ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA) Última atualização: [2026-01-01] 1. PARTES 1.1. CONTROLADORA (ESCOLA CONTRATANTE) A pessoa jurídica que contrata o Sistema Lunz Tech e insere dados pessoais de alunos, responsáveis e professores na plataforma. 1.2. OPERADORA (LUNZ TECH) Lunz Soluções Educacionais LTDA CNPJ: 26.364.619/0001-79 Endereço: Avenida Civit, 653 – Parque Residencial Laranjeiras, Serra – ES E-mail para privacidade/DPO: lunztech@gmail.com 2. OBJETO DO ACORDO 2.1. Este Acordo disciplina o tratamento de dados pessoais realizado pela Lunz Tech, na qualidade de Operadora, em nome da Controladora, para fins de execução do contrato de prestação de serviços de gestão escolar. 2.2. Este DPA complementa e integra: - Termo de Uso da Plataforma Lunz Tech - Política de Privacidade Lunz Tech - Termo de Uso do Aplicativo Lunz Tech 3. DESCRIÇÃO DO TRATAMENTO 3.1. Tipos de dados pessoais tratados A Operadora poderá tratar, sob orientação da Controladora: Dados cadastrais: - Nome - CPF/RG - Data de nascimento - Endereço - E-mail - Telefone - Responsáveis (quando menor de idade) Dados acadêmicos e contratuais: - Matrícula - Frequência - Histórico de aulas - Planos e contratos Dados financeiros: - Situação de pagamentos - Informações de faturas e cobranças - Métodos de pagamento (tokenizados por gateway) Dados sensíveis (dependendo da escola): - Biometria digital ou facial (impressão digital ou leitura facial para controle de acesso) → Somente se a escola contratar esse módulo e coletar autorização conforme LGPD. Dados de uso: - IP - Logs de acesso - Dispositivo - Dados técnicos para segurança 4. FINALIDADES DO TRATAMENTO A Operadora tratará os dados apenas para: a) executar as funcionalidades da Plataforma; b) realizar cobranças automatizadas, caso a escola utilize tais módulos; c) gerar relatórios administrativos e pedagógicos; d) garantir segurança, autenticação e prevenção a fraudes; e) atender solicitações da Controladora; f) cumprir obrigações legais aplicáveis. A Operadora não utilizará dados pessoais para finalidades próprias, salvo quando atuar como Controladora em situações específicas (ex.: comunicação institucional com gestores, faturamento, atendimento técnico). 5. OBRIGAÇÕES DA LUNZ TECH (OPERADORA) A Operadora compromete-se a: 5.1. Tratar dados pessoais somente conforme as instruções documentadas da Controladora. 5.2. Implementar medidas técnicas e administrativas de segurança compatíveis com a LGPD, tais como: - criptografia em trânsito (HTTPS TLS) - autenticação segura - controle de acesso baseado em papéis - backups regulares - registro e monitoramento de logs 5.3. Garantir que pessoas autorizadas ao tratamento estejam sujeitas a dever de sigilo. 5.4. Auxiliar a Controladora no atendimento aos direitos dos titulares (LGPD, art. 18). 5.5. Auxiliar em incidentes de segurança, investigações e auditorias razoáveis. 5.6. Excluir ou devolver os dados ao término da relação contratual conforme instruções da Controladora. 5.7. Notificar imediatamente a Controladora sobre qualquer incidente de segurança que possa causar risco ou dano aos titulares. 6. OBRIGAÇÕES DA CONTROLADORA (ESCOLA) A Controladora se obriga a: 6.1. Garantir base legal adequada para coletar e enviar os dados à Operadora. 6.2. Informar claramente aos titulares sobre o uso da Plataforma Lunz Tech. 6.3. Solicitar consentimento para dados sensíveis quando necessário (ex.: biometria). 6.4. Parametrizar corretamente o sistema e revisar permissões de usuários internos. 6.5. Notificar a Operadora sobre mudanças nas instruções de tratamento. 7. SUBPROCESSADORES (TERCEIROS) 7.1. A Operadora poderá utilizar terceiros para realizar partes específicas do tratamento, tais como: - provedores de nuvem - gateways de pagamento - serviços de e-mail transacional - serviços de assinatura digital - emissão de notas fiscais 7.2. A Lunz Tech mantém contratos com tais subprocessadores exigindo confidencialidade e medidas de segurança compatíveis com a LGPD. 7.3. Atualizações na lista de subprocessadores serão informadas à Controladora por meio do painel administrativo ou comunicado eletrônico. 8. TRANSFERÊNCIA INTERNACIONAL A Operadora poderá realizar transferência internacional de dados sempre que: - armazenados em servidores de nuvem no exterior; - utilizados por provedores cuja infraestrutura é global. Nesses casos, serão adotadas garantias adequadas para proteção dos dados, conforme LGPD (art. 33 e seguintes). 9. INCIDENTES DE SEGURANÇA 9.1. Se a Operadora identificar qualquer incidente de segurança envolvendo dados pessoais tratados em nome da Controladora, deverá comunicar imediatamente, contendo: - descrição do incidente - tipos de dados afetados - medidas de mitigação - ações adotadas 9.2. A Controladora é responsável por eventual comunicação à ANPD e aos titulares, conforme situação específica. 10. DIREITOS DOS TITULARES 10.1. Se um titular solicitar acesso, correção ou exclusão de seus dados diretamente à Lunz Tech, a Operadora encaminhará a solicitação à Controladora, que é a responsável pela resposta final. 10.2. A Operadora auxiliará tecnicamente quando necessário. 11. PRAZOS DE RETENÇÃO 11.1. A Operadora armazenará dados apenas durante: - a vigência do contrato; - o prazo legal, quando exigido (ex.: documentos fiscais); - o prazo instruído pela Controladora. 11.2. Após o encerramento da relação contratual, a Operadora: - disponibilizará exportação dos dados por até 30 dias; - excluirá ou anonimizará os dados após esse período, exceto os que sejam necessários para cumprimento de obrigações legais. 12. AUDITORIA A Controladora poderá solicitar informações ou relatórios de segurança da Operadora, desde que: - a solicitação seja razoável; - não comprometa segredos comerciais; - seja previamente agendada. 13. LIMITAÇÃO DE RESPONSABILIDADE 13.1. Cada Parte responde dentro da medida de sua culpa. 13.2. A Operadora não é responsável por: - dados inseridos incorretamente pela Controladora; - acessos indevidos causados por usuários da Controladora; - falhas em equipamentos ou serviços externos à Operadora. 13.3. O limite de responsabilidade segue o Termo de Uso da Plataforma. 14. VIGÊNCIA Este DPA vigora enquanto houver tratamento de dados pessoais realizado pela Operadora em nome da Controladora. Encerra-se após a exclusão ou devolução dos dados. 15. FORO Fica eleito o foro da Comarca de Serra – ES, renunciando as partes a qualquer outro. 16. ASSINATURA Este DPA poderá ser aceito: - digitalmente pela plataforma - ou assinado por meio eletrônico (Clicksign, Assinatura ICP Brasil etc.)