Adendo de Processamento de Dados

Última atualização: maio 2026

Este Adendo de Processamento de Dados ("APD") faz parte dos Termos e Condições entre a Frust SpA ("Operador") e o Cliente ("Controlador") e rege o tratamento de dados pessoais realizado pela Frust em nome do Cliente. Este APD está em conformidade com a Lei 21.719 do Chile, o Regulamento Geral de Proteção de Dados da UE (RGPD Art. 28) e a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares do México (LFPDPPP).

1. Definições

"Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável. "Tratamento" significa qualquer operação realizada sobre dados pessoais. "Controlador" significa o Cliente que determina as finalidades e os meios do tratamento. "Operador" significa a Frust, que trata os dados pessoais em nome do Controlador. "Suboperador" significa qualquer terceiro contratado pela Frust para tratar dados pessoais.

2. Objeto e Duração

A Frust trata os dados pessoais exclusivamente para prestar os serviços de otimização de custos na nuvem descritos nos Termos e Condições. O tratamento começa na data de vigência do contrato de serviço e continua até o seu encerramento, após o qual a Frust excluirá ou devolverá todos os dados pessoais conforme especificado na Seção 12.

3. Natureza e Finalidade do Tratamento

  • Natureza: coleta, armazenamento, análise e transmissão de metadados de faturamento e uso da AWS.
  • Finalidade: otimizar os gastos com AWS do Controlador por meio de Instâncias Reservadas e Savings Plans gerenciados pela Frust.
  • Base legal: execução de contrato (Lei 21.719 Art. 13 al. b; RGPD Art. 6(1)(b)); interesse legítimo para análises agregadas.

4. Categorias de Dados e Titulares

Dados tratados: identificadores de conta AWS, metadados de funções IAM, dados de uso do Cost Explorer, linhas de faturamento, tags de recursos e informações de contato de administradores do Cliente (nome, e-mail corporativo, cargo).

Titulares dos dados: funcionários e prestadores de serviços do Controlador identificados nos metadados de contas AWS ou nos registros de contato de faturamento.

A Frust não trata, em nenhuma circunstância, categorias especiais de dados pessoais (saúde, biométricos, origem racial, opiniões políticas, etc.).

5. Obrigações do Controlador

O Controlador declara e garante que:

  • ·Possui base legal para os dados pessoais que fornece à Frust e notificou os titulares afetados conforme a legislação aplicável.
  • ·Fornecerá à Frust todas as informações e cooperação necessárias para cumprir a legislação de proteção de dados aplicável.
  • ·Informará prontamente a Frust sobre quaisquer alterações em solicitações de direitos de titulares ou consultas regulatórias que afetem o tratamento.
  • ·Garantirá que suas instruções à Frust estejam em conformidade com a legislação aplicável e não instruirá a Frust a realizar qualquer tratamento que viole as obrigações de proteção de dados.

6. Obrigações do Operador (Frust)

A Frust deverá:

  • ·Tratar os dados pessoais apenas de acordo com as instruções documentadas do Controlador, salvo se a legislação aplicável exigir o contrário.
  • ·Garantir que o pessoal autorizado esteja sujeito a obrigações adequadas de confidencialidade.
  • ·Implementar e manter as medidas de segurança técnicas e organizacionais descritas na Seção 8.
  • ·Não contratar um suboperador sem autorização prévia por escrito do Controlador, em conformidade com a Seção 7.
  • ·Auxiliar o Controlador no atendimento a solicitações de direitos de titulares conforme descrito na Seção 9.
  • ·Notificar o Controlador sobre uma violação de dados pessoais sem demora indevida e no prazo máximo de 72 horas após tomar conhecimento, conforme descrito na Seção 10.
  • ·Disponibilizar ao Controlador todas as informações necessárias para demonstrar conformidade com este APD e permitir auditorias conforme descrito na Seção 13.
  • ·Informar prontamente o Controlador se, na opinião da Frust, uma instrução violar a legislação de proteção de dados aplicável.

7. Suboperadores

O Controlador concede autorização geral por escrito para contratar os seguintes suboperadores. A Frust notificará o Controlador com pelo menos 30 dias de antecedência sobre qualquer alteração prevista (adições ou substituições), dando ao Controlador a oportunidade de se opor.

Amazon Web Services, Inc. (AWS)

Infraestrutura de nuvem e armazenamento de dados. Região: us-east-1 (principal). APD: aws.amazon.com/compliance/gdpr-center

Neon Tech

Hospedagem de banco de dados PostgreSQL gerenciado. Região: AWS us-east-1. Política de privacidade disponível em neon.tech/privacy.

Twilio SendGrid

Envio de e-mails transacionais. Política de privacidade disponível em sendgrid.com/privacy.

Google LLC

Google Analytics (anonimizado) e Google Tag Manager. Adendo de Processamento de Dados disponível em business.safety.google/adsprocessorterms.

Todos os suboperadores são obrigados a fornecer pelo menos o mesmo nível de proteção de dados que este APD.

8. Medidas de Segurança

A Frust implementa as seguintes medidas técnicas e organizacionais:

  • Controle de acesso: funções AWS IAM com permissões de leitura de mínimo privilégio; MFA obrigatório para todo o pessoal da Frust com acesso a sistemas de produção.
  • Criptografia: dados criptografados em trânsito (TLS 1.2+) e em repouso (AES-256 via AWS KMS).
  • Isolamento: os dados de cada Cliente são isolados logicamente por meio de esquemas de banco de dados separados e condições IAM ExternalId.
  • Registro de auditoria: todos os acessos às funções AWS do Cliente são registrados via AWS CloudTrail e retidos por 90 dias.
  • Gestão de vulnerabilidades: análise de dependências, patches de segurança e testes de penetração anuais por terceiros.
  • Resposta a incidentes: procedimento documentado com caminhos de escalada definidos e SLA de notificação de 72 horas.

9. Direitos dos Titulares

A Frust auxiliará o Controlador no atendimento a solicitações de direitos de titulares (acesso, retificação, exclusão, portabilidade, restrição, oposição) no prazo de 5 dias úteis após o recebimento da solicitação do Controlador. A Frust não responderá diretamente aos titulares em nome do Controlador, salvo autorização expressa por escrito.

10. Notificação de Violação de Dados

Em caso de violação de dados pessoais que afete dados do Controlador, a Frust notificará o Controlador sem demora indevida e no prazo máximo de 72 horas após tomar conhecimento. A notificação incluirá: (a) a natureza da violação; (b) categorias e número aproximado de titulares e registros afetados; (c) prováveis consequências; (d) medidas adotadas ou propostas para resolver a violação e mitigar seus efeitos. Esse prazo se aplica independentemente de a violação ter sido resolvida.

11. Transferências Internacionais de Dados

A infraestrutura principal da Frust está localizada na AWS us-east-1 (Estados Unidos). As transferências do Espaço Econômico Europeu (EEE) para a Frust são regidas pelas Cláusulas Contratuais Padrão (CCPs) da Comissão Europeia para transferências Controlador-Operador (Módulo 2), incorporadas por referência. Para transferências do Chile, a Frust cumpre o Capítulo V da Lei 21.719 sobre transferências internacionais. Para o México, as transferências cumprem os artigos 36-37 da LFPDPPP.

Clientes no EEE podem solicitar uma cópia assinada das CCPs enviando um e-mail para privacy@frust.co.

12. Devolução e Exclusão de Dados

Após o encerramento do contrato de serviço, a Frust, a critério do Controlador: (a) devolverá todos os dados pessoais em formato legível por máquina (CSV/JSON) no prazo de 30 dias; ou (b) excluirá com segurança todos os dados pessoais e fornecerá confirmação por escrito da exclusão no prazo de 30 dias. A Frust poderá reter os dados exigidos pela legislação aplicável pelo período mínimo obrigatório, após o qual serão excluídos.

13. Direito de Auditoria

O Controlador poderá auditar a conformidade da Frust com este APD uma vez por ano civil, mediante aviso prévio por escrito de 30 dias. As auditorias serão realizadas em horário comercial e não deverão perturbar irrazoavelmente as operações da Frust. A Frust poderá atender às solicitações de auditoria fornecendo sua documentação de segurança mais recente disponível ou avaliação por terceiros em vez de uma auditoria presencial.

14. Lei Aplicável e Jurisdição

Este APD é regido pela legislação chilena (Lei 21.719 e legislação complementar). Para Clientes na União Europeia, o RGPD prevalece na medida em que conflite com a legislação chilena. Para Clientes no México, aplica-se a LFPDPPP. As disputas serão resolvidas de acordo com a cláusula de resolução de disputas dos Termos e Condições.

15. Contato

Dúvidas sobre este APD ou práticas de proteção de dados devem ser direcionadas para: privacy@frust.co. O endereço registrado da Frust é: Callao 2911, of 4144, Santiago, Região Metropolitana, Chile, 7550285.

← Voltar aos Termos e Condições
frust
un@frust.co🇨🇱 Callao 2911, of 4144, Santiago, RM, 7550285🇺🇸 1111B S Governors Ave STE 29963, Dover, DE 19904
Mais informaçõesTermos e CondiçõesAnexo TécnicoAdendo de Processamento de DadosPolítica de Privacidade
LinkedInAWS PartnerAWS Qualified Software