ANEXO DE TRATAMENTO DE DADOS (DPA) — WJS Commerce OS (v1 · minuta)

Aplicável à relação entre a EMPRESA contratante (CONTROLADORA dos dados de seus
clientes e afiliados) e a plataforma (OPERADORA), nos termos da LGPD.

1. PAPÉIS. A Empresa determina finalidades e meios; a plataforma trata os dados
exclusivamente conforme estas instruções documentadas e para prestar o serviço.

2. DADOS TRATADOS. Cadastro de afiliados e compradores, transações, cliques de
atribuição e chaves Pix para repasse — detalhados na Política de Privacidade.

3. SEGURANÇA. Isolamento por empresa no banco (Row-Level Security), criptografia
em trânsito, hashing forte de credenciais, auditoria imutável, backups com teste
de restauração e princípio do menor privilégio.

4. SUBOPERADORES. Infraestrutura de nuvem e provedor de pagamentos, mantidos em
lista pública atualizada (na migração: Supabase — região São Paulo/BR —, Vercel
e Mercado Pago). Novo suboperador será comunicado com antecedência.

5. INCIDENTES. Notificação à Empresa em até 48h da ciência de incidente de
segurança com dados pessoais, com escopo, impacto e medidas.

6. DIREITOS DOS TITULARES. A plataforma fornece as ferramentas (exportação,
anonimização, registro de consentimentos) para a Empresa atender os titulares.

7. TÉRMINO. Ao fim do contrato, dados pessoais são devolvidos ou eliminados,
ressalvadas obrigações legais de retenção (registros fiscais/financeiros).

⚠️ Documento em minuta — sujeito a revisão jurídica profissional.