Acordo de Processamento de Dados (DPA)

• Controlador: O Personal Trainer que utiliza a plataforma CatalysAI para gerenciar seus clientes. O Controlador determina as finalidades e os meios do tratamento dos dados pessoais dos seus clientes. • Operador (Processador): CatalysAI, empresa sediada no Brasil, que processa dados pessoais em nome do Controlador para a prestação do Serviço.

Este DPA rege o tratamento de dados pessoais dos clientes do Controlador pela CatalysAI durante a vigência do contrato de serviço. A duração do tratamento é equivalente ao período em que o Controlador mantiver uma conta ativa na plataforma CatalysAI. Após o encerramento da conta, os dados serão tratados conforme a Seção 12 (Rescisão) deste DPA.

A CatalysAI processa dados pessoais para as seguintes finalidades: • Gestão de personal training com inteligência artificial • Geração de treinos personalizados com IA • Acompanhamento de progresso dos clientes • Comunicação entre trainer e clientes (check-ins, notificações) • Geração de relatórios e análises de desempenho • Processamento de pagamentos e gestão financeira

Os seguintes tipos de dados pessoais são processados: • Dados de identificação: nome, email • Dados de saúde: peso, lesões, dores, qualidade do sono, medidas corporais, fotos de progresso, composição corporal • Dados de treino: exercícios realizados, cargas, séries, repetições, histórico de sessões • Dados de check-in: sono, energia, humor, dor, adesão, feedback • Dados financeiros: histórico de pagamentos, status de assinatura • Dados técnicos: endereço IP, logs de acesso

Os titulares dos dados são os clientes do Personal Trainer (Controlador) que têm seus dados cadastrados na plataforma CatalysAI.

A CatalysAI, como Operador, compromete-se a: • Processar dados pessoais apenas com base nas instruções documentadas do Controlador, salvo exigência legal contrária • Garantir que todas as pessoas autorizadas a tratar dados pessoais estejam comprometidas com a confidencialidade ou estejam sujeitas a obrigação legal de sigilo • Implementar medidas técnicas e organizacionais de segurança adequadas (conforme Seção 7) • Não contratar suboperadores sem autorização prévia do Controlador (ver lista em /subprocessors) • Auxiliar o Controlador no atendimento de solicitações dos titulares dos dados (acesso, retificação, exclusão, portabilidade) • Auxiliar o Controlador no cumprimento das obrigações relativas à segurança, notificação de violações, avaliações de impacto e consultas prévias • Excluir ou devolver todos os dados pessoais ao término do contrato, conforme Seção 12 • Disponibilizar ao Controlador todas as informações necessárias para demonstrar conformidade com este DPA

A CatalysAI implementa as seguintes medidas técnicas e organizacionais: • Criptografia em trânsito: TLS 1.2+ para todas as comunicações • Criptografia em repouso: AES-256 para dados armazenados • Hash de senhas: bcrypt com salt para todas as senhas • Row Level Security (RLS): políticas de segurança em nível de linha no banco de dados, garantindo que cada trainer acesse apenas seus próprios dados • Controle de acesso baseado em funções (RBAC) • Backups automáticos regulares • Monitoramento de segurança e logs de auditoria • Revisão periódica de acessos e permissões

A lista completa e atualizada de suboperadores (sub-processors) está disponível em: https://catalysfit.com/subprocessors O Controlador autoriza o uso dos suboperadores listados nesta página. A CatalysAI notificará o Controlador com 30 dias de antecedência antes de adicionar novos suboperadores. O Controlador poderá se opor dentro de 15 dias.

Os dados pessoais podem ser transferidos para os Estados Unidos através dos seguintes provedores: • Supabase (AWS) — banco de dados e autenticação • OpenRouter / MiniMax — geração de treinos com IA (apenas parâmetros anonimizados, sem PII) • Stripe — processamento de pagamentos • Vercel — hospedagem e CDN • Resend — envio de emails transacionais Essas transferências são protegidas por: • Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia • Certificações dos provedores (SOC 2, ISO 27001) • Conformidade com o Art. 33 da LGPD e Capítulo V do GDPR

Em caso de violação de dados pessoais: • A CatalysAI (Operador) notificará o Controlador sem demora injustificada, no máximo em 48 horas após tomar conhecimento da violação • A notificação incluirá: natureza da violação, categorias de dados afetados, medidas tomadas e recomendações • O Controlador é responsável por notificar a autoridade supervisora competente: — GDPR: até 72 horas (Art. 33) — LGPD/ANPD: até 3 dias úteis • A CatalysAI auxiliará o Controlador na investigação e mitigação da violação

O Controlador pode solicitar evidências de conformidade com este DPA, incluindo: • Relatórios de medidas de segurança implementadas • Certificações e conformidades dos suboperadores • Registros de tratamento de dados • Evidências de políticas de retenção e exclusão Solicitações de auditoria devem ser feitas por escrito para support@catalysai.app, com antecedência razoável de 30 dias.

Ao término do contrato de serviço: • A CatalysAI excluirá todos os dados pessoais do Controlador em até 30 dias, salvo quando a retenção for exigida por lei • Dados financeiros poderão ser mantidos por até 5 anos para cumprimento de obrigações legais e fiscais • Backups serão excluídos dentro do ciclo de rotação (máximo 90 dias) • O Controlador poderá solicitar a exportação dos dados antes da exclusão • A CatalysAI fornecerá confirmação por escrito da exclusão dos dados

Este DPA é regido por: • Lei Geral de Proteção de Dados do Brasil (LGPD — Lei nº 13.709/2018) para Controladores sediados no Brasil • Regulamento Geral sobre a Proteção de Dados da UE (GDPR — Regulamento UE 2016/679) para Controladores sediados na União Europeia • A lei mais protetiva será aplicada quando houver conflito entre jurisdições

Para questões relacionadas a este DPA: 📧 Email: support@catalysai.app 🌐 Site: catalysai.app