Acordo de Tratamento de Dados (DPA)

Última atualização: junho de 2026 · Em conformidade com a LGPD (Lei 13.709/2018)

1. Objeto e enquadramento

Este Acordo de Tratamento de Dados (“DPA”) integra os Termos de Uso e a Política de Privacidade do Sixa, e rege o tratamento de dados pessoais de terceiros realizado pelo Sixa por conta e ordem do usuário.

Para os dados da carteira (clientes e leads MEI), o usuário(profissional ou escritório contábil) é o controlador e o Sixa é o operador, nos termos dos Arts. 5º, VI e VII, e 39 da LGPD.

2. Natureza, finalidade e duração

Natureza: coleta, armazenamento, organização, consulta e eliminação de dados, conforme as funcionalidades contratadas.
Finalidade: exclusivamente a prestação do serviço (simulador, CRM, monitoramento de carteira), seguindo as instruções do controlador.
Duração: enquanto vigente a relação contratual, observada a retenção e eliminação da cláusula 7.

3. Categorias de dados e titulares

Titulares: clientes e potenciais clientes MEI do usuário.
Dados: nome, email, telefone, CNPJ, faturamento informado e dados fiscais decorrentes das integrações contratadas.

4. Obrigações do operador (Sixa)

Tratar os dados apenas conforme as instruções do controlador e a finalidade contratada.
Garantir confidencialidade por parte de quem tenha acesso aos dados.
Adotar medidas técnicas e administrativas de segurança (cláusula 6).
Auxiliar o controlador no atendimento aos titulares e a requisições da ANPD.
Não compartilhar os dados com terceiros além dos subprocessadores autorizados (cláusula 5).

5. Subprocessadores autorizados

O controlador autoriza o Sixa a contratar os subprocessadores abaixo, responsáveis por etapas da operação. O Sixa permanece responsável perante o controlador pelos atos de seus subprocessadores.

Subprocessador	Finalidade	Local
Supabase	Banco de dados, autenticação e armazenamento	EUA (infra AWS)
Vercel	Hospedagem e processamento da aplicação	EUA
Stripe	Processamento de pagamentos do usuário	EUA
Resend	Envio de emails transacionais	EUA
Twilio	Notificações por WhatsApp (quando ativado)	EUA
Upstash	Limitação de taxa (proteção anti-abuso)	EUA
Pluggy	Open Banking — dados financeiros (Escritório)	Brasil
Omie	Integração ERP — dados fiscais (Pro+)	Brasil

Novos subprocessadores poderão ser incluídos mediante atualização desta lista e comunicação ao controlador, que poderá se opor por motivo legítimo.

6. Segurança da informação

Criptografia em repouso e em trânsito (TLS 1.2+).
Isolamento por Row Level Security (RLS): cada controlador acessa apenas os próprios dados.
Controle de acesso e autenticação para administração da plataforma.
Credenciais de integrações armazenadas de forma cifrada.

7. Devolução e eliminação

Ao encerrar a relação, o controlador pode exportar a carteira (CSV/JSON) pela plataforma.
Os dados são eliminados em até 90 dias após o cancelamento, salvo obrigação legal de retenção maior.

8. Incidentes de segurança

Em caso de incidente que possa acarretar risco relevante aos titulares, o Sixa comunicará o controlador em prazo razoável, com as informações necessárias para que o controlador cumpra seus deveres perante a ANPD e os titulares (Art. 48 da LGPD).

9. Direitos dos titulares

Requisições de titulares (acesso, correção, exclusão, portabilidade) devem ser dirigidas ao controlador, a quem cabe respondê-las. O Sixa fornecerá os meios técnicos para que o controlador atenda a essas requisições.

10. Responsabilidade e vigência

Este DPA vigora enquanto durar o contrato de prestação de serviço e prevalece sobre disposições conflitantes a respeito de tratamento de dados pessoais. Cada parte responde por suas obrigações nos termos da LGPD.

11. Contato

Assuntos relativos a este DPA: privacidade@sixa.com.br.