Este Acordo de Tratamento de Dados Pessoais ("DPA", do inglês Data Processing Agreement) é celebrado entre você, ou a pessoa jurídica que você representa, na condição de Controlador, e a Yeloy Tecnologia LTDA (CNPJ nº 67.197.218/0001-59), operadora da plataforma Himetrica ("Himetrica", "nós"), na condição de Operadora. Ele regula o tratamento de dados pessoais que a Himetrica realiza por conta e ordem do Controlador quando você usa o Serviço, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, "LGPD").

Este DPA integra e complementa os Termos de Serviço e a Política de Privacidade da Himetrica. Ao aceitar os Termos de Serviço e usar o Serviço, você também aceita este DPA, sem necessidade de assinatura física. Em caso de conflito entre este DPA e os Termos de Serviço quanto ao tratamento de dados pessoais, prevalece este DPA.

1. Definições

Os termos abaixo têm o significado a eles atribuído pela LGPD:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Titular: a pessoa natural a quem se referem os dados pessoais, neste caso os visitantes e usuários finais do site ou aplicativo do Controlador.
Controlador: você (ou sua empresa), a quem competem as decisões sobre o tratamento dos dados pessoais.
Operadora: a Himetrica, que realiza o tratamento em nome do Controlador.
Suboperador: terceiro contratado pela Operadora para tratar dados pessoais por conta dela no cumprimento deste DPA.
Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, uso e eliminação.
Incidente de segurança: evento que possa acarretar risco ou dano relevante aos titulares, como acesso não autorizado, perda, alteração ou divulgação indevida de dados pessoais.

2. Papéis das Partes

Em relação aos dados pessoais dos titulares (visitantes e usuários finais) que você envia ou faz com que sejam coletados pela Himetrica, você atua como Controlador e a Himetrica como Operadora. Você determina as finalidades e os meios do tratamento; a Himetrica trata esses dados exclusivamente conforme as suas instruções e este DPA.

Em relação aos dados da sua própria conta (por exemplo, nome e e-mail de cadastro e dados de faturamento), a Himetrica atua como Controladora, conforme descrito na Política de Privacidade. Esses dados não são objeto deste DPA.

3. Objeto, Finalidade e Escopo do Tratamento

A Himetrica trata os dados pessoais com a única finalidade de prestar o Serviço de análise (analytics) ao Controlador: medição de audiência, estatísticas de páginas e eventos, identificação de visitantes quando o Controlador utiliza a API de identificação, atribuição de origem de tráfego e receita, e os demais recursos contratados. O detalhamento das categorias de dados, de titulares e da duração consta do Anexo I.

A Himetrica não usa os dados pessoais do Controlador para finalidades próprias, não os vende e não os compartilha, exceto com os suboperadores do Anexo II e quando o Controlador ativa expressamente uma integração de terceiro (como a API de Conversões da Meta).

4. Instruções do Controlador

A Himetrica trata os dados pessoais apenas segundo instruções documentadas do Controlador. Constituem instruções documentadas este DPA, os Termos de Serviço, as configurações que você define no painel e o uso das APIs do Serviço. A Himetrica informará o Controlador caso, em sua avaliação, uma instrução viole a LGPD, podendo suspender a execução da instrução em questão.

5. Obrigações da Operadora

A Himetrica se compromete a:

tratar os dados pessoais somente conforme as instruções do Controlador e a finalidade da Seção 3;
garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a dever de confidencialidade;
adotar as medidas de segurança da Seção 7;
respeitar as condições para contratação de suboperadores da Seção 8;
auxiliar o Controlador no atendimento aos direitos dos titulares (Seção 10);
comunicar incidentes de segurança nos termos da Seção 11;
eliminar ou devolver os dados ao fim do tratamento (Seção 12);
manter registro das operações de tratamento que realizar, nos termos do art. 37 da LGPD; e
disponibilizar as informações necessárias para demonstrar conformidade (Seção 13).

6. Confidencialidade

A Himetrica mantém os dados pessoais do Controlador em sigilo e limita o acesso a eles aos colaboradores e prestadores que precisem conhecê-los para a prestação do Serviço, todos vinculados a obrigações de confidencialidade. Esse dever subsiste mesmo após o término da relação contratual.

7. Segurança da Informação

A Himetrica adota medidas técnicas e organizacionais aptas a proteger os dados pessoais, considerando a natureza do tratamento e os riscos envolvidos. Entre elas:

criptografia em trânsito (TLS/HTTPS) e armazenamento em provedores que oferecem criptografia em repouso;
criptografia das credenciais de integração fornecidas pelo Controlador;
controle de acesso por privilégio mínimo e autenticação dos sistemas internos;
políticas de segurança de cabeçalho HTTP e isolamento lógico de dados por projeto e organização;
registro e monitoramento de eventos operacionais; e
retenção de dados detalhados conforme o plano contratado, com eliminação dos dados que excedam o período de retenção.

8. Suboperadores

O Controlador autoriza a Himetrica a contratar os suboperadores listados no Anexo II para tratar dados pessoais no cumprimento deste DPA. A Himetrica impõe aos suboperadores obrigações de proteção de dados equivalentes às deste DPA e permanece responsável perante o Controlador pelo cumprimento dessas obrigações.

A Himetrica poderá adicionar ou substituir suboperadores, comunicando o Controlador com antecedência de pelo menos 30 (trinta) dias. Caso o Controlador se oponha, fundamentadamente, a um novo suboperador, poderá comunicar a Himetrica em até 30 (trinta) dias; se não for possível uma solução, o Controlador poderá rescindir o Serviço afetado. Os processadores de pagamento e de emissão de notas fiscais utilizados na cobrança da sua assinatura tratam dados da sua conta sob a Política de Privacidade e não na qualidade de suboperadores deste DPA.

9. Transferência Internacional de Dados

O Controlador reconhece e autoriza que parte do tratamento ocorra fora do Brasil, principalmente nos Estados Unidos, onde estão hospedados os provedores de infraestrutura do Anexo II (rede de borda, banco de dados, armazenamento analítico, cache, logs e hospedagem). Tais transferências observam os artigos 33 a 36 da LGPD.

Para os países que não sejam objeto de decisão de adequação da Autoridade Nacional de Proteção de Dados (ANPD), a transferência se dá com base em cláusulas contratuais, adotando-se as Cláusulas-Padrão Contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024), que se consideram incorporadas a este DPA por referência e prevalecem, no que se refere à transferência internacional, em caso de conflito com as demais disposições. Quando aplicável, a Himetrica poderá fundamentar a transferência em outra hipótese admitida pelo artigo 33 da LGPD, como decisão de adequação ou garantias específicas reconhecidas pela ANPD.

Adicionalmente, os suboperadores de infraestrutura do Anexo II mantêm seus próprios acordos de tratamento de dados e cláusulas contratuais de transferência internacional, aos quais a Himetrica adere, reforçando as salvaguardas aplicáveis às transferências.

10. Direitos dos Titulares

A Himetrica auxilia o Controlador a atender às requisições dos titulares de acesso, correção, eliminação, portabilidade e demais direitos previstos na LGPD. O painel e as APIs do Serviço permitem ao Controlador acessar, exportar e eliminar dados de visitantes.

Em especial, a Himetrica disponibiliza um endpoint de API server-to-server para eliminação dos dados pessoais de um titular (anonimização do nome, e-mail, identificadores, localização precisa e remoção dos registros de receita associados), preservando apenas dados pseudonimizados e agregados. Caso a Himetrica receba uma requisição diretamente de um titular, ela a encaminhará ao Controlador e não responderá por conta própria, salvo obrigação legal.

11. Incidentes de Segurança

A Himetrica comunicará ao Controlador, sem demora injustificada após confirmar um incidente de segurança que afete os dados pessoais tratados em seu nome. A comunicação descreverá, na medida das informações então disponíveis, a natureza do incidente, os dados e titulares potencialmente afetados e as medidas adotadas, podendo ser complementada à medida que novas informações forem apuradas. A Himetrica prestará cooperação razoável ao Controlador, cabendo a este, na qualidade de controlador, a decisão e a responsabilidade pela comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares. A comunicação de um incidente pela Himetrica não constitui, por si só, reconhecimento de culpa ou de responsabilidade.

12. Eliminação ou Devolução dos Dados

Ao término da prestação do Serviço, ou mediante solicitação do Controlador, a Himetrica eliminará ou devolverá os dados pessoais tratados em nome do Controlador, exceto quando a conservação for exigida por obrigação legal ou regulatória. Quando uma conta é encerrada, os dados analíticos associados são eliminados em definitivo em até 30 dias.

13. Auditoria e Prestação de Contas

A Himetrica disponibilizará ao Controlador as informações razoavelmente necessárias para demonstrar o cumprimento deste DPA. Auditorias serão realizadas mediante aviso prévio razoável, no horário comercial, sem comprometer a segurança e a confidencialidade de outros clientes, e poderão ser atendidas por meio de documentação e relatórios pertinentes.

14. Responsabilidade e Garantias do Controlador

Na máxima extensão permitida pela legislação aplicável, a responsabilidade da Himetrica decorrente ou relacionada a este DPA está sujeita a todos os limites, exclusões e tetos de responsabilidade previstos nos Termos de Serviço, que se aplicam de forma conjunta a este DPA. A responsabilidade agregada da Himetrica perante o Controlador, sob este DPA e os Termos considerados em conjunto, não excederá o valor efetivamente pago pelo Controlador à Himetrica nos 12 (doze) meses anteriores ao fato gerador.

Na máxima extensão permitida pela legislação aplicável, a Himetrica não responderá por danos indiretos, lucros cessantes, perda de dados, perda de receita ou danos incidentais, especiais ou consequenciais, ainda que tenha sido advertida da sua possibilidade.

A Himetrica trata os dados exclusivamente segundo as instruções do Controlador e não responde pela licitude das instruções, das finalidades, da base legal, do consentimento, nem dos dados que o Controlador coleta ou transmite à plataforma. O Controlador declara e garante que: (i) dispõe de base legal e, quando exigível, de consentimento válido para o tratamento; (ii) cumpre seus deveres de transparência e informação perante os titulares; (iii) não envia à Himetrica dados pessoais sensíveis nem dados de crianças e adolescentes em desacordo com a lei; e (iv) é o único responsável por qualquer integração de terceiro que ative (como a API de Conversões da Meta e as integrações de receita) e pelo fluxo de dados dela decorrente.

Cada Parte responde pelas sanções administrativas que lhe forem individualmente aplicadas; a Himetrica não responde por sanções, multas ou condenações impostas ao Controlador em razão de atos, omissões ou instruções do próprio Controlador. O Controlador (e não a Himetrica) manterá a Himetrica indene e a ressarcirá de quaisquer perdas, despesas e custos, incluindo honorários advocatícios, decorrentes de reclamações de titulares, terceiros ou autoridades relacionadas ao descumprimento, pelo Controlador, deste DPA, dos Termos ou da legislação aplicável, ou a instruções ilícitas por ele fornecidas.

Nenhuma disposição deste DPA exclui ou limita responsabilidades que não possam ser afastadas pela legislação aplicável, em especial a responsabilidade perante os titulares nos termos do artigo 42 da LGPD e a responsabilidade por dolo ou má-fé.

15. Vigência, Aceite e Relação com os Termos

Este DPA vigora enquanto a Himetrica tratar dados pessoais em nome do Controlador e permanece em vigor durante toda a relação contratual. Ele é aceito por meio da aceitação dos Termos de Serviço e do uso do Serviço. A Himetrica poderá atualizar este DPA, com atualização do número de versão e da data de vigência no topo desta página, comunicando alterações relevantes.

16. Lei Aplicável e Foro

Este DPA é regido pelas leis da República Federativa do Brasil, em especial a LGPD. Fica eleito o foro da comarca da sede da Yeloy Tecnologia LTDA para dirimir controvérsias decorrentes deste DPA, com renúncia a qualquer outro, por mais privilegiado que seja.

17. Encarregado (DPO) e Contato

Para questões sobre este DPA ou sobre proteção de dados, entre em contato com o Encarregado pelo Tratamento de Dados Pessoais da Himetrica pelo e-mail privacy@himetrica.com. Assuntos contratuais podem ser tratados pelo e-mail legal@himetrica.com.

Anexo I: Detalhes do Tratamento

Objeto: tratamento de dados de visitantes e usuários finais para a prestação do Serviço de análise.
Natureza e finalidade: coleta, armazenamento, organização, análise estatística, atribuição e eliminação, com a finalidade de fornecer métricas e relatórios ao Controlador.
Categorias de titulares: visitantes e usuários finais do site ou aplicativo do Controlador.
Categorias de dados: identificador pseudônimo de visitante e de sessão, página e referência (URL), parâmetros de campanha (UTM), tamanho de tela e user agent; localização aproximada derivada do IP (país, região, cidade); eventos personalizados, métricas de desempenho e relatórios de erro, quando habilitados; e nome, e-mail e demais atributos quando o Controlador os fornece pela API de identificação. Quando o Controlador conecta uma integração de receita, inclui dados de clientes e cobranças por ele importados.
Dados sensíveis: o Serviço não se destina ao tratamento de dados pessoais sensíveis; o Controlador não deve enviar tais dados.
Duração: pelo período de vigência do Serviço, observados os prazos de retenção do plano contratado.

Anexo II: Suboperadores

A Himetrica utiliza os seguintes suboperadores para tratar dados pessoais no cumprimento deste DPA. A localização indica a região de processamento predominante.

Supabase: banco de dados e armazenamento de arquivos. Estados Unidos.
ClickHouse Cloud: armazenamento analítico de eventos. Estados Unidos.
Redis Cloud: cache e filas de processamento. Estados Unidos.
Axiom: processamento de logs operacionais. Estados Unidos.
Resend: envio de e-mails transacionais (verificação, redefinição de senha, relatórios e alertas). Estados Unidos.
OpenAI: geração de insights de análise e classificação automatizada de origens de tráfego e conteúdo. Estados Unidos.
Cloudflare: rede de entrega de conteúdo, proxy reverso e firewall de aplicação à frente da API e dos endpoints de coleta, por onde transita o tráfego dos visitantes (incluindo o endereço IP); e renderização e captura de páginas para a auditoria do site do Controlador. Rede global.
Vercel: hospedagem da aplicação web. Estados Unidos e rede global.
Serviços de geolocalização por IP: resolução de localização aproximada a partir do endereço IP, por base de dados local (MaxMind) e, de forma residual, por consulta a serviços externos (ip-api.com, ipwho.is). O endereço IP não é mantido na base analítica após a resolução.
Meta Platforms (somente sob ativação do Controlador): API de Conversões, para a qual a Himetrica encaminha os eventos configurados pelo Controlador. Esta integração é desativada por padrão. Global.

A lista pode ser atualizada conforme a Seção 8. A versão vigente é a publicada nesta página.