processamento realizadas em nome do Controlador.

5. Obrigações do Controlador

O Controlador declara e garante que:

• Possui base legal válida para coletar e processar os dados dos Titulares.
• Informou os Titulares sobre o uso de respostas automatizadas (ex: menção nos Termos de Serviço ou na bio do perfil).
• Não instruirá o Operador a processar dados de forma ilegal ou contrária a este DPA.
• É responsável por obter consentimento ou outra base legal exigida pela jurisdição aplicável.

6. Subprocessadores

O Operador utiliza os seguintes subprocessadores para fornecimento do serviço:

Subprocessador	Finalidade	Localização
Meta Platforms, Inc.	API do Instagram (recebimento de webhooks, envio de DMs)	EUA
Hetzner / Kubernetes (infraestrutura)	Hospedagem da aplicação e banco de dados	Europa/Brasil
Stripe, Inc.	Processamento de pagamentos (dados de cobrança, não dados de Titulares)	EUA

A lista de subprocessadores pode ser atualizada mediante notificação ao Controlador com pelo menos 15 dias de antecedência, durante os quais o Controlador pode contestar a mudança.

7. Transferências internacionais

O serviço opera via API da Meta, sediada nos EUA. Para clientes sujeitos ao GDPR, as transferências são baseadas nas Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia. Para fins de LGPD, as transferências ocorrem com base em garantias contratuais adequadas ou no necessário uso do serviço pelo Controlador.

8. Segurança

As medidas de segurança implementadas incluem:

• Comunicação via TLS 1.2+ entre todos os componentes.
• Tokens OAuth armazenados com criptografia em repouso no banco de dados.
• Autenticação por sessão com cookie HttpOnly e SameSite=Lax.
• Validação de assinatura HMAC-SHA256 em todos os webhooks recebidos da Meta.
• Segregação de dados por tenant (cada conta acessa apenas seus próprios dados).
• Audits logs de operações críticas.

9. Direitos dos Titulares

O Controlador pode solicitar ao Operador assistência para atender direitos dos Titulares (acesso, correção, exclusão, portabilidade). Solicitações devem ser enviadas para suporte.autoreply@gmail.com com identificação do Controlador e do Titular. O Operador responderá em até 15 dias úteis.

Os Titulares podem exercer opt-out imediato enviando PARE, STOP ou equivalente por mensagem direta para a conta do Controlador — o sistema processa automaticamente.

10. Retenção e exclusão de dados

• Dados de Titulares (IDs de comentários, cooldowns): excluídos automaticamente após 48 horas.
• Lista de opt-out: mantida enquanto a conta do Controlador estiver ativa; excluída ao cancelar a conta.
• Dados do Controlador (token, configurações): excluídos em até 30 dias após encerramento da conta.

11. Auditoria

O Controlador pode solicitar, uma vez por ano e com aviso prévio de 30 dias, evidências documentais de conformidade deste DPA (ex: políticas de segurança, logs de acesso anonimizados). Auditorias in-loco estão disponíveis apenas para clientes Enterprise.

12. Vigência e rescisão

Este DPA entra em vigor na data de aceite dos Termos de Serviço e permanece válido enquanto o Controlador utilizar o serviço. Em caso de rescisão, o Operador excluirá todos os dados do Controlador em até 30 dias, salvo obrigação legal de retenção.

13. Contato do Encarregado (DPO)

Para questões relacionadas a proteção de dados, entre em contato com: suporte.autoreply@gmail.com