Versão 1.0

Acordo de Tratamento de Dados

Vigente a partir de 29 de junho de 2026

Baixar PDF

Principais proteções deste Acordo

Seus dados ficam no Brasil

Registros de consentimento armazenados exclusivamente em São Paulo (Hostinger VPS).

IPs pseudonimizados

Endereços IP transformados via SHA-256 com salt — o dado original nunca é armazenado.

Notificação de incidentes em 72h

Comunicamos você sem demora em caso de qualquer incidente de segurança.

Prova de consentimento exportável

Exporte seus registros em CSV ou JSON a qualquer momento para fins de auditoria.

Direitos dos titulares apoiados

Auxiliamos no atendimento de solicitações de acesso, correção, eliminação e portabilidade.

Aviso prévio de 30 dias para alterações

Atualizações no Acordo são comunicadas com no mínimo 30 dias de antecedência.

ACORDO DE TRATAMENTO DE DADOS (ATD)

Versão 1.0 — Vigente a partir de 29 de junho de 2026


PARTES

OPERADOR: PAGOPAGO TECNOLOGIA E COMERCIO LTDA - ME CNPJ: 52.280.228/0001-86 Endereço: R. Izidro Ortiz, 333 - Jardim Guança, São Paulo - SP, 02161-000 E-mail para assuntos de privacidade: privacidade@cookiefacil.com.br

Neste Acordo, a PAGOPAGO TECNOLOGIA E COMERCIO LTDA - ME é referida como "CookieFácil" ou "Operador", denominação comercial da plataforma de gerenciamento de consentimento de cookies objeto deste Acordo.

CONTROLADOR: [Razão Social do Cliente — preenchida automaticamente no cadastro] CNPJ/CPF: [preenchido automaticamente no cadastro] E-mail: [e-mail cadastrado na conta]

Doravante referidos individualmente como "Parte" e, conjuntamente, como "Partes".


PREÂMBULO

CONSIDERANDO QUE:

(a) O Controlador contratou os serviços da plataforma CookieFácil para gerenciamento de consentimento de cookies em seu(s) site(s); (b) A prestação desses serviços implica o tratamento de dados pessoais dos visitantes do(s) site(s) do Controlador pelo Operador; (c) A LGPD (Lei nº 13.709/2018) estabelece obrigações específicas para a relação entre controlador e operador, em especial nos Arts. 37 e 39; (d) O Operador atua exclusivamente como Operador nos termos deste Acordo e não determina as finalidades nem os meios essenciais do tratamento de dados pessoais;

As Partes celebram o presente Acordo de Tratamento de Dados ("ATD" ou "Acordo"), que regula as condições sob as quais o Operador trata dados pessoais em nome do Controlador.


CLÁUSULA 1 — DEFINIÇÕES

1.1 "Dados Pessoais": qualquer informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I, LGPD).

1.2 "Tratamento": toda operação realizada com dados pessoais, incluindo coleta, armazenamento, uso, acesso, transmissão, processamento, eliminação ou extração (Art. 5º, X, LGPD).

1.3 "Controlador": pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI, LGPD). Para fins deste Acordo: o Cliente identificado no preâmbulo.

1.4 "Operador": pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII, LGPD). Para fins deste Acordo: a CookieFácil.

1.5 "Titular": pessoa natural a quem se referem os dados pessoais — neste caso, os visitantes do(s) site(s) do Controlador.

1.6 "Suboperador": terceiro subcontratado pelo Operador para executar parte do tratamento em nome do Controlador.

1.7 "Incidente de Segurança": acesso não autorizado, destruição, perda, alteração ou qualquer forma inadequada de tratamento de dados pessoais.

1.8 "ANPD": Autoridade Nacional de Proteção de Dados.

1.9 "Serviços": os serviços de gerenciamento de consentimento de cookies prestados pela plataforma CookieFácil, conforme os Termos de Uso disponíveis em cookiefacil.com.br/termos-de-uso.

1.10 "Pseudonimização": processo criptográfico destinado a reduzir a vinculação direta do dado a um titular, preservando apenas identificadores técnicos pseudonimizados estritamente necessários à prestação do Serviço, sem retenção do dado original pelo Operador.


CLÁUSULA 2 — OBJETO E FINALIDADE

2.1 Este Acordo regula o tratamento de dados pessoais realizado pelo Operador no âmbito dos Serviços.

2.2 O Operador atua exclusivamente como Operador e não determina as finalidades nem os meios essenciais do tratamento. As decisões sobre finalidade e base legal pertencem ao Controlador.

2.3 O tratamento tem por finalidade exclusiva:

(a) Registrar e armazenar as escolhas de consentimento dos Titulares quanto ao uso de cookies no(s) site(s) do Controlador; (b) Gerar prova de consentimento para fins de conformidade com a LGPD; (c) Disponibilizar painel analítico ao Controlador com dados agregados sobre as preferências de consentimento; (d) Entregar o script de gerenciamento de banner de cookies ao(s) site(s) do Controlador.

2.4 O Operador não utilizará os dados pessoais para qualquer finalidade além das descritas nesta cláusula, salvo instrução escrita do Controlador ou obrigação legal.


CLÁUSULA 3 — DADOS PESSOAIS TRATADOS

3.1 No âmbito dos Serviços, o Operador trata as seguintes categorias de dados pessoais:

Categoria Finalidade Forma de Tratamento
Endereço IP Identificação técnica para fins de registro de consentimento Pseudonimizado por meio de função criptográfica (SHA-256 com salt) — dado original nunca armazenado
Agente de usuário (User Agent) Registro contextual de consentimento — opcional Coletado apenas se habilitado pelo Controlador
Registro de consentimento Prova de consentimento para fins regulatórios Categoria escolhida, ação (aceitar/rejeitar/personalizar), versão do banner
Timestamp do consentimento Prova de consentimento para fins regulatórios Data e hora da escolha do Titular (UTC)

3.2 A base legal de cada tratamento é definida exclusivamente pelo Controlador, nos termos do Art. 7º da LGPD. O Operador realiza o tratamento em nome e sob as instruções do Controlador, sem determinar a base legal aplicável.

3.3 O Operador não trata dados pessoais sensíveis (Art. 5º, II, LGPD) no âmbito deste Acordo.

3.4 Os titulares são os visitantes do(s) site(s) do Controlador que interagem com o banner de cookies.

3.5 O Operador adota o princípio da minimização de dados (Art. 6º, III, LGPD), tratando apenas os dados estritamente necessários para a execução dos Serviços.


CLÁUSULA 4 — OBRIGAÇÕES DO OPERADOR

O Operador compromete-se a:

4.1 Seguir instruções documentadas: tratar os dados pessoais exclusivamente conforme as instruções do Controlador e nos termos deste Acordo, salvo obrigação legal em contrário — hipótese em que informará o Controlador previamente, se legalmente permitido.

4.2 Confidencialidade: garantir que as pessoas autorizadas a tratar os dados pessoais estejam sob compromisso ou obrigação legal de confidencialidade, inclusive após o encerramento do vínculo com o Operador.

4.3 Segurança: implementar medidas técnicas e organizacionais adequadas, proporcionais aos riscos do tratamento, para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação indevida, revisando-as periodicamente conforme a evolução tecnológica e os riscos identificados. As medidas adotadas estão descritas na Política de Segurança da Informação do Operador, disponível mediante solicitação.

4.4 Suboperadores: não subcontratar o tratamento sem autorização geral do Controlador, concedida por meio da aceitação deste Acordo, nos termos do mecanismo de objeção previsto na Cláusula 6. O Operador imporá a todos os Suboperadores as mesmas obrigações de proteção de dados estabelecidas neste Acordo.

4.5 Direitos dos Titulares: auxiliar o Controlador, na medida do tecnicamente possível, no atendimento de solicitações dos Titulares relativas aos direitos dos Arts. 17 a 22 da LGPD.

4.6 Notificação de Incidentes: notificar o Controlador sem demora injustificada, e em todo caso em até 72 (setenta e duas) horas após tomar conhecimento, sobre qualquer Incidente de Segurança, fornecendo: natureza do incidente, categorias e número aproximado de Titulares afetados, dados envolvidos, prováveis consequências e medidas adotadas ou propostas (Art. 48, LGPD).

4.7 Eliminação ou devolução: ao término contratual, eliminar ou devolver todos os dados pessoais no prazo de 30 (trinta) dias, salvo obrigação legal de retenção, hipótese em que informará o Controlador sobre o fundamento e o prazo aplicável.

4.8 Registros de tratamento: manter registros das atividades de tratamento realizadas em nome do Controlador (Art. 37, LGPD) e disponibilizá-los ao Controlador quando solicitado e à ANPD quando legalmente exigido.

4.9 Auditoria: disponibilizar ao Controlador as informações necessárias para demonstrar cumprimento deste Acordo e cooperar, de boa-fé, com auditorias ou inspeções realizadas pelo Controlador ou auditor por ele indicado — desde que sujeito a obrigação de confidencialidade equivalente à deste Acordo —, mediante aviso prévio razoável de no mínimo 15 (quinze) dias úteis.

4.10 Cooperação com a ANPD: cooperar com investigações, fiscalizações e solicitações de informações da ANPD que envolvam o tratamento de dados pessoais realizado nos termos deste Acordo.

4.11 Retenção: reter os registros de consentimento pelo prazo necessário ao cumprimento de obrigações legais e à defesa em processos administrativos ou judiciais, observando o princípio da necessidade (Art. 6º, III, LGPD).

4.12 Accountability: manter documentação adequada para demonstrar conformidade com as obrigações deste Acordo e com a LGPD (Art. 6º, X, LGPD).

4.13 Solicitações governamentais: sempre que legalmente permitido e salvo proibição expressa de autoridade competente, notificar o Controlador antes de divulgar dados pessoais em cumprimento de ordem judicial, requisição administrativa ou obrigação legal imposta por autoridade pública, a fim de permitir ao Controlador buscar a tutela judicial cabível.

4.14 Recusa de instruções incompatíveis: recusar instruções do Controlador que sejam manifestamente ilegais, tecnicamente inviáveis ou incompatíveis com obrigações legais aplicáveis ao Operador, comunicando as razões ao Controlador por escrito, sem demora injustificada.


CLÁUSULA 5 — RESPONSABILIDADE DO CONTROLADOR

O Controlador é o único responsável por:

5.1 Determinar as finalidades e as bases legais do tratamento de dados pessoais realizados por meio dos Serviços, nos termos do Art. 7º da LGPD.

5.2 Informar os Titulares, em Política de Privacidade adequada e acessível, sobre o tratamento de dados pessoais realizado em seu(s) site(s), incluindo a identificação da CookieFácil como Operadora subcontratada.

5.3 Garantir que a configuração da plataforma CookieFácil — incluindo categorias de cookies, textos do banner e finalidades declaradas — esteja em conformidade com a LGPD e com a realidade dos cookies utilizados em seu(s) site(s).

5.4 Responder perante a ANPD e perante os Titulares por quaisquer violações da LGPD decorrentes de suas decisões como Controlador, sem prejuízo das responsabilidades legais próprias do Operador nos termos dos Arts. 42 a 45 da LGPD.

5.5 Notificar o Operador imediatamente sobre qualquer solicitação de exercício de direitos de Titulares que requeira ação do Operador.

5.6 Não instruir o Operador a realizar qualquer tratamento que viole a LGPD ou legislação aplicável.

5.7 Fornecer ao Operador instruções claras, documentadas e lícitas quanto ao tratamento de dados pessoais.

5.8 Não modificar, adaptar, reverter engenharia ou interferir nos scripts, APIs ou código-fonte da plataforma CookieFácil. O Operador não responde por falhas, incidentes de segurança ou violações de dados decorrentes de modificações não autorizadas realizadas pelo Controlador ou por terceiros sob sua responsabilidade. O Controlador é igualmente responsável pelo conteúdo e pelos dados submetidos à plataforma via API ou painel, sendo vedado o envio de dados pessoais além dos previstos na Cláusula 3 deste Acordo.


CLÁUSULA 6 — SUBOPERADORES AUTORIZADOS

6.1 O Controlador, ao aceitar este Acordo, concede autorização geral para o uso dos seguintes Suboperadores, cujas atividades são necessárias à prestação dos Serviços:

Suboperador País/Localização Papel no tratamento
Hostinger International Ltd. Entidade legal: Lituânia; Infraestrutura: Brasil — São Paulo (VPS) Hospedagem da infraestrutura da plataforma e dos dados de consentimento — dados armazenados exclusivamente no Brasil
Cloudflare, Inc. EUA — CDN global Entrega do script do banner ao navegador do Titular via CDN; proteção DDoS; SSL/TLS. A Cloudflare processa exclusivamente tráfego de rede transitório (pacotes cifrados) necessário à entrega do script JavaScript — não armazena nem acessa dados de consentimento.

6.2 O Operador notificará o Controlador sobre qualquer adição ou substituição de Suboperadores com antecedência mínima de 30 (trinta) dias, por e-mail ao endereço cadastrado. O Controlador poderá, nesse prazo, objetar por motivo fundamentado. Na ausência de objeção, a adição ou substituição é considerada autorizada.

6.3 O Operador garante que todos os Suboperadores estão sujeitos a obrigações de proteção de dados equivalentes às deste Acordo, mediante contrato escrito celebrado antes do início de qualquer tratamento.


CLÁUSULA 7 — LOCALIZAÇÃO E TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1 Os dados de consentimento tratados nos termos deste Acordo são armazenados exclusivamente em servidor localizado no Brasil (São Paulo — Hostinger VPS).

7.2 Os registros de consentimento são armazenados exclusivamente em infraestrutura localizada no Brasil (São Paulo — Hostinger VPS). A Cloudflare poderá realizar processamento transitório de metadados de rede estritamente necessário à entrega do script JavaScript do banner e à proteção da infraestrutura, não sendo utilizada para armazenamento dos registros de consentimento.

7.3 Qualquer transferência internacional de dados de consentimento não prevista nesta cláusula será previamente comunicada ao Controlador, sendo adotadas as garantias exigidas pelo Art. 33 da LGPD antes de sua ocorrência.


CLÁUSULA 8 — SEGURANÇA DOS DADOS

8.1 O Operador implementa e mantém medidas técnicas e organizacionais adequadas ao nível de risco do tratamento, considerando o estado da técnica, os custos de implementação e os riscos aos titulares, revisadas periodicamente conforme a evolução das ameaças e das melhores práticas do setor.

8.2 As medidas incluem, sem limitação: controles de criptografia em trânsito e em repouso, pseudonimização de dados de identificação, controles de acesso baseados em necessidade operacional, proteção contra ataques de rede, monitoramento e logs de acesso, e procedimentos documentados de resposta a incidentes.

8.3 A descrição detalhada das medidas técnicas e organizacionais está disponível mediante solicitação do Controlador, no âmbito do direito de auditoria previsto na Cláusula 4.9.


CLÁUSULA 9 — DIREITOS DOS TITULARES

9.1 O Operador auxiliará o Controlador, sem demora injustificada, no atendimento das seguintes solicitações dos Titulares:

(a) Confirmação e acesso (Art. 18, I e II): extrato dos registros de consentimento do Titular; (b) Correção (Art. 18, III): atualização de dados inexatos ou desatualizados; (c) Eliminação (Art. 18, VI): exclusão dos dados de consentimento, salvo obrigação legal de retenção; (d) Portabilidade (Art. 18, V): exportação dos dados em formato estruturado (CSV ou JSON); (e) Revogação (Art. 18, IX): o Titular pode alterar suas preferências de consentimento a qualquer momento por meio do banner de cookies, com o mesmo esforço utilizado para concedê-lo.

9.2 Solicitações dos Titulares que requeiram ação do Operador devem ser encaminhadas pelo Controlador ao e-mail privacidade@cookiefacil.com.br. O Operador responderá sem demora injustificada, considerando a complexidade e o volume das solicitações.

9.3 Solicitações de exercício de direitos recebidas diretamente pelo Operador de Titulares serão encaminhadas ao Controlador sem demora injustificada, salvo se o Operador estiver legalmente obrigado a responder diretamente.


CLÁUSULA 10 — NOTIFICAÇÃO DE INCIDENTES

10.1 Em caso de Incidente de Segurança que afete dados pessoais tratados nos termos deste Acordo, o Operador:

(a) Notificará o Controlador sem demora injustificada, e em todo caso em até 72 (setenta e duas) horas após tomar conhecimento do incidente; (b) Fornecerá as seguintes informações, na medida em que estiverem disponíveis: natureza do incidente, categorias e número aproximado de Titulares e registros afetados, dados envolvidos, prováveis consequências e medidas adotadas ou propostas para mitigar os efeitos; (c) Cooperará com o Controlador para que este cumpra suas obrigações de notificação à ANPD, nos termos do Art. 48 da LGPD; (d) Complementará as informações prestadas à medida que a investigação sobre o incidente evoluir e novos dados estiverem disponíveis.

10.2 As notificações serão enviadas ao e-mail cadastrado pelo Controlador em sua conta CookieFácil.


CLÁUSULA 11 — RETENÇÃO E ELIMINAÇÃO

11.1 Os dados pessoais serão retidos durante o período de vigência contratual e pelo prazo adicional necessário ao cumprimento de obrigações legais e à defesa em processos administrativos ou judiciais, observando o princípio da necessidade.

11.2 Após o término do prazo de retenção aplicável, os dados serão permanentemente eliminados dos sistemas do Operador. Os ciclos de eliminação de backups seguem cronogramas técnicos próprios e podem ocorrer em prazo adicional de até 30 (trinta) dias após a eliminação dos dados primários.

11.3 O Controlador poderá solicitar exportação dos dados antes da eliminação. O Operador disponibilizará o arquivo em CSV ou JSON sem demora injustificada.


CLÁUSULA 12 — RESPONSABILIDADE

12.1 O Operador responde pelos danos materiais e morais causados ao Titular ou ao Controlador em decorrência do tratamento de dados pessoais em violação às instruções documentadas do Controlador ou às disposições da LGPD que lhe sejam diretamente imputáveis (Art. 42, LGPD).

12.2 O Operador não responde por danos decorrentes de tratamento realizado fora de suas instruções, por decisões do Controlador quanto a finalidade ou base legal, ou por violações da LGPD praticadas pelo próprio Controlador.

12.3 Sem prejuízo do disposto nos itens 12.1 e 12.2 e salvo quando vedado pela legislação aplicável, a responsabilidade agregada do Operador perante o Controlador, por quaisquer danos decorrentes deste Acordo, fica limitada ao valor total efetivamente pago pelo Controlador ao Operador nos 12 (doze) meses imediatamente anteriores ao evento que originou o dano. Esta limitação não se aplica nos casos de dolo, culpa grave, ou nas hipóteses em que a legislação brasileira proíba expressamente a limitação de responsabilidade.


CLÁUSULA 13 — ENCARREGADO (DPO)

13.1 O Encarregado pelo Tratamento de Dados do Operador encontra-se identificado na página de privacidade da CookieFácil, disponível em cookiefacil.com.br/privacidade, que constitui a fonte de informação atualizada sobre esse cargo.

E-mail de contato: privacidade@cookiefacil.com.br

13.2 O Controlador deve indicar seu próprio Encarregado, quando exigido pela LGPD (Art. 41), e comunicar seus dados de contato ao Operador para fins de comunicação em caso de incidente ou solicitação regulatória.


CLÁUSULA 14 — VIGÊNCIA E RESCISÃO

14.1 Este Acordo entra em vigor na data de sua aceitação pelo Controlador — registrada automaticamente pelo sistema — e permanece vigente enquanto houver contrato de Serviços entre as Partes.

14.2 O Acordo é rescindido automaticamente com o término do contrato de Serviços, sem necessidade de aviso prévio adicional.

14.3 As obrigações de confidencialidade, segurança, retenção, eliminação, responsabilidade (Cláusula 12), direito de auditoria (Cláusula 4.9) e retenção legal sobrevivem à rescisão pelo prazo previsto na Cláusula 11 ou pelo prazo legalmente exigível, o que for maior.


CLÁUSULA 15 — DISPOSIÇÕES GERAIS

15.1 Hierarquia: em caso de conflito com os Termos de Uso, as disposições deste Acordo prevalecem em matéria de proteção de dados pessoais.

15.2 Alterações: o Operador poderá atualizar este Acordo para refletir mudanças na legislação, nos Serviços ou nas práticas de proteção de dados, notificando o Controlador com antecedência mínima de 30 (trinta) dias. O histórico de versões será mantido em cookiefacil.com.br/dpa, onde versões anteriores permanecerão disponíveis para consulta. O uso contínuo dos Serviços após o prazo de notificação implica aceitação das alterações.

15.3 Integralidade: este Acordo, em conjunto com os Termos de Uso, constitui o acordo integral entre as Partes quanto ao tratamento de dados pessoais no âmbito dos Serviços.

15.4 Isenção de Assessoria Jurídica: a CookieFácil é uma ferramenta que auxilia na gestão de consentimento de cookies. Este Acordo não constitui assessoria jurídica e não substitui a consulta a advogado especializado em proteção de dados pessoais.

15.5 Cooperação de boa-fé: as Partes comprometem-se a cooperar de boa-fé na implementação e no cumprimento deste Acordo, notificando-se mutuamente sobre qualquer circunstância que possa afetar o tratamento de dados pessoais aqui regulado.

15.6 Força Maior: nenhuma das Partes será responsabilizada por atrasos ou falhas no cumprimento das obrigações deste Acordo decorrentes de eventos fora de seu controle razoável, incluindo, sem limitação: desastres naturais, ataques cibernéticos de larga escala, interrupções de infraestrutura de internet, falhas de provedores de nuvem, pandemias ou atos de autoridade governamental. A Parte afetada notificará a outra sem demora injustificada, especificando a natureza e a duração estimada do evento, e envidará esforços razoáveis para mitigar os efeitos e retomar as operações normais.


CLÁUSULA 16 — LEI APLICÁVEL E FORO

16.1 Este Acordo é regido pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018).

16.2 Fica eleito o Foro da Comarca de São Paulo, Estado de São Paulo, para dirimir quaisquer controvérsias decorrentes deste Acordo, com renúncia expressa a qualquer outro, por mais privilegiado que seja.


ACEITE ELETRÔNICO

O Controlador declara ter lido, compreendido e aceito integralmente os termos deste Acordo ao marcar a caixa de seleção "Li e aceito o Acordo de Tratamento de Dados (ATD)" durante o cadastro na plataforma CookieFácil.

  • Data e hora de aceitação: registradas automaticamente pelo sistema (UTC)
  • Versão do ATD aceita: 1.0
  • Identificador de aceite: gerado e armazenado pelo sistema para fins de auditoria

HISTÓRICO DE VERSÕES

Versão Data Alterações
1.0 13/06/2026 Versão inicial

CookieFácil auxilia na gestão de consentimento de cookies, mas não substitui assessoria jurídica especializada em proteção de dados pessoais.

Dúvidas sobre este Acordo? Entre em contato com nosso Encarregado: privacidade@cookiefacil.com.br