Acordo de Tratamento de Dados (DPA)
Última atualização: 25 de maio de 2026
Este Acordo de Tratamento de Dados (“DPA”) integra os Termos de Uso e é aceito no momento do cadastro.
1. Partes e papéis
- Controlador: o Operador (estabelecimento usuário do Aplicativo), que define finalidades e meios do tratamento dos dados de seus clientes.
- Operador de tratamento (processor): RedLotus, que trata dados pessoais exclusivamente sob instruções documentadas do Controlador, materializadas pelas funcionalidades do Aplicativo.
2. Objeto e duração
Tratamento de dados pessoais de clientes finais (rótulo da comanda, telefone, nome, itens e valores de consumo) para a finalidade de operação de comandas, pelo período de uso do Aplicativo e conforme a política de retenção.
3. Obrigações do Operador de tratamento (RedLotus)
- Tratar dados apenas conforme instruções do Controlador.
- Garantir confidencialidade e medidas técnicas e organizacionais adequadas (controle de acesso por autenticação federada, isolamento por operador via Row Level Security, criptografia em trânsito e em repouso pelo sub-tratador).
- Auxiliar o Controlador no atendimento a direitos de titulares e em eventual comunicação de incidentes.
- Eliminar ou devolver os dados ao fim da relação, salvo obrigação legal de retenção.
4. Sub-tratadores
O Controlador autoriza o uso do seguinte sub-tratador:
| Sub-tratador | Finalidade | Residência de dados |
|---|---|---|
| Supabase | Banco de dados, autenticação e hospedagem | Estados Unidos (Norte da Virgínia, us-east-1) |
Novos sub-tratadores serão comunicados com antecedência razoável, facultada objeção fundamentada.
5. Transferência internacional
Os dados são armazenados em servidores do sub-tratador localizados nos Estados Unidos (região Norte da Virgínia, us-east-1), o que caracteriza transferência internacional de dados pessoais. A transferência é amparada em cláusulas contratuais de proteção de dados firmadas com o sub-tratador (LGPD Art. 33, II), assegurando grau de proteção adequado e tratamento exclusivamente sob instrução do Controlador.
6. Segurança e incidentes
A RedLotus adota medidas compatíveis com o risco e comunicará ao Controlador, sem demora injustificada, qualquer incidente de segurança que possa acarretar risco aos titulares, fornecendo informações para que o Controlador cumpra seus deveres legais (LGPD Art. 48).
7. Eliminação
Dados pessoais de cliente são eliminados automaticamente após 24 meses de inatividade, ou imediatamente mediante uso, pelo Controlador, da função “Esquecer cliente”, preservando-se apenas agregados anônimos.