DPA — Acordo de Tratamento de Dados Pessoais
MEVIUS
Vigência: 10 de Novembro de 2025
Última atualização: 9 de Julho de 2026
Este Acordo de Tratamento de Dados Pessoais (“DPA”) integra os Termos de Uso, a Política de Privacidade e, quando aplicável, a proposta comercial, contrato específico, pedido, ordem de serviço ou instrumento equivalente celebrado entre a Organização Contratante e a Outset Labs Technovations Ltd. (“MEVIUS”).
Este DPA disciplina o tratamento de dados pessoais realizado pelo MEVIUS em nome da Organização Contratante, no contexto da prestação da Plataforma MEVIUS.
1. Partes
Para fins deste DPA:
Organização Contratante designa o escritório de advocacia, sociedade de advogados, empresa, departamento jurídico, profissional liberal, entidade ou organização que contrata, administra ou autoriza o uso da Plataforma MEVIUS.
MEVIUS designa a Outset Labs Technovations Ltd., fornecedora da Plataforma MEVIUS.
A Organização Contratante e o MEVIUS poderão ser referidos, em conjunto, como “Partes”.
2. Encarregado pelo tratamento de dados
Para assuntos relacionados à proteção de dados pessoais, privacidade, direitos de titulares, incidentes, solicitações de autoridades, dúvidas sobre este DPA, Política de Privacidade ou tratamento de dados no MEVIUS, o contato do Encarregado/DPO é:
| Campo | Informação |
|---|---|
| Encarregado/DPO | Saulo Cristiano Antônio Bessi — OAB/SP n.º 442.764 |
| privacidade@mevius.com.br |
O MEVIUS poderá solicitar informações adicionais para validar identidade, legitimidade, poderes de representação, vínculo com Organização Contratante, Workspace afetado e escopo da solicitação, a fim de proteger dados pessoais, sigilo profissional, segredo de justiça, segurança da Plataforma e direitos de terceiros.
3. Definições
Para fins deste DPA, aplicam-se as definições previstas na LGPD, nos Termos de Uso e na Política de Privacidade, especialmente:
| Termo | Definição |
|---|---|
| Dados Pessoais | Informações relacionadas a pessoa natural identificada ou identificável. |
| Dados Pessoais Sensíveis | Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural, bem como outros dados sujeitos a proteção especial nos termos da legislação aplicável. |
| Controlador | Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. |
| Operador | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador. |
| Titular | Pessoa natural a quem se referem os dados pessoais tratados. |
| Suboperador | Fornecedor, prestador de serviço, SDK, biblioteca, integração, infraestrutura, API ou terceiro contratado pelo MEVIUS para apoiar o tratamento de dados pessoais em nome da Organização Contratante ou a operação técnica, funcional, comercial, segura e contínua da Plataforma. |
| Organização Contratante | Escritório, sociedade, empresa, departamento jurídico, profissional ou entidade que contrata, administra ou autoriza o uso da Plataforma. |
| Usuário Autorizado | Pessoa física autorizada pela Organização Contratante a acessar a Plataforma, incluindo administradores, owners, advogados, colaboradores, prepostos, correspondentes, prestadores, representantes ou usuários convidados. |
| Workspace | Ambiente lógico da Organização Contratante na Plataforma, incluindo usuários, permissões, clientes, processos, documentos, tarefas, prazos, anexos, integrações, configurações, registros e demais conteúdos profissionais. |
| Conteúdo do Usuário | Dados, documentos, peças, processos, contratos, cadastros, anexos, tarefas, prazos, comentários, prompts, saídas, registros, metadados e demais informações inseridas, importadas, armazenadas, transmitidas, organizadas ou processadas na Plataforma pela Organização Contratante ou por Usuários autorizados. |
4. Objeto
O objeto deste DPA é disciplinar o tratamento de dados pessoais realizado pelo MEVIUS, na qualidade de Operador, em nome da Organização Contratante, no contexto da prestação da Plataforma MEVIUS.
O MEVIUS tratará dados pessoais para viabilizar funcionalidades de gestão jurídica, documental, processual, operacional, financeira, administrativa, organizacional e tecnológica, incluindo, quando aplicável:
- armazenamento;
- organização;
- pesquisa;
- indexação técnica;
- autenticação;
- permissões;
- integrações;
- automações;
- IA/OCR;
- suporte;
- logs;
- auditoria;
- segurança;
- exportação;
- backup;
- continuidade do Serviço.
Este DPA também regula:
- contratação e utilização de suboperadores;
- transferências internacionais;
- medidas de segurança;
- retenção;
- exclusão;
- remoção de conteúdo;
- incidentes;
- atendimento a titulares;
- confidencialidade;
- responsabilidades das Partes;
- demais obrigações relacionadas à proteção de dados pessoais.
5. Natureza da Plataforma
O MEVIUS é uma plataforma SaaS B2B destinada à gestão jurídica, operacional, documental, financeira e tecnológica de escritórios, sociedades de advogados, departamentos jurídicos, profissionais e organizações correlatas.
O ambiente web/site do MEVIUS poderá permitir contratação, assinatura, créditos internos, upgrades, downgrades, faturamento, cobrança, renovação, cancelamento e demais operações comerciais ou financeiras.
O aplicativo mobile MEVIUS é canal complementar de acesso, consulta, gestão operacional e utilização das funcionalidades previamente contratadas, adquiridas, provisionadas ou autorizadas fora do aplicativo.
Importante: o aplicativo mobile não permite pagamento, assinatura, compra de créditos, upgrade, downgrade, renovação paga, checkout, alteração financeira ou aquisição de funcionalidades digitais por meio da Apple App Store, Google Play ou qualquer loja de aplicativos.
6. Papéis das Partes
A Organização Contratante atuará, em regra, como Controladora dos dados pessoais inseridos, importados, armazenados ou processados no Workspace, incluindo dados de clientes, partes, testemunhas, colaboradores, contatos, representantes, fornecedores, responsáveis financeiros, terceiros e demais titulares relacionados às atividades profissionais, jurídicas, administrativas ou operacionais da Organização Contratante.
O MEVIUS atuará, em regra, como Operador em relação ao Conteúdo do Usuário tratado em nome da Organização Contratante.
O MEVIUS poderá atuar como Controlador em relação a dados necessários à sua própria operação, tais como dados de conta, cadastro, autenticação, segurança, suporte, cobrança externa, prevenção a fraudes, comunicações, telemetria técnica, melhoria do Serviço, cumprimento legal e exercício regular de direitos, conforme descrito na Política de Privacidade.
Quando uma mesma operação envolver dados tratados sob diferentes papéis, as Partes reconhecem que a qualificação de Controlador ou Operador dependerá da finalidade específica do tratamento, da autonomia decisória sobre o uso dos dados e da obrigação legal ou contratual aplicável.
7. Instruções de tratamento
O MEVIUS tratará os dados pessoais conforme:
- instruções documentadas da Organização Contratante;
- Termos de Uso;
- Política de Privacidade;
- este DPA;
- contrato, proposta comercial, pedido ou instrumento aplicável;
- configurações e permissões definidas pela Organização Contratante no Workspace;
- funcionalidades ativadas pela Organização Contratante ou por Usuário autorizado;
- legislação aplicável;
- ordens válidas de autoridades competentes.
A Organização Contratante reconhece que as configurações do Workspace, permissões concedidas, integrações ativadas, uploads realizados, dados inseridos, usuários convidados e funcionalidades utilizadas constituem instruções documentadas para fins deste DPA.
O MEVIUS poderá recusar, suspender ou deixar de cumprir instrução que seja manifestamente ilícita, abusiva, tecnicamente inviável, contrária à segurança da Plataforma, violadora de direitos de terceiros ou incompatível com os Termos de Uso, Política de Privacidade, este DPA ou legislação aplicável.
Quando o MEVIUS entender que determinada instrução possa violar a legislação de proteção de dados ou comprometer segurança, sigilo profissional, segredo de justiça ou direitos de terceiros, poderá solicitar esclarecimentos, suspender a execução da instrução ou adotar medidas proporcionais para mitigar riscos.
8. Responsabilidades da Organização Contratante
Compete à Organização Contratante:
- definir as finalidades e bases legais do tratamento do Conteúdo do Usuário;
- garantir que possui fundamento legal, contratual, profissional, judicial, regulatório ou autorização aplicável para inserir e tratar dados pessoais na Plataforma;
- assegurar transparência aos titulares quando exigível;
- observar sigilo profissional, segredo de justiça, normas da OAB, legislação processual, legislação trabalhista, cível, penal, previdenciária, consumerista e demais normas aplicáveis à sua atividade;
- definir e revisar permissões internas de acesso ao Workspace;
- remover ou revogar acessos de Usuários desligados, não autorizados ou que não devam mais acessar dados;
- evitar inserção de dados excessivos, desnecessários, ilícitos ou incompatíveis com a finalidade profissional;
- responder a titulares quando atuar como Controladora;
- instruir o MEVIUS de forma lícita, clara e compatível com a legislação;
- manter seus próprios registros, documentos, procurações, autorizações, bases legais e evidências de conformidade;
- avaliar a necessidade de comunicação a clientes, titulares, autoridades ou terceiros quando atuar como Controladora;
- controlar exportações, integrações, compartilhamentos, dispositivos e acessos internos;
- assegurar que seus Usuários autorizados utilizem a Plataforma de forma compatível com este DPA, Termos de Uso, Política de Privacidade e legislação aplicável.
A Organização Contratante é responsável pela legalidade, exatidão, pertinência, necessidade, proporcionalidade e atualização dos dados e documentos inseridos por ela ou por seus Usuários autorizados.
A Organização Contratante reconhece que o MEVIUS não define a estratégia jurídica, processual, contratual, administrativa ou profissional relacionada ao Conteúdo do Usuário, nem decide quais dados de clientes, partes, testemunhas ou terceiros devem ser inseridos, mantidos, compartilhados, excluídos ou utilizados na Plataforma.
9. Responsabilidade profissional do advogado e do escritório
Quando a Organização Contratante ou seus Usuários autorizados forem advogados, sociedades de advogados, departamentos jurídicos ou profissionais vinculados à atividade jurídica, caberá a eles assegurar que o tratamento de dados pessoais de clientes, partes, testemunhas, terceiros, menores, vulneráveis ou demais titulares observe:
- base legal adequada;
- sigilo profissional;
- segredo de justiça;
- deveres éticos;
- normas da OAB;
- legislação processual;
- demais normas aplicáveis.
A inserção de documentos, peças, provas, contratos, dados sensíveis, dados de saúde, dados criminais, dados de crianças e adolescentes, informações financeiras, familiares, trabalhistas, previdenciárias ou fiscais na Plataforma deverá ser compatível com a finalidade profissional, jurídica, administrativa ou contratual legítima da Organização Contratante.
O MEVIUS não será responsável por tratamento ilícito, excessivo, desnecessário, incompatível ou não autorizado de dados decorrente de decisão, instrução, upload, compartilhamento, exportação, permissão, configuração ou ato da Organização Contratante ou de seus Usuários autorizados, salvo quando houver dolo, culpa grave, descumprimento direto de obrigação legal ou violação própria imputável ao MEVIUS.
10. Responsabilidades do MEVIUS como Operador
Compete ao MEVIUS, na qualidade de Operador:
- tratar dados pessoais conforme as instruções da Organização Contratante e este DPA;
- adotar medidas técnicas e organizacionais proporcionais para proteger os dados pessoais;
- limitar o acesso aos dados a pessoas autorizadas e sujeitas a deveres de confidencialidade;
- apoiar a Organização Contratante, quando razoavelmente possível, no atendimento a direitos de titulares;
- comunicar incidentes de segurança relevantes nos termos deste DPA;
- contratar suboperadores conforme as regras deste DPA;
- manter registros compatíveis com suas obrigações legais e contratuais;
- cooperar de forma razoável com auditorias, avaliações e solicitações legítimas da Organização Contratante;
- excluir, devolver, anonimizar, bloquear ou restringir dados conforme instruções válidas, viabilidade técnica e retenções legais aplicáveis;
- não utilizar o Conteúdo do Usuário para finalidade própria incompatível com o contrato;
- observar medidas proporcionais de segurança, confidencialidade e governança;
- apoiar a Organização Contratante, quando cabível, em informações relacionadas a suboperadores, transferências internacionais e incidentes.
O MEVIUS não assume obrigação de verificar previamente a legalidade de todos os dados, documentos, processos, arquivos, informações, prompts, saídas ou conteúdos inseridos pela Organização Contratante ou por Usuários autorizados.
11. Categorias de titulares
Os dados pessoais tratados na Plataforma poderão se referir, conforme o uso realizado pela Organização Contratante, a:
- clientes;
- partes;
- testemunhas;
- advogados;
- colaboradores;
- prepostos;
- representantes legais;
- fornecedores;
- responsáveis financeiros;
- contatos;
- magistrados, servidores, autoridades e agentes públicos;
- terceiros mencionados em processos, documentos, contratos, peças ou registros;
- crianças e adolescentes, quando constantes de documentos ou processos inseridos pela Organização Contratante;
- pessoas vulneráveis;
- demais pessoas naturais relacionadas às atividades jurídicas, administrativas ou profissionais da Organização Contratante.
12. Categorias de dados pessoais
A Plataforma poderá tratar, conforme o uso realizado pela Organização Contratante:
- dados de identificação;
- dados de contato;
- dados profissionais;
- dados cadastrais;
- dados financeiros;
- dados processuais;
- dados contratuais;
- dados trabalhistas;
- dados previdenciários;
- dados familiares;
- dados patrimoniais;
- dados fiscais;
- documentos, peças, anexos e provas;
- dados de autenticação;
- logs, metadados, histórico operacional e registros técnicos;
- dados de saúde;
- dados criminais;
- dados de crianças e adolescentes;
- dados biométricos, quando inseridos em documentos ou usados para autenticação local, conforme aplicável;
- dados pessoais sensíveis eventualmente presentes no Conteúdo do Usuário;
- dados de agenda, eventos, participantes e horários, quando integrações de calendário forem ativadas;
- mensagens, comunicações, anexos e metadados de atendimento;
- eventos de uso, identificadores técnicos, dados de dispositivo e dados agregados de interação;
- dados públicos, processuais, profissionais ou empresariais provenientes de fontes oficiais ou bases externas, quando consultadas ou integradas.
13. Dados sensíveis e dados de crianças e adolescentes
A Organização Contratante reconhece que poderá inserir na Plataforma documentos e registros contendo dados pessoais sensíveis ou dados de crianças e adolescentes.
Nesses casos, compete à Organização Contratante assegurar:
- base legal adequada;
- necessidade;
- minimização;
- sigilo;
- segurança;
- finalidade legítima;
- observância das normas aplicáveis.
O MEVIUS tratará tais dados, em regra, como Operador, conforme instruções da Organização Contratante, este DPA, Termos de Uso, Política de Privacidade e legislação aplicável.
O tratamento de dados sensíveis pelo MEVIUS será limitado às funcionalidades utilizadas, às instruções da Organização Contratante, às obrigações legais ou contratuais aplicáveis e às medidas de segurança proporcionais ao risco.
14. Segurança da informação
O MEVIUS adotará medidas técnicas e organizacionais proporcionais aos riscos e à natureza do tratamento, incluindo, quando aplicável:
- controle de acesso;
- autenticação;
- registros de auditoria;
- segregação lógica de ambientes;
- criptografia em trânsito;
- mecanismos de backup;
- monitoramento de segurança;
- restrição de acesso por necessidade;
- gestão de permissões;
- procedimentos de resposta a incidentes;
- proteção de credenciais;
- gestão de suboperadores;
- medidas de continuidade operacional;
- revisão de acessos internos;
- registro de eventos relevantes;
- limitação de finalidade no tratamento por suboperadores.
Quando tecnicamente aplicável e disponível, dados em repouso, documentos, tokens, credenciais técnicas, backups e caches poderão ser protegidos por controles adicionais, incluindo criptografia, restrição de acesso, segregação e políticas de retenção.
A Organização Contratante reconhece que nenhuma medida de segurança elimina integralmente riscos, sendo também responsável por proteger credenciais, dispositivos, acessos internos, permissões, exportações, integrações, senhas, MFA/2FA e governança de Usuários.
15. Confidencialidade
O MEVIUS adotará medidas razoáveis para que pessoas autorizadas a acessar dados pessoais estejam sujeitas a obrigações de confidencialidade compatíveis com a natureza das informações tratadas.
O MEVIUS não acessará proativamente o Conteúdo do Usuário, salvo quando necessário para prestar suporte, corrigir falhas, manter segurança, cumprir obrigação legal, atender ordem válida de autoridade, preservar direitos, investigar abuso ou executar funcionalidade solicitada pela Organização Contratante ou Usuário autorizado.
A confidencialidade prevista neste DPA permanece aplicável mesmo após o encerramento da relação contratual, enquanto os dados, documentos, registros ou informações permanecerem sujeitos a sigilo legal, profissional, contratual, judicial ou comercial.
16. Suboperadores, fornecedores e integrações de apoio
A Organização Contratante autoriza o MEVIUS a contratar suboperadores, fornecedores, SDKs, bibliotecas, integrações e terceiros necessários à prestação, manutenção, segurança, evolução e suporte da Plataforma, incluindo serviços de infraestrutura, armazenamento, banco de dados, autenticação, segurança, e-mail, notificações, observabilidade, analytics, crash reports, suporte, pagamentos externos, IA/OCR, APIs, integrações e demais funções técnicas ou operacionais relacionadas ao Serviço.
Os suboperadores poderão tratar dados pessoais apenas na medida necessária à finalidade contratada e deverão observar obrigações compatíveis de confidencialidade, segurança da informação, proteção de dados, limitação de finalidade, controle de acesso, cooperação em incidentes e retenção limitada, conforme aplicável à natureza do serviço prestado.
O MEVIUS manterá, neste DPA, quadro informativo com as categorias de suboperadores e fornecedores utilizados, indicando a finalidade geral do tratamento e as categorias de dados que podem ser tratadas.
A Organização Contratante reconhece que a lista de categorias de suboperadores poderá ser atualizada periodicamente em razão de alterações técnicas, comerciais, regulatórias, de segurança, substituição de fornecedores, inclusão de novas funcionalidades, descontinuação de serviços ou melhoria da Plataforma.
Alterações materiais em categorias de suboperadores que impliquem mudança relevante na natureza do tratamento, transferência internacional significativa, ampliação substancial de categorias de dados tratadas ou impacto relevante à proteção de dados poderão ser comunicadas por meios razoáveis, como aviso no painel, e-mail, atualização deste DPA, Política de Privacidade ou outro canal oficial do MEVIUS.
Caso a Organização Contratante tenha objeção fundamentada a determinada categoria de suboperador, deverá comunicar o MEVIUS por escrito, indicando os fundamentos objetivos relacionados à proteção de dados, segurança, confidencialidade ou obrigação legal aplicável. O MEVIUS avaliará a objeção de boa-fé, podendo adotar medidas razoáveis, quando tecnicamente e comercialmente viáveis, sem prejuízo da continuidade do Serviço e das condições contratadas.
A utilização de integrações ativadas diretamente pela Organização Contratante, Administrador/Owner ou Usuário autorizado, incluindo provedores de identidade, calendários, e-mails, armazenamento, tribunais, diários oficiais, órgãos públicos, APIs jurídicas, serviços de pagamento, IA/OCR ou produtividade, será considerada instrução documentada da Organização Contratante para fins deste DPA, observados os escopos concedidos, permissões internas, termos do terceiro e configurações do Workspace.
17. Quadro de suboperadores e fornecedores
O quadro abaixo apresenta as categorias de suboperadores, fornecedores, integrações, SDKs, bibliotecas, APIs e terceiros que poderão apoiar a operação da Plataforma MEVIUS.
Reserva de nomes específicos por segredo industrial e comercial
Por razões de segurança, proteção da arquitetura da Plataforma, prevenção a abuso, confidencialidade comercial e preservação de segredo industrial, tecnológico e competitivo, os nomes específicos de determinados suboperadores e fornecedores poderão ser mantidos reservados, especialmente quando envolverem softwares, APIs, ferramentas, bases, modelos, integrações, soluções técnicas ou fornecedores não amplamente conhecidos no mercado comum ou que componham vantagem competitiva relevante do MEVIUS.
A identificação nominal de suboperadores específicos poderá ser fornecida mediante consulta justificada da Organização Contratante, avaliação de legitimidade, necessidade e proporcionalidade, compromisso de confidencialidade, obrigação contratual específica, requisição válida de autoridade competente, ordem judicial ou exigência legal aplicável.
A reserva dos nomes específicos não afasta o dever do MEVIUS de informar, de forma transparente e adequada, as categorias de suboperadores, finalidades gerais do tratamento, categorias de dados envolvidas, hipóteses de transferência internacional e salvaguardas aplicáveis, nos termos deste DPA, da Política de Privacidade e da legislação aplicável.
| Categoria de suboperador | Finalidade geral | Dados que podem ser tratados |
|---|---|---|
| Provedores de infraestrutura em nuvem | Hospedagem, segurança, disponibilidade, armazenamento e entrega do Serviço. | Dados de conta, dados de uso, arquivos, documentos, registros técnicos e identificadores. |
| Provedores de banco de dados e backend | Armazenamento, organização e processamento das informações necessárias ao funcionamento da Plataforma. | Dados de usuários, clientes, escritórios, casos, documentos, comunicações, configurações, registros e metadados. |
| Provedores de autenticação e identidade | Login, controle de acesso, gestão de sessão, SSO/OAuth, MFA/2FA e verificação de identidade. | Nome, e-mail, identificadores de usuário, credenciais técnicas, tokens, registros de login e dados de sessão. |
| Provedores de inteligência artificial | Apoio a funcionalidades automatizadas, como análise, organização, geração, classificação, resumo, transcrição, pesquisa semântica ou extração de informações. | Textos, documentos, arquivos, áudios, mensagens, prompts, comandos, saídas, metadados e instruções fornecidas pelo usuário ou necessárias à funcionalidade. |
| Provedores de OCR, extração e processamento documental | Leitura, extração, classificação, estruturação, conversão ou processamento técnico de documentos e anexos. | Documentos, imagens, PDFs, anexos, metadados, textos extraídos e registros técnicos de processamento. |
| Provedores de comunicação | Envio, recebimento e gestão de comunicações por e-mail, mensagens, notificações ou canais de atendimento. | Nome, e-mail, telefone, mensagens, anexos, metadados, status de entrega e registros de comunicação. |
| Provedores de pagamentos e cobrança | Processamento de pagamentos, cobranças, conciliação, emissão de documentos fiscais, prevenção a fraudes e gestão financeira. | Dados cadastrais, financeiros, CPF/CNPJ, endereço, e-mail, telefone, dados de pagamento, cobrança, transações e conciliação. |
| Provedores de calendário e produtividade | Integrações opcionais com agenda, eventos, tarefas, produtividade, e-mail, armazenamento ou ferramentas de organização. | Dados de agenda, eventos, participantes, horários, metadados, identificadores e credenciais de integração. |
| Provedores de analytics e melhoria do produto | Medição de uso, análise de desempenho, melhoria da experiência, identificação de problemas, métricas técnicas e evolução do Serviço. | Eventos de uso, telas acessadas, identificadores técnicos, dados de dispositivo, dados agregados de interação, logs e métricas. |
| Provedores de monitoramento, logs e segurança | Detecção de falhas, prevenção de abuso, auditoria técnica, monitoramento de disponibilidade, logs, incidentes e proteção da Plataforma. | Registros técnicos, erros, IP, identificadores, dados de dispositivo, eventos de segurança, logs e informações necessárias para investigação. |
| Provedores de marketing e mensuração | Mensuração de campanhas, conversões, efetividade de comunicações comerciais e relacionamento institucional. | Eventos de conversão, identificadores técnicos, dados agregados, dados pseudonimizados e preferências de comunicação, quando aplicável. |
| Fontes públicas e bases externas | Consulta, validação, enriquecimento, conferência, importação ou organização de informações públicas, oficiais ou disponibilizadas por terceiros. | Dados cadastrais, processuais, profissionais, empresariais, públicos ou oficiais relacionados à consulta. |
| Provedores de serviços jurídicos, processuais ou governamentais integrados | Consulta, sincronização ou apoio a fluxos relacionados a publicações, processos, andamentos, tribunais, órgãos públicos, diários oficiais ou informações oficiais. | Dados processuais, números de processo, partes, publicações, identificadores profissionais, andamentos e informações públicas ou oficiais correlatas. |
| Provedores de notificações internas e suporte operacional | Alertas operacionais, acompanhamento de incidentes, suporte, manutenção, comunicação interna e continuidade do Serviço. | Dados técnicos, mensagens operacionais, erros, eventos de suporte e informações necessárias à operação interna. |
| Serviços configurados, dependências técnicas ou ferramentas em validação | Recursos encontrados em configuração, dependências, bibliotecas, SDKs, ambientes de teste, homologação ou desenvolvimento, sem uso ativo confirmado em produção. | Somente dados relacionados caso venham a ser ativados ou utilizados em ambiente que trate dados pessoais reais. |
O tratamento realizado por suboperadores será limitado à finalidade necessária à prestação do Serviço, suporte, segurança, cumprimento legal, execução contratual, funcionalidades ativadas ou instruções da Organização Contratante.
Categorias de suboperadores que dependam de funcionalidade opcional, integração ativada, ambiente de produção, configuração específica ou contratação adicional somente serão utilizadas quando efetivamente necessárias ao Serviço, à funcionalidade contratada ou à instrução da Organização Contratante.
Serviços configurados sem uso ativo confirmado não deverão ser utilizados para tratamento de dados pessoais reais até que passem por validação técnica, revisão jurídica, avaliação de segurança e atualização deste DPA, da Política de Privacidade ou de documentação equivalente, quando aplicável.
Quando funcionalidades de IA, OCR, extração, classificação, sumarização, pesquisa semântica, transcrição ou automação dependerem de provedor externo, o MEVIUS informará, sempre que aplicável e de forma compatível com a proteção de segredo industrial, a finalidade do tratamento, categorias de dados envolvidas, existência ou não de retenção pelo terceiro, país ou região de processamento, salvaguardas aplicáveis e se há ou não uso de dados para treinamento de modelos.
O Conteúdo do Usuário não será utilizado para treinamento de modelos de IA sem consentimento expresso e específico ou outra base legal aplicável.
Alguns suboperadores poderão realizar tratamento de dados fora do Brasil. Nessas hipóteses, o MEVIUS adotará salvaguardas compatíveis com a LGPD e demais normas aplicáveis, incluindo medidas contratuais, técnicas e organizacionais, limitação de finalidade, controle de acesso, segurança e minimização.
A Organização Contratante e seus Usuários autorizados também poderão ativar integrações próprias com terceiros. Nesses casos, o tratamento dependerá da funcionalidade ativada, dos escopos concedidos, das permissões internas, dos termos do terceiro e das configurações do Workspace.
18. Transferências internacionais
A Organização Contratante autoriza transferências internacionais de dados quando necessárias à prestação do Serviço, incluindo uso de provedores globais de infraestrutura, armazenamento, autenticação, suporte, segurança, observabilidade, pagamentos externos, IA/OCR ou outras funcionalidades contratadas.
O MEVIUS adotará salvaguardas compatíveis com a LGPD e demais normas aplicáveis, incluindo medidas contratuais, técnicas e organizacionais, limitação de finalidade, controle de acesso, segurança, minimização e avaliação proporcional de riscos.
Quando determinado suboperador realizar tratamento fora do Brasil, o MEVIUS buscará assegurar que a transferência internacional esteja vinculada à prestação do Serviço, execução contratual, segurança, suporte, funcionalidade ativada ou obrigação legal aplicável.
19. IA/OCR e automações
Quando a Organização Contratante ou Usuário autorizado utilizar funcionalidades de IA, OCR, extração, classificação, sumarização, pesquisa semântica, transcrição, geração assistida ou automações, o MEVIUS poderá processar documentos, textos, imagens, áudios, prompts, comandos, mensagens, metadados e saídas necessários ao funcionamento da funcionalidade.
Funcionalidades de IA/OCR possuem natureza assistiva e não substituem revisão humana, validação profissional, análise jurídica, conferência factual, controle de prazos ou responsabilidade da Organização Contratante.
O Conteúdo do Usuário não será utilizado para treinamento de modelos de IA sem consentimento expresso e específico ou outra base legal aplicável.
Quando houver provedor externo de IA/OCR, o MEVIUS informará, na Política de Privacidade, neste DPA ou aviso contextual, a finalidade, categorias de dados, provedor ou categoria de provedor, existência ou não de retenção pelo terceiro, região de processamento quando disponível e salvaguardas aplicáveis.
A Organização Contratante é responsável por avaliar a pertinência, necessidade, base legal e adequação do envio de documentos, prompts, mensagens, áudios, dados sensíveis ou informações de terceiros para funcionalidades de IA/OCR, especialmente quando envolver sigilo profissional, segredo de justiça, dados de crianças e adolescentes, dados de saúde, dados criminais ou informações sensíveis.
20. Fontes públicas, bases externas e serviços jurídicos integrados
O MEVIUS poderá disponibilizar funcionalidades de consulta, validação, enriquecimento, conferência, sincronização, organização ou apoio a fluxos relacionados a fontes públicas, bases externas, publicações, processos, informações oficiais, tribunais, diários oficiais, órgãos públicos ou serviços jurídicos/governamentais integrados.
Essas funcionalidades destinam-se à gestão jurídica, acompanhamento processual, organização documental, controle de prazos, automação operacional e demais finalidades profissionais da Organização Contratante.
O MEVIUS não se destina a serviço de people search, investigação privada, criação de dossiês pessoais, scoring, perfilamento sensível, monitoramento generalizado de indivíduos ou exploração de dados públicos para finalidade incompatível com a atividade jurídica ou profissional da Organização Contratante.
A Organização Contratante e seus Usuários autorizados são responsáveis por utilizar dados de fontes públicas, bases externas e serviços jurídicos integrados de forma compatível com finalidade jurídica legítima, base legal, deveres profissionais, sigilo, segredo de justiça, normas éticas e legislação aplicável.
21. Marketing, analytics e mensuração
O MEVIUS poderá utilizar provedores de analytics, melhoria do produto, marketing e mensuração para medir uso, desempenho, experiência, efetividade de comunicações, conversões, estabilidade da Plataforma e identificação de problemas.
Quando aplicável, esses tratamentos deverão observar a Política de Privacidade, preferências do titular, opt-out, consentimento quando exigível, minimização de dados, pseudonimização ou agregação quando possível e as regras das lojas de aplicativos.
O MEVIUS não utilizará Conteúdo do Usuário, documentos jurídicos, peças, prompts, dados de clientes, dados processuais ou dados sensíveis para publicidade comportamental, venda de dados, people search, scoring, dossiê pessoal ou monitoramento generalizado de indivíduos.
22. Atendimento a direitos dos titulares
Quando o MEVIUS receber solicitação de titular referente a dados tratados em nome da Organização Contratante, poderá:
- encaminhar a solicitação à Organização Contratante;
- orientar o titular a contatar a Organização Contratante;
- adotar providências razoáveis como Operador, conforme instruções da Organização Contratante;
- responder diretamente quando atuar como Controlador em relação aos dados solicitados.
A Organização Contratante será responsável por avaliar a legitimidade, base legal, escopo e resposta a titulares em relação ao Conteúdo do Usuário sob seu controle.
O MEVIUS cooperará de forma razoável e proporcional, considerando os meios disponíveis, a natureza do tratamento, a segurança do Workspace, o sigilo profissional, a proteção de terceiros e a legislação aplicável.
Pedidos de titulares poderão ser encaminhados ao Encarregado/DPO do MEVIUS pelo e-mail privacidade@mevius.com.br, sem prejuízo dos canais próprios da Organização Contratante quando esta atuar como Controladora.
23. Incidentes de segurança
O MEVIUS comunicará à Organização Contratante incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, em prazo razoável após tomar conhecimento e confirmar elementos mínimos do incidente.
A comunicação poderá conter, quando disponível:
- descrição do incidente;
- data ou período estimado;
- categorias de dados potencialmente afetadas;
- titulares ou categorias de titulares afetados;
- medidas técnicas e organizacionais adotadas;
- riscos identificados;
- medidas recomendadas à Organização Contratante;
- ponto de contato para acompanhamento.
A comunicação inicial poderá ser complementada à medida que novas informações forem apuradas.
Compete à Organização Contratante, quando atuar como Controladora, avaliar eventual comunicação à ANPD, titulares, autoridades, clientes ou terceiros, sem prejuízo de cooperação razoável do MEVIUS.
Quando o incidente envolver suboperador, fornecedor, integração ou terceiro, o MEVIUS envidará esforços razoáveis para obter informações relevantes, adotar medidas de contenção e cooperar com a Organização Contratante, conforme a natureza do incidente e os contratos aplicáveis.
24. Retenção, devolução, exclusão e backup
A retenção dos dados observará os Termos de Uso, Política de Privacidade, este DPA, contrato aplicável e legislação vigente.
Encerrado o contrato ou Workspace, o MEVIUS poderá disponibilizar prazo de até 30 dias para exportação do Conteúdo do Usuário pelo Administrador/Owner autorizado, salvo previsão contratual diversa, impedimento técnico, pendência de segurança, inadimplência, ordem judicial, disputa, preservação de prova ou obrigação legal.
Após o prazo de exportação, o Conteúdo do Usuário poderá ser removido ou tornado indisponível do ambiente ativo em até 30 dias, ressalvadas retenções legais, regulatórias, fiscais, contábeis, de segurança, antifraude, auditoria, backup, sigilo profissional, segredo de justiça, preservação de prova e exercício regular de direitos.
Backups de contingência poderão ser mantidos por até 30 dias corridos após exclusão, encerramento, suspensão, desligamento ou remoção do ambiente ativo, conforme ciclos técnicos de backup e sobrescrita segura.
Backups não constituem ambiente ativo, serviço de guarda documental, escrow, depósito, arquivo permanente ou garantia de restauração individualizada.
Sempre que a exclusão integral não for possível por obrigação legal, regulatória, segurança, auditoria, cobrança, backup, sigilo profissional, segredo de justiça, preservação de prova ou exercício regular de direitos, o MEVIUS poderá restringir o acesso, bloquear, arquivar, anonimizar ou limitar o tratamento dos dados ao escopo estritamente necessário.
25. Auditoria e informações de conformidade
Mediante solicitação razoável da Organização Contratante, o MEVIUS poderá fornecer informações gerais sobre suas medidas de proteção de dados, segurança, suboperadores, retenção, incidentes e conformidade, desde que tal fornecimento não comprometa segurança, segredo comercial, propriedade intelectual, confidencialidade de terceiros, arquitetura interna ou proteção da Plataforma.
Auditorias presenciais, inspeções técnicas, testes de intrusão, avaliações independentes ou solicitações especiais dependerão de acordo prévio, escopo definido, confidencialidade, ausência de risco à segurança, disponibilidade operacional e eventual remuneração de custos.
O MEVIUS poderá recusar, limitar ou condicionar solicitações de auditoria que sejam excessivas, inseguras, incompatíveis com sua arquitetura, desproporcionais, repetitivas, invasivas, tecnicamente inviáveis ou que possam expor dados de outros clientes, segredo comercial, código-fonte, credenciais, vulnerabilidades, logs sensíveis ou informações de segurança.
26. Registros e logs
O MEVIUS poderá manter registros técnicos, logs de auditoria, eventos de segurança, histórico operacional, registros de autenticação, carimbos de tempo e mecanismos de integridade para segurança, suporte, diagnóstico, prevenção a fraudes, cumprimento legal, exercício regular de direitos e preservação de evidências.
Registros de acesso à aplicação serão mantidos pelo prazo legal de 6 meses, sob sigilo e em ambiente controlado e seguro, salvo ordem judicial, requisição válida de autoridade competente, preservação de prova, incidente de segurança, fraude, abuso ou exercício regular de direitos.
Funcionalidades de busca, filtros, pesquisa textual, pesquisa semântica, consulta por cliente, processo, documento, prazo, tarefa, palavra-chave ou outros critérios poderão gerar registros técnicos necessários para execução da funcionalidade, segurança, auditoria, suporte, diagnóstico, melhoria do Serviço e prevenção a abuso.
O MEVIUS não utilizará buscas internas, termos pesquisados ou pesquisa semântica para publicidade comportamental, venda de dados, people search, scoring, dossiê pessoal ou monitoramento generalizado de indivíduos.
27. Remoção de conteúdo e dados
A remoção da conta individual de um Usuário não implica, por si só, exclusão do Workspace, documentos, processos, clientes, partes, prazos, históricos, anexos, registros, configurações, integrações, cobranças, logs ou Conteúdo pertencente à Organização Contratante.
A remoção, exclusão, exportação, transferência de titularidade, encerramento ou eliminação substancial de conteúdo, dados ou Workspace dependerá de solicitação do Administrador/Owner autorizado, representante legal da Organização Contratante ou pessoa legitimada.
Quando o Usuário solicitante for o único Administrador/Owner ativo do Workspace, o MEVIUS poderá exigir transferência de administração, indicação de novo responsável, encerramento formal do Workspace, exportação de dados ou validação adicional.
O MEVIUS poderá manter dados após solicitação de remoção ou exclusão quando necessário para cumprimento legal, obrigação regulatória, segurança, prevenção a fraudes, auditoria, backup, cobrança, sigilo profissional, segredo de justiça, preservação de prova ou exercício regular de direitos.
A remoção de conteúdo ou dados poderá ser total ou parcial, conforme a natureza da solicitação, legitimidade do solicitante, papel do MEVIUS como Controlador ou Operador, instruções da Organização Contratante, retenções legais, limitações técnicas, deveres de sigilo, preservação de prova e direitos de terceiros.
Sempre que a remoção integral não for possível, o MEVIUS poderá restringir o acesso, bloquear, arquivar, anonimizar, pseudonimizar ou limitar o tratamento dos dados ao escopo estritamente necessário.
28. Aplicativo mobile e pagamentos
A Organização Contratante reconhece que o ambiente web/site do MEVIUS poderá permitir contratação, assinatura, créditos internos, upgrades, downgrades, faturamento, cobrança, renovação, cancelamento e demais operações comerciais ou financeiras.
O aplicativo mobile MEVIUS é canal complementar de acesso, consulta, gestão operacional e utilização das funcionalidades previamente contratadas, adquiridas, provisionadas ou autorizadas fora do aplicativo.
Importante: o aplicativo mobile não permite pagamento, assinatura, compra de créditos, upgrade, downgrade, renovação paga, checkout, alteração financeira ou aquisição de funcionalidades digitais por meio da Apple App Store, Google Play ou qualquer loja de aplicativos.
29. Pagamentos, cobrança e integrações financeiras
Quando a Organização Contratante ativar recursos financeiros, provedores de pagamento, cobrança, conciliação, emissão de documentos fiscais, Pix, subcontas, links de pagamento ou funcionalidades financeiras, poderão ser tratados dados necessários para cadastro, verificação, prevenção a fraudes, prestação de serviços de pagamento, emissão de cobranças, conciliação, suporte e cumprimento de obrigações regulatórias.
A integração com provedores de pagamentos e cobrança destina-se à gestão financeira e operacional da Organização Contratante perante seus clientes, fornecedores, partes, responsáveis financeiros ou terceiros.
Essa integração não constitui meio de compra, assinatura, upgrade, downgrade, renovação, recarga, pagamento ou aquisição de funcionalidades digitais do MEVIUS dentro do aplicativo mobile.
O MEVIUS atua como plataforma tecnológica de integração, organização, exibição, automação ou conciliação de informações, não substituindo os termos, políticas, regras cadastrais, critérios de segurança, tarifas, validações, limites operacionais e controles regulatórios dos provedores financeiros ou de pagamento utilizados.
30. Serviços configurados sem uso ativo confirmado
Serviços encontrados em configuração, dependências, bibliotecas, SDKs, ambiente de desenvolvimento, homologação, testes ou infraestrutura, sem evidência clara de uso ativo no produto, não serão considerados suboperadores ativos para fins de tratamento de dados pessoais reais até que sejam efetivamente ativados ou utilizados em ambiente de produção ou em ambiente que trate dados pessoais reais.
Antes de ativar tais serviços para tratamento de dados pessoais reais, o MEVIUS poderá realizar revisão técnica, jurídica e de segurança, avaliando finalidade, categorias de dados, permissões, retenção, transferência internacional, compartilhamento, termos do fornecedor, riscos e necessidade de atualização deste DPA, Política de Privacidade ou demais documentos aplicáveis.
31. Responsabilidade e indenidade
A Organização Contratante será responsável por danos, perdas, reclamações, autuações, penalidades, custos, despesas, honorários, ações judiciais, administrativas ou arbitrais decorrentes de instruções ilícitas, ausência de base legal, tratamento excessivo, violação de sigilo profissional, violação de segredo de justiça, permissões indevidas, compartilhamentos não autorizados, uploads ilícitos, uso irregular da Plataforma ou descumprimento deste DPA, Termos de Uso, Política de Privacidade ou legislação aplicável.
O MEVIUS não será responsável por tratamento ilícito, excessivo, indevido ou não autorizado decorrente de ato, omissão, instrução, upload, compartilhamento, permissão, exportação, configuração ou decisão da Organização Contratante ou de seus Usuários autorizados, salvo quando houver dolo, culpa grave, descumprimento direto de obrigação legal ou violação própria imputável ao MEVIUS.
A Organização Contratante deverá indenizar, defender e manter o MEVIUS indene em relação a reclamações, autuações, perdas, danos, custos, despesas, penalidades, honorários, ações judiciais, administrativas ou arbitrais decorrentes de tratamento ilícito, excessivo, indevido ou não autorizado de dados pessoais, dados sensíveis, documentos ou informações de clientes, partes ou terceiros inseridos, compartilhados, exportados ou tratados na Plataforma por sua decisão, instrução ou responsabilidade.
32. Limitação de responsabilidade
Nada neste DPA limita direitos indisponíveis de titulares ou obrigações legais impostas pela LGPD, Marco Civil da Internet, legislação setorial, decisões de autoridades competentes ou normas aplicáveis.
Sem prejuízo disso, a responsabilidade do MEVIUS por atos de tratamento realizados como Operador ficará limitada aos danos diretos comprovadamente causados por descumprimento próprio deste DPA, dos Termos de Uso, da Política de Privacidade ou da legislação aplicável, ressalvados casos de dolo, culpa grave ou disposição legal em sentido contrário.
O MEVIUS não responderá por perda de dados, exposição, acesso indevido, tratamento ilícito ou incidente decorrente de credenciais comprometidas, permissões indevidas, ausência de revogação de acesso, dispositivos inseguros, exportações realizadas pela Organização Contratante, integrações ativadas pelo cliente, instruções ilícitas, uploads indevidos ou uso incompatível da Plataforma por Usuários autorizados.
33. Prevalência
Em caso de conflito entre este DPA, Termos de Uso, Política de Privacidade, proposta comercial, contrato específico ou documento equivalente, prevalecerá a disposição mais específica sobre proteção de dados pessoais, desde que compatível com a legislação aplicável.
Este DPA não reduz direitos dos titulares nem limita obrigações legais impostas pela LGPD, Marco Civil da Internet, legislação setorial, decisões de autoridades competentes ou normas aplicáveis.
34. Vigência
Este DPA tem vigência a partir de 10 de Novembro de 2025 e permanecerá vigente enquanto o MEVIUS tratar dados pessoais em nome da Organização Contratante ou enquanto houver obrigações remanescentes de retenção, confidencialidade, segurança, exclusão, remoção de conteúdo, auditoria, cumprimento legal ou exercício regular de direitos.
As obrigações de confidencialidade, segurança, retenção, exclusão, remoção de conteúdo, cooperação, responsabilidade, indenidade e proteção de dados permanecerão aplicáveis mesmo após o encerramento contratual, enquanto necessárias ao cumprimento legal, defesa de direitos, sigilo profissional, segredo de justiça, preservação de prova ou proteção de titulares.
35. Contato
Dúvidas, solicitações ou comunicações relacionadas a este DPA poderão ser encaminhadas ao Encarregado/DPO do MEVIUS:
| Campo | Informação |
|---|---|
| Encarregado/DPO | Saulo Cristiano Antônio Bessi — OAB/SP n.º 442.764 |
| privacidade@mevius.com.br | |
| Política de Privacidade | https://mevius.com.br/privacy |
| Termos de Uso | https://mevius.com.br/terms-of-use |
| Página de Remoção de Conteúdo e Dados | https://mevius.com.br/data-treatment |