Data Processing Agreement (DPA)

Última atualização: 10/04/2026

Este Acordo de Tratamento de Dados (Data Processing Agreement — "DPA") é parte integrante dos Termos de Uso do LifeMatch Engine e regula o tratamento de dados pessoais realizado pela LifeTime Pesquisa Clínica Ltda. ("Operador", "LifeMatch") em nome do Cliente ("Controlador"), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — "LGPD").

1. Definições

• Controlador: pessoa natural ou jurídica (Cliente) a quem competem as decisões referentes ao tratamento de dados pessoais, nos termos do art. 5º, VI da LGPD.
• Operador: pessoa jurídica (LifeTime) que realiza o tratamento de dados pessoais em nome do Controlador, conforme art. 5º, VII da LGPD.
• Sub-operador: terceiro contratado pelo Operador para auxiliar no tratamento dos dados, conforme autorização prévia do Controlador.
• Dados Pessoais: informações relacionadas a pessoa natural identificada ou identificável, incluindo dados de saúde (dados pessoais sensíveis, art. 5º, II da LGPD).
• Incidente de Segurança: qualquer ocorrência de acesso não autorizado, destruição, perda, alteração, comunicação ou difusão indevida de dados pessoais que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da LGPD.
• Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, transmissão, eliminação, etc.), conforme art. 5º, X da LGPD.

2. Objeto do Acordo

Este DPA estabelece os termos e condições segundo os quais o Operador tratará dados pessoais de titulares (pacientes e usuários finais) em nome do Controlador, no contexto da utilização do LifeMatch Engine. O DPA visa assegurar o cumprimento integral da LGPD e de outras normas aplicáveis à proteção de dados.

3. Natureza e Finalidade do Tratamento

Objeto do tratamento: realização de matching clínico entre respostas de pacientes e estudos clínicos cadastrados, incluindo armazenamento de sessões, resultados, feedbacks e geração de relatórios.

Duração: durante a vigência do contrato com o Cliente, respeitados os prazos de retenção.

Categorias de titulares: pacientes, profissionais da saúde, administradores do Cliente.

Categorias de dados: identificação, contato, dados clínicos sensíveis (condição, biomarcadores, estadiamento, tratamentos), metadados de sessão.

4. Obrigações do Operador (LifeMatch)

O Operador compromete-se a:

• Processar os dados apenas conforme instruções documentadas do Controlador, incluindo aquelas previstas neste DPA, nos Termos de Uso e nas configurações do painel administrativo. O Operador notificará imediatamente o Controlador caso, em sua opinião, alguma instrução viole a LGPD ou outra legislação aplicável;
• Garantir a confidencialidade dos dados pessoais, inclusive por parte de seus colaboradores, que estarão submetidos a obrigações contratuais de sigilo;
• Aplicar medidas técnicas e organizacionais de segurança apropriadas ao risco, incluindo criptografia em trânsito e em repouso, controle de acesso, autenticação forte, logs de auditoria, backups criptografados e planos de continuidade;
• Notificar incidentes de segurança em até 24 (vinte e quatro) horas após sua identificação, fornecendo ao Controlador todas as informações necessárias para que possa cumprir suas obrigações junto à ANPD e aos titulares afetados;
• Prestar assistência ao Controlador no atendimento aos direitos dos titulares e nas avaliações de impacto (DPIA/RIPD);
• Manter registros de todas as categorias de atividades de tratamento realizadas em nome do Controlador;
• Colocar à disposição do Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações deste DPA.

5. Obrigações do Controlador (Cliente)

O Controlador compromete-se a:

• Garantir que possui base legal válida para o tratamento dos dados pessoais submetidos ao Operador (consentimento, execução de contrato, tutela da saúde ou outra hipótese do art. 7º ou 11 da LGPD);
• Informar adequadamente os titulares sobre o tratamento, suas finalidades, o compartilhamento com o Operador e seus direitos;
• Não submeter ao Operador dados excessivos, inadequados ou fora do escopo das finalidades acordadas;
• Configurar adequadamente as políticas de retenção, segurança e webhooks no painel administrativo;
• Atender diretamente às solicitações dos titulares, auxiliado pelo Operador quando necessário;
• Manter atualizados os contatos do seu Encarregado (DPO) junto ao Operador.

6. Sub-processamento

O Controlador autoriza expressamente o Operador a contratar sub-operadores para execução de atividades específicas de tratamento. A lista atual de sub-operadores autorizados inclui:

• Amazon Web Services, Inc. (AWS) — hospedagem, banco de dados RDS (sa-east-1), armazenamento S3, CloudWatch para logs;
• Provedor de e-mail transacional SMTP — envio de notificações administrativas e relatórios;
• Ferramentas de monitoramento e observabilidade — métricas, logs e alertas operacionais.

O Operador compromete-se a: (i) celebrar contratos com os sub-operadores que imponham obrigações equivalentes às deste DPA; (ii) informar o Controlador com antecedência mínima de 30 dias sobre qualquer alteração na lista, concedendo direito de objeção justificada; (iii) permanecer integralmente responsável perante o Controlador pelos atos de seus sub-operadores.

7. Direitos dos Titulares

O Operador disponibilizará ao Controlador, no painel administrativo e via API, as ferramentas necessárias para atender as solicitações dos titulares, incluindo:

• Exportação de dados (portabilidade) em formato estruturado (JSON/CSV);
• Exclusão ou anonimização de sessões e resultados;
• Consulta ao histórico de tratamento;
• Revogação de consentimento.

Quando o Operador receber diretamente uma solicitação de titular, a encaminhará ao Controlador em até 5 dias úteis.

8. Auditoria

O Controlador tem o direito de realizar auditorias, por si ou por terceiro independente designado, ao cumprimento das obrigações deste DPA pelo Operador, no máximo 1 (uma) vez por ano, mediante aviso prévio de 30 (trinta) dias, salvo em casos de incidentes de segurança confirmados, quando o prazo poderá ser reduzido.

As auditorias serão conduzidas em horário comercial, sem interferir indevidamente nas operações do Operador, e observarão a confidencialidade de informações técnicas, comerciais e de outros clientes. Relatórios de auditoria SOC 2, ISO 27001 ou equivalentes, quando disponibilizados pelo Operador, poderão substituir auditorias presenciais.

9. Devolução ou Eliminação de Dados ao Término

Ao término do contrato, por qualquer motivo, o Operador, a critério do Controlador, deverá:

• Devolver todos os dados pessoais ao Controlador em formato estruturado (export CSV/JSON), em até 30 dias, OU
• Eliminar todos os dados pessoais, incluindo cópias em backups (respeitado o ciclo de rotação de backups de 30 dias), certificando por escrito a eliminação ao Controlador.

Exceções aplicam-se quando a retenção for exigida por lei ou autoridade competente, caso em que o Operador informará o Controlador da base legal da retenção.

10. Vigência

Este DPA entra em vigor na data da aceitação pelo Cliente (coincidente com a aceitação dos Termos de Uso) e permanecerá válido enquanto durar o contrato principal. Obrigações de confidencialidade, segurança e devolução/eliminação de dados permanecem válidas mesmo após o término do contrato.

11. English Summary

This English summary is provided for convenience only. The Portuguese version above is the legally binding text.

Parties and Scope

This Data Processing Agreement ("DPA") is entered into between LifeTime Pesquisa Clínica Ltda. ("Processor" / "LifeMatch") and the Customer ("Controller"). It governs the processing of personal data by LifeMatch on behalf of the Customer under Brazil's General Data Protection Law (LGPD — Law 13.709/2018) and applicable regulations. The DPA is an integral part of the LifeMatch Terms of Use.

Processor Obligations

LifeMatch shall process personal data solely on documented instructions from the Controller, ensure confidentiality through contractual obligations with personnel, and apply appropriate technical and organizational security measures, including encryption at rest and in transit, PBKDF2 password hashing, HMAC-signed webhooks, audit logs, access control and authentication. LifeMatch shall notify the Controller of any security incident within 24 hours of detection and provide all information needed for the Controller to comply with its obligations toward data subjects and the Brazilian Data Protection Authority (ANPD).

Sub-processing

The Controller authorizes LifeMatch to engage sub-processors, currently including Amazon Web Services (AWS — infrastructure, sa-east-1 region), an SMTP email provider, and monitoring tools. LifeMatch shall notify the Controller at least 30 days in advance of any change to the list of sub-processors and remains fully liable for their acts and omissions. Equivalent data protection obligations must be imposed on all sub-processors via contract.

Data Subject Rights and Audits

LifeMatch provides the Controller with tools (admin panel and API) to fulfill data subject rights under LGPD Article 18, including data access, rectification, deletion, anonymization and portability. The Controller may audit LifeMatch's compliance with this DPA once per year with 30 days' prior notice, except in cases of confirmed security incidents. SOC 2 / ISO 27001 reports, when available, may substitute on-site audits.

Termination and Data Return

Upon termination of the main agreement, at the Controller's choice, LifeMatch shall either return all personal data in structured format (CSV/JSON) or permanently delete it within 30 days, certifying the deletion in writing. Backup copies follow a 30-day rotation cycle. Legal retention obligations are honored and disclosed to the Controller. Confidentiality, security and data return obligations survive termination of the agreement.