Data Processing Addendum (DPA) – URLZ.li / APPHUBIC LTD

Adendo de Processamento de Dados (DPA)

Última atualização: 27 de agosto de 2025
Este DPA faz parte do acordo entre você (“Cliente" ou "Controlador") e APPHUBIC LTD, negociando como URLZ.li (“Processador”). Ele foi elaborado para cumprir o GDPR do Reino Unido e, quando aplicável, o GDPR da UE. Este modelo é fornecido para fins informativos e não constitui aconselhamento jurídico.

Festas

Processador: APPHUBIC LTD, número da empresa 16438256, sede social em 20 Wenlock Road, Londres, Inglaterra, N1 7GU, comercializado como “URLZ.li”.

Controlador: O cliente identificado no contrato de serviço principal, formulário de pedido ou registro de conta no URLZ.li.

1. Assunto e Duração

1.1 Este DPA rege o processamento de Dados Pessoais pelo Processador em nome do Controlador em conexão com os serviços URLZ.li.

1.2 O processamento continuará durante o prazo do contrato principal e qualquer renovação, a menos que exigido de outra forma por lei.

2. Definições

Termos como Dados Pessoais, Processamento, Controlador, Processador, Titular dos dados, e Autoridade Supervisora têm os significados atribuídos no RGPD do Reino Unido e, quando aplicável, no RGPD da UE.

3. Natureza, escopo e propósito

3.1 Natureza e propósito: Fornecimento de serviços de encurtamento, gerenciamento e análise de links, incluindo acesso à API, registro de cliques e funcionalidades relacionadas, conforme detalhado em Anexo I.

3.2 Categorias de dados e titulares de dados: Conforme estabelecido em Anexo I; normalmente pode incluir endereços IP, agentes de usuário, registros de data e hora de cliques e dados de conta limitados.

3.3 O Processador processará Dados Pessoais somente mediante instruções documentadas do Controlador.

4. Obrigações do Processador

  • Processar Dados Pessoais somente mediante instruções documentadas do Controlador, inclusive em relação a transferências internacionais.
  • Garantir que as pessoas autorizadas a processar Dados Pessoais estejam vinculadas à confidencialidade.
  • Implementar e manter medidas técnicas e organizacionais adequadas (ver Anexo II).
  • Notifique o Controlador sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais (Seção 9).
  • Auxiliar o Controlador com solicitações do Titular dos Dados (Seção 10), segurança, DPIAs e consultas com autoridades, quando necessário.
  • Manter registros de processamento conforme exigido por lei.
  • Abster-se de nomear subprocessadores sem as garantias estabelecidas na Seção 6.

5. Obrigações do Controlador

  • Forneça instruções legais e documentadas e garanta uma base legal válida para o processamento.
  • Não transmitir categorias especiais de dados, a menos que expressamente acordado por escrito.
  • Informar o Processador sem demora sobre alterações que afetem as instruções de processamento ou a base legal.
  • Ser responsável por avisos, consentimentos e transparência em relação aos Titulares dos Dados.

6. Subprocessadores

  • O Controlador autoriza o Processador a contratar subprocessadores para hospedagem, análise, entrega de e-mail, suporte ao cliente, cobrança e serviços relacionados.
  • O Processador imporá obrigações aos subprocessadores não menos protetoras do que este DPA e permanecerá responsável pelo seu desempenho.
  • Uma lista atualizada de subprocessadores está disponível mediante solicitação ou no site do Processador. O Processador notificará sobre alterações materiais, permitindo que o Controlador se oponha com base em motivos razoáveis.

7. Transferências Internacionais

Quando os Dados Pessoais forem transferidos para fora do Reino Unido ou do EEE, o Processador deverá implementar salvaguardas apropriadas, incluindo o Acordo Internacional de Transferência de Dados do Reino Unido (IDTA), as Cláusulas Contratuais Padrão (SCCs) da UE e medidas suplementares quando necessário.

8. Medidas de segurança

O Processador deverá implementar medidas técnicas e organizacionais adequadas ao risco, incluindo as medidas descritas em Anexo II (por exemplo, criptografia em trânsito, controles de acesso, registro, revisões regulares).

9. Violação de Dados Pessoais

O Processador deverá notificar o Controlador sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais, fornecendo informações razoavelmente disponíveis no momento e cooperando para dar suporte às obrigações do Controlador de notificar as autoridades e os Titulares dos Dados, quando necessário.

10. Direitos do titular dos dados

Levando em consideração a natureza do processamento, o Processador auxiliará o Controlador por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Controlador de responder às solicitações de exercício dos direitos do Titular dos Dados.

11. Auditoria e Conformidade

Mediante aviso prévio razoável, o Processador disponibilizará as informações necessárias para demonstrar conformidade e permitir auditorias pelo Controlador ou por um auditor independente por ele designado, sujeito a restrições de confidencialidade, segurança e continuidade dos negócios. Auditorias remotas e certificados/relatórios de terceiros poderão ser utilizados para atender aos requisitos de auditoria, quando apropriado.

12. Devolução e Exclusão

Após a rescisão ou expiração do contrato principal, o Processador deverá excluir ou devolver os Dados Pessoais ao Controlador, a menos que a retenção seja exigida por lei. A exclusão pode ocorrer por meio de processos de apagamento seguro e rotação padrão de backups.

13. Responsabilidade e indenização

A responsabilidade de cada parte sob este DPA está sujeita às exclusões e limitações estabelecidas no contrato principal, exceto na medida proibida pela lei aplicável.

14. Lei aplicável e jurisdição

Este DPA é regido pelas leis da Inglaterra e do País de Gales. As partes se submetem à jurisdição exclusiva dos tribunais da Inglaterra e do País de Gales.

15. Ordem de Precedência

Em caso de conflito entre este DPA e o contrato principal, este DPA prevalecerá com relação ao assunto aqui contido.

Anexos

Anexo I – Detalhes do Processamento

  • Assunto: Operação da plataforma URLZ.li e APIs.
  • Duração: Durante o prazo do contrato principal e conforme legalmente exigido posteriormente.
  • Natureza e propósito: Encurtamento de links, redirecionamento, análise e recursos baseados em API; registro para segurança/prevenção de abuso.
  • Categorias de titulares de dados: Usuários finais do controlador; visitantes que clicam em links encurtados; funcionários/administradores do controlador.
  • Categorias de Dados Pessoais: Geralmente, endereço IP, agente do usuário, idioma, tipo de dispositivo, referenciador, carimbo de data/hora, identificadores de conta (nome/e-mail), metadados de cobrança (status de pagamento/tokenizado via provedor de pagamento). Não há dados de categoria especial pretendidos.
  • Categorias especiais: Não pretendido. O Controlador não deverá enviar tais dados, a menos que expressamente acordado por escrito.
  • Operações de processamento: Coleta, armazenamento, agregação, análise, recuperação, transmissão, exclusão.

Anexo II – Medidas Técnicas e Organizacionais (MOT)

  • Controle de acesso: Acesso baseado em função, privilégio mínimo, MFA para contas administrativas.
  • Criptografia: TLS para dados em trânsito; gerenciamento de segredos criptografados para credenciais/chaves.
  • Disponibilidade e resiliência: Backups, monitoramento, alertas e procedimentos de recuperação de desastres.
  • Registro e monitoramento: Registros centralizados, detecção de anomalias, limitação de taxa, controles de abuso.
  • Segurança do desenvolvimento: Revisões de código, varredura de dependências, gerenciamento de mudanças.
  • Minimização e retenção de dados: Coleta limitada de dados; cronogramas de retenção; exclusão segura.
  • Gestão de fornecedores: DPAs de processadores com subprocessadores; revisões periódicas.
  • Salvaguardas para funcionários: Compromissos de confidencialidade; treinamento de segurança.
  • Resposta a incidentes: Procedimentos documentados; fluxos de trabalho de notificação de violação.

Anexo III – Subprocessadores Autorizados

Uma lista atual de subprocessadores está disponível mediante solicitação em suporte@urlz.li. As categorias típicas incluem:

  • Provedores de hospedagem em nuvem e CDN;
  • Processadores de pagamento;
  • Plataformas de entrega de e-mail e suporte ao cliente;
  • Ferramentas de análise e monitoramento;
  • Serviços de segurança e registro.

O Processador fornecerá aviso prévio razoável sobre alterações materiais aos subprocessadores, permitindo que o Controlador se oponha por motivos razoáveis.

Execução

Este DPA é incorporado por referência ao contrato principal entre as partes e é considerado aceito mediante a execução desse contrato, registro de conta ou uso contínuo dos serviços, conforme aplicável.

Contato

APPHUBIC LTD
20 Wenlock Road, Londres, Inglaterra, N1 7GU
Número da empresa: 16438256
E-mail: suporte@urlz.li

© APPHUBIC LTD — URLZ.li • Este DPA é fornecido para transparência e deve ser revisado por um consultor jurídico.