← All legal documents

Acordo de Tratamento de Dados

Modelo de DPA do Coach Portal — Em vigor a partir de 27 de abril de 2026

Modelo. Este é um modelo de Acordo de Tratamento de Dados. Para um acordo assinado que cubra o seu uso do Coach Portal, entre em contato com alex@saturdaymorning.fit. A assinatura eletrônica via DocuSign está disponível mediante solicitação.

Esta é uma tradução do documento original em inglês, fornecida para sua conveniência. Em caso de conflito ou inconsistência entre esta tradução e a versão em inglês, prevalecerá a versão em inglês.

Este Acordo de Tratamento de Dados ("DPA") é celebrado entre a entidade identificada como "Cliente" na página de assinatura ("Cliente") e a Saturday Inc., uma corporação de Delaware com sede principal em 8 The Green, STE A, Dover, DE 19901 ("Saturday"). Este DPA complementa e faz parte integrante dos Coach Terms of Service (os "Coach Terms") e de qualquer outro acordo entre o Cliente e a Saturday que rege o uso do Saturday Coach Portal pelo Cliente (conjuntamente, o "Acordo").

As partes acordam o seguinte:

1. Definições

Os termos em maiúsculas não definidos neste DPA têm o significado que lhes é atribuído no Acordo. Neste DPA:

"Controlador" significa o Cliente, sendo a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros, determina as finalidades e os meios do Tratamento de Dados Pessoais por meio do Saturday Coach Portal.

"Titular dos Dados" significa uma pessoa física identificada ou identificável a quem os Dados Pessoais se referem.

"EEE" significa o Espaço Econômico Europeu.

"GDPR" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (o Regulamento Geral de Proteção de Dados), conforme alterado, complementado ou substituído de tempos em tempos.

"Dados Pessoais" significa qualquer informação relativa a uma pessoa física identificada ou identificável que seja Tratada pela Saturday em nome do Cliente em relação ao Coach Portal, conforme descrito mais detalhadamente no Anexo 1. "Dados Pessoais" tem o significado atribuído a "dados pessoais" no Artigo 4(1) do GDPR.

"Violação de Dados Pessoais" significa uma violação de segurança que ocasione a destruição, perda ou alteração acidental ou ilícita de Dados Pessoais transmitidos, armazenados ou de outra forma Tratados, ou a divulgação ou o acesso não autorizados a esses dados.

"Tratamento" (e suas formas derivadas "Tratar," "Tratado") significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automatizados ou não, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição.

"Operador" significa a Saturday Inc., que Trata Dados Pessoais em nome do Controlador conforme descrito neste DPA.

"Categorias Especiais de Dados Pessoais" significa os Dados Pessoais que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para fins de identificação inequívoca de uma pessoa física, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa física, conforme descrito no Artigo 9 do GDPR.

"Cláusulas Contratuais Padrão" ou "SCCs" significa as cláusulas contratuais padrão anexas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, conforme alteradas, complementadas ou substituídas de tempos em tempos.

"Suboperador" significa qualquer terceiro contratado pela Saturday para Tratar Dados Pessoais em nome do Cliente em relação ao Coach Portal.

"Autoridade de Controle" significa uma autoridade pública independente estabelecida por um Estado-Membro da UE nos termos do Artigo 51 do GDPR.

"UK Addendum" significa o International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Versão B1.0), emitido pelo UK Information Commissioner nos termos da Seção 119A do Data Protection Act 2018 e apresentado ao Parlamento do Reino Unido em 2 de fevereiro de 2022, conforme revisado nos termos da Seção 18 das Mandatory Clauses do Addendum.

"UK GDPR" significa o GDPR conforme faz parte do direito da Inglaterra e do País de Gales, da Escócia e da Irlanda do Norte em virtude da Seção 3 do European Union (Withdrawal) Act 2018, conforme alterado pelas Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019.

2. Âmbito e Aplicação

2.1 Este DPA aplica-se ao Tratamento, pela Saturday, de Dados Pessoais em nome do Cliente em relação ao uso do Saturday Coach Portal pelo Cliente, incluindo dados de identidade dos atletas, dados de saúde e biométricos, dados de atividade, dados de faturamento, dados de auditoria e dados de participação em organizações.

2.2 Este DPA entra em vigor após a assinatura por ambas as partes e permanece em vigor durante a vigência da assinatura do Cliente ao Coach Portal nos termos do Acordo. A rescisão ou expiração do Acordo rescinde automaticamente este DPA, sem prejuízo das obrigações da Seção 15 (Devolução ou Eliminação de Dados Pessoais).

2.3 Em caso de qualquer conflito entre este DPA e o Acordo, este DPA prevalecerá no que diz respeito ao Tratamento de Dados Pessoais.

2.4 Este DPA não se aplica aos Dados Pessoais em relação aos quais a Saturday é Controlador por direito próprio (por exemplo, dados de registro de conta do Cliente ou dados que a Saturday coleta para suas próprias finalidades comerciais). O tratamento desses dados pela Saturday é regido pela Política de Privacidade do Site e pela Política de Privacidade do Aplicativo da Saturday.

3. Funções e Responsabilidades

3.1 Cliente como Controlador. O Cliente é o Controlador dos Dados Pessoais Tratados por meio do Coach Portal. O Cliente determina as finalidades e os meios do Tratamento e é responsável por garantir que o seu uso do Coach Portal cumpra as leis de proteção de dados aplicáveis, incluindo o GDPR.

3.2 Saturday como Operador. A Saturday é o Operador dos Dados Pessoais e Tratará os Dados Pessoais somente em nome e de acordo com as instruções documentadas do Cliente. A Saturday não Tratará Dados Pessoais para qualquer finalidade que não seja fornecer, proteger e monitorar o serviço Coach Portal conforme descrito neste DPA, no Acordo e nas instruções documentadas do Cliente.

3.3 Instruções Documentadas. As instruções do Cliente à Saturday relativas ao Tratamento de Dados Pessoais estão documentadas em: (a) os Coach Terms of Service; (b) a Política de Privacidade do Coach; (c) este DPA; e (d) quaisquer aditamentos ou alterações por escrito acordados e assinados por ambas as partes. A Saturday informará prontamente o Cliente se, na opinião da Saturday, uma instrução do Cliente infringir o GDPR ou outra lei de proteção de dados aplicável.

3.4 Tratamento Fora das Instruções. A Saturday não Tratará Dados Pessoais fora das instruções documentadas do Cliente, exceto se obrigada a fazê-lo pela lei aplicável à qual a Saturday esteja sujeita. Nesse caso, a Saturday informará o Cliente dessa exigência legal antes do Tratamento, exceto se a lei proibir tal notificação por motivos importantes de interesse público.

4. Descrição do Tratamento

De acordo com o Artigo 28(3) do GDPR, os detalhes a seguir descrevem o Tratamento realizado nos termos deste DPA:

  • Objeto: A prestação do Saturday Coach Portal, permitindo que treinadores e organizações gerenciem relações com atletas, visualizem dados de conformidade, processem faturamento por meio do Stripe Connect, gerem análises organizacionais e mantenham registros de auditoria das ações administrativas.
  • Duração: Pelo prazo da assinatura do Cliente ao Coach Portal nos termos do Acordo, mais quaisquer períodos de retenção pós-rescisão especificados na Seção 15.
  • Natureza e Finalidade: Armazenamento, recuperação, exibição, organização, estruturação, adaptação, transmissão e eliminação de Dados Pessoais conforme necessário para fornecer o serviço Coach Portal, incluindo gestão da lista de atletas, monitoramento de conformidade, operações de faturamento, registro de auditoria, personificação para fins de suporte e facilitação de comunicações.
  • Categorias de Dados Pessoais: Conforme descrito na Seção 5 (Categorias de Dados) e no Anexo 1.
  • Categorias de Titulares dos Dados: Atletas (usuários finais do aplicativo Saturday que consentiram com o acesso do treinador); treinadores (profissionais de treinamento individuais); membros da organização do treinador (administradores, treinadores assistentes, administradores de faturamento, treinadores somente leitura); e equipe da Saturday (ao exercer a personificação para fins de suporte ou administrativos).
  • Categorias Especiais: Dados de saúde e dados biométricos (os dados de atividade dos atletas, o tipo de esporte, a duração e as métricas de conformidade podem constituir dados relativos à saúde nos termos do Artigo 9 do GDPR). O Cliente é responsável por garantir uma base legal nos termos do Artigo 9(2) para o Tratamento de quaisquer Categorias Especiais de Dados Pessoais.

5. Categorias de Dados

A tabela a seguir descreve as categorias de Dados Pessoais Tratados por meio do Coach Portal e os períodos de retenção aplicáveis:

Categoria Elementos de Dados Período de Retenção
Identidade Nome de exibição, endereço de e-mail, Firebase UID Duração da conta + 30 dias
Relação Vínculo treinador-atleta, participação na organização, funções atribuídas (9 funções definidas), carimbos de data/hora de consentimento, origem do consentimento, permissões ACL por relação Duração da relação + 90 dias
Conformidade Indicadores de recência de atividade (status vermelho/amarelo/verde), contagem de atividades, dias desde a última atividade Calculado em tempo real; não armazenado de forma persistente
Atividade Tipo de esporte, duração, data da atividade Duração da conta + 30 dias
Faturamento Valores de cobrança, termos do acordo de faturamento, status do pagamento, taxas da plataforma, identificadores de cliente do Stripe, metadados de assinatura 7 anos (regulamentação financeira e fiscal)
Auditoria Ações administrativas (mais de 40 tipos de ações), eventos de personificação com justificativa, UID do ator, UID do alvo, endereço IP, agente de usuário, carimbos de data/hora, instantâneos do estado anterior/posterior Indefinido (retido nos termos do Artigo 17(3)(e) do GDPR: declaração, exercício ou defesa de direitos em processos judiciais)
Organização Nome da organização, hierarquia (matriz/filial), lista de membros, funções dos membros, UID do proprietário, status de dissolução Duração da organização + 90 dias

6. Suboperadores

6.1 Suboperadores Autorizados. O Cliente concede autorização geral por escrito para que a Saturday contrate os Suboperadores listados no Anexo 2. A partir da data de vigência, a Saturday utiliza os seguintes Suboperadores para os dados do Coach Portal:

Suboperador Finalidade Localização
Google Cloud Platform (Firebase, Firestore, Cloud Functions, Cloud Secret Manager) Armazenamento de dados, autenticação, computação sem servidor, gestão de segredos Estados Unidos (us-central1)
Stripe, Inc. Processamento de pagamentos (Stripe Connect para faturamento de treinadores, gestão de assinaturas) Estados Unidos
Brevo (Sendinblue SAS) E-mail transacional (notificações de convite, notificações de personificação) União Europeia
Klaviyo, Inc. E-mail de marketing e comunicações de ciclo de vida Estados Unidos
Cloudflare, Inc. CDN, DNS, proteção contra DDoS, hospedagem de borda do frontend do Coach Portal Rede de borda global

6.2 Notificação de Alterações. A Saturday fornecerá ao Cliente um aviso prévio por escrito de pelo menos trinta (30) dias antes de contratar um novo Suboperador ou de substituir um Suboperador existente. O aviso identificará o Suboperador, descreverá o Tratamento a ser realizado e indicará a localização do Suboperador.

6.3 Direito de Oposição. O Cliente pode se opor a um Suboperador novo ou substituto notificando a Saturday por escrito dentro de quatorze (14) dias após o recebimento do aviso nos termos da Seção 6.2. A oposição deve apresentar motivos razoáveis relacionados à proteção de dados. A Saturday envidará esforços comercialmente razoáveis para disponibilizar ao Cliente uma alteração no Coach Portal ou recomendar uma alternativa comercialmente razoável para evitar o Tratamento de Dados Pessoais pelo Suboperador objetado. Se a Saturday não puder atender à oposição do Cliente dentro de trinta (30) dias após o seu recebimento, o Cliente poderá rescindir a assinatura do Coach Portal mediante notificação por escrito à Saturday, e a Saturday fornecerá um reembolso proporcional de quaisquer taxas pré-pagas não utilizadas.

6.4 Obrigações do Suboperador. A Saturday: (a) imporá a cada Suboperador, por meio de um contrato por escrito, obrigações de proteção de dados não menos protetoras do que as estabelecidas neste DPA; e (b) permanecerá totalmente responsável perante o Cliente pelo cumprimento das obrigações de cada Suboperador.

7. Medidas de Segurança

De acordo com o Artigo 28(3)(c) e o Artigo 32 do GDPR, a Saturday implementa e mantém as seguintes medidas técnicas e organizacionais para proteger os Dados Pessoais. Essas medidas são detalhadas com mais profundidade no Anexo 3.

7.1 Criptografia

  • Em trânsito: Todo o tráfego de API e web é criptografado usando TLS 1.3.
  • Em repouso: Todos os dados em repouso são criptografados usando AES-256 por meio da criptografia padrão do Google Cloud Platform.

7.2 Controle de Acesso

  • Restrição em nível de banco de dados: As Firestore Security Rules impõem controle de acesso por documento. O acesso do treinador é limitado aos atletas dentro da lista ativa do treinador. As regras de segurança validam o status da relação treinador-atleta antes de conceder acesso de leitura ou gravação.
  • Controle de acesso baseado em funções (RBAC): Nove (9) funções definidas com vinte e três (23) permissões distintas regem o acesso às funções do Coach Portal. A resolução de permissões é imposta na camada de middleware da API, retornando HTTP 403 em solicitações não autorizadas.
  • Princípio da necessidade de conhecimento: A equipe da Saturday acessa os Dados Pessoais somente na medida necessária para o desempenho de suas funções, sujeita a obrigações de confidencialidade por escrito.

7.3 Registro de Auditoria

  • Todas as ações administrativas, eventos de personificação e operações de acesso a dados são registrados em um log de auditoria somente de acréscimo. As entradas do log de auditoria nunca são atualizadas ou excluídas.
  • Cada entrada de auditoria registra: identidade do ator, tipo de ação (mais de 40 ações definidas), alvo, estado anterior/posterior, endereço IP, agente de usuário e carimbo de data/hora.

7.4 Controles de Personificação

  • As sessões de personificação administrativa são limitadas a trinta (30) minutos e exigem uma justificativa por escrito.
  • Os eventos de personificação são registrados na trilha de auditoria e acionam uma notificação ao usuário personificado.
  • Somente usuários com a permissão PermImpersonate (administradores da organização, treinadores principais e equipe da Saturday) podem iniciar a personificação.

7.5 Autenticação

  • A autenticação é gerenciada por meio do Firebase Authentication.
  • A autenticação multifator (MFA) está disponível para todos os usuários e pode ser imposta no nível da organização para clientes do nível Enterprise, com períodos de carência configuráveis e métodos permitidos (TOTP, SMS).

7.6 Medidas Organizacionais

  • A equipe da Saturday com acesso a Dados Pessoais está vinculada a obrigações de confidencialidade por escrito.
  • A Saturday realiza avaliações periódicas de vulnerabilidades da infraestrutura do Coach Portal.
  • A Saturday mantém um procedimento de resposta a incidentes, incluindo o processo de notificação de violações descrito na Seção 11.
  • A Saturday realiza uma revisão anual de segurança de suas medidas técnicas e organizacionais.

8. Confidencialidade

8.1 A Saturday garantirá que qualquer pessoa autorizada a Tratar Dados Pessoais em seu nome tenha assumido obrigações de confidencialidade ou esteja sujeita a uma obrigação legal apropriada de confidencialidade, de acordo com o Artigo 28(3)(b) do GDPR.

8.2 A Saturday não divulgará Dados Pessoais a terceiros, exceto: (a) na medida necessária para fornecer o serviço Coach Portal por meio dos Suboperadores autorizados listados no Anexo 2; (b) conforme exigido pela lei aplicável, regulamento ou ordem vinculante de um tribunal ou autoridade governamental; ou (c) conforme expressamente autorizado pelo Cliente por escrito.

8.3 Se a Saturday receber uma solicitação juridicamente vinculante de uma autoridade pública para a divulgação de Dados Pessoais, a Saturday notificará prontamente o Cliente sobre tal solicitação antes de realizar qualquer divulgação, exceto se proibida por lei de fazê-lo. A Saturday envidará esforços razoáveis para redirecionar a autoridade a solicitar os dados diretamente ao Cliente.

9. Contratação de Suboperadores

9.1 De acordo com o Artigo 28(2) e 28(4) do GDPR, a Saturday não contratará um Suboperador sem a autorização geral prévia por escrito do Cliente, que o Cliente concede nos termos da Seção 6.1, sujeita ao mecanismo de notificação e oposição das Seções 6.2 e 6.3.

9.2 A Saturday imporá a cada Suboperador, por meio de um contrato por escrito de acordo com o Artigo 28(4) do GDPR, obrigações de proteção de dados substancialmente equivalentes às impostas à Saturday nos termos deste DPA, incluindo obrigações relativas à confidencialidade, medidas de segurança, transferências internacionais de dados e cooperação com o Controlador e as Autoridades de Controle.

9.3 A Saturday permanece totalmente responsável perante o Cliente pelos atos e omissões de seus Suboperadores na mesma medida em que a Saturday seria responsável se realizasse o Tratamento diretamente.

9.4 Mediante solicitação por escrito do Cliente, a Saturday fornecerá ao Cliente uma cópia de um contrato de Suboperador (que pode ser editado para remover informações comercialmente sensíveis não relevantes para a proteção de dados) a fim de permitir que o Cliente verifique a conformidade com esta Seção.

10. Assistência aos Direitos dos Titulares dos Dados

10.1 De acordo com o Artigo 28(3)(e) do GDPR, a Saturday auxiliará o Cliente, por meio de medidas técnicas e organizacionais apropriadas e levando em conta a natureza do Tratamento, no cumprimento das obrigações do Cliente de responder às solicitações dos Titulares dos Dados para exercer seus direitos nos termos do Capítulo III do GDPR, incluindo os direitos de acesso, retificação, eliminação, portabilidade dos dados, restrição do Tratamento e oposição.

10.2 A Saturday responderá às solicitações de assistência do Cliente nos termos desta Seção dentro de cinco (5) dias úteis. A assistência inclui: fornecer exportações de dados dos atletas, executar a eliminação de dados após a rescisão da conta (remoção imediata do acesso seguida de uma purga de dados em 30 dias), corrigir dados mediante notificação do Cliente e restringir o Tratamento conforme orientado.

10.3 Se a Saturday receber uma solicitação diretamente de um Titular dos Dados em relação a Dados Pessoais Tratados nos termos deste DPA, a Saturday redirecionará prontamente o Titular dos Dados ao Cliente ou, quando apropriado e com a autorização prévia por escrito do Cliente, atenderá à solicitação em nome do Cliente. A Saturday não responderá diretamente a uma solicitação de um Titular dos Dados sem a autorização do Cliente, exceto para informar ao Titular dos Dados que a solicitação foi encaminhada ao Cliente.

10.4 O Coach Portal fornece uma interface de solicitação de privacidade por meio da qual o Cliente pode enviar solicitações de acesso, exportação e eliminação em nome dos Titulares dos Dados, com um nível de serviço de trinta (30) dias para o cumprimento.

11. Notificação de Violação de Dados Pessoais

11.1 De acordo com o Artigo 28(3)(f) do GDPR, a Saturday notificará o Cliente sobre uma Violação de Dados Pessoais sem demora indevida e, em qualquer caso, dentro de setenta e duas (72) horas após tomar conhecimento da violação.

11.2 A notificação incluirá, na medida em que estiver razoavelmente disponível no momento da notificação:

  1. Uma descrição da natureza da Violação de Dados Pessoais, incluindo as categorias e o número aproximado de Titulares dos Dados afetados e as categorias e o número aproximado de registros de Dados Pessoais afetados;
  2. O nome e os dados de contato do ponto de contato da Saturday do qual mais informações podem ser obtidas;
  3. Uma descrição das prováveis consequências da Violação de Dados Pessoais; e
  4. Uma descrição das medidas tomadas ou propostas a serem tomadas pela Saturday para abordar a Violação de Dados Pessoais, incluindo medidas para mitigar seus possíveis efeitos adversos.

11.3 Quando não for possível fornecer todas as informações ao mesmo tempo, a Saturday fornecerá as informações de forma faseada, sem demora indevida adicional.

11.4 A Saturday cooperará com o Cliente e o auxiliará em relação a qualquer investigação, mitigação e remediação da Violação de Dados Pessoais, e no cumprimento, pelo Cliente, de suas obrigações nos termos dos Artigos 33 e 34 do GDPR.

11.5 A notificação ou resposta da Saturday a uma Violação de Dados Pessoais nos termos desta Seção não será interpretada como um reconhecimento, pela Saturday, de qualquer culpa ou responsabilidade em relação à violação.

12. Assistência à Avaliação de Impacto sobre a Proteção de Dados

12.1 De acordo com o Artigo 28(3)(f) do GDPR, a Saturday prestará assistência razoável ao Cliente na realização de avaliações de impacto sobre a proteção de dados ("DPIAs") nos termos do Artigo 35 do GDPR e, quando aplicável, na consulta à Autoridade de Controle pertinente nos termos do Artigo 36 do GDPR, em cada caso exclusivamente em relação ao Tratamento de Dados Pessoais nos termos deste DPA e levando em conta a natureza do Tratamento e as informações disponíveis para a Saturday.

12.2 A Saturday disponibilizará ao Cliente as informações sobre as atividades de Tratamento do Coach Portal que sejam razoavelmente necessárias para que o Cliente realize uma DPIA, incluindo descrições das medidas técnicas e organizacionais estabelecidas na Seção 7 e no Anexo 3.

13. Direitos de Auditoria

13.1 De acordo com o Artigo 28(3)(h) do GDPR, a Saturday disponibilizará ao Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Artigo 28 do GDPR e neste DPA, e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Cliente ou por um auditor designado pelo Cliente.

13.2 O Cliente pode realizar uma (1) auditoria por período de doze (12) meses. As auditorias serão realizadas: (a) às custas do Cliente; (b) durante o horário comercial normal da Saturday; (c) com aviso prévio por escrito de pelo menos trinta (30) dias à Saturday; e (d) de forma a não perturbar de modo irrazoável as operações da Saturday.

13.3 A Saturday poderá satisfazer a solicitação de auditoria do Cliente fornecendo cópias dos relatórios ou certificações de auditoria de terceiros pertinentes (como relatórios SOC 2 Type II, certificações ISO 27001 ou equivalentes) que cubram as atividades de Tratamento nos termos deste DPA. Se tais relatórios não abordarem adequadamente as preocupações razoáveis do Cliente, o Cliente conserva o direito de realizar uma auditoria direta nos termos da Seção 13.2.

13.4 O auditor designado pelo Cliente estará vinculado a obrigações de confidencialidade por escrito e não será um concorrente da Saturday. O Cliente fornecerá à Saturday a identidade do auditor antes da auditoria.

13.5 Se uma auditoria revelar descumprimento material deste DPA, a Saturday remediará prontamente o descumprimento às suas próprias custas e notificará o Cliente sobre as medidas de remediação tomadas.

14. Transferências Internacionais de Dados

14.1 Localização dos Dados. A Saturday armazena os Dados Pessoais principalmente na região us-central1 do Google Cloud nos Estados Unidos. Determinados Suboperadores (Brevo) armazenam dados na União Europeia, e determinados Suboperadores (Cloudflare) tratam dados em uma rede de borda global.

14.2 Mecanismo de Transferência — EEE. Na medida em que Dados Pessoais sejam transferidos do EEE para os Estados Unidos ou qualquer outro país não sujeito a uma decisão de adequação da Comissão Europeia, as partes concordam que as Cláusulas Contratuais Padrão da UE de 2021 (Decisão de Execução (UE) 2021/914 da Comissão), Módulo 2 (Controlador para Operador), são incorporadas a este DPA por referência e aplicam-se a tais transferências. Para os fins das SCCs:

  • O "exportador de dados" é o Cliente (Controlador);
  • O "importador de dados" é a Saturday (Operador);
  • Cláusula 7 (Cláusula de Acoplamento): A cláusula de acoplamento opcional aplica-se, permitindo que entidades adicionais adiram às SCCs;
  • Cláusula 9(a) (Suboperadores): Aplica-se a Opção 2 (Autorização Geral por Escrito), com aviso prévio de trinta (30) dias de qualquer adição ou substituição pretendida de Suboperadores;
  • Cláusula 17 (Lei Aplicável): As SCCs serão regidas pela lei da Irlanda;
  • Cláusula 18 (Escolha de Foro e Jurisdição): Os litígios decorrentes das SCCs serão resolvidos perante os tribunais da Irlanda;
  • O Anexo I.A (Lista de Partes), o Anexo I.B (Descrição da Transferência) e o Anexo I.C (Autoridade de Controle Competente) são preenchidos no Anexo 1 deste DPA;
  • O Anexo II (Medidas Técnicas e Organizacionais) é preenchido no Anexo 3 deste DPA;
  • O Anexo III (Lista de Suboperadores) é preenchido no Anexo 2 deste DPA.

14.3 Mecanismo de Transferência — Reino Unido. Na medida em que Dados Pessoais sejam transferidos do Reino Unido, o UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Versão B1.0, emitido pela ICO e apresentado ao Parlamento em 2 de fevereiro de 2022, conforme revisado nos termos da Seção 18 das referidas Mandatory Clauses) aplica-se a tais transferências e é incorporado a este DPA por referência. As informações exigidas pela Tabela 1 à Tabela 4 do UK Addendum são as estabelecidas nas SCCs incorporadas nos termos da Seção 14.2, sujeitas ao seguinte:

  • As Approved EU SCCs referenciadas na Tabela 2 são as SCCs conforme incorporadas nos termos da Seção 14.2 deste DPA, incluindo a Appendix Information;
  • Qualquer das partes pode encerrar o UK Addendum de acordo com seus termos;
  • O UK Information Commissioner's Office é a autoridade de controle competente para transferências sujeitas ao UK GDPR.

14.4 Mecanismo de Transferência — Suíça. Na medida em que Dados Pessoais sejam transferidos da Suíça, as SCCs incorporadas nos termos da Seção 14.2 aplicam-se com as seguintes modificações: (a) as referências ao GDPR são interpretadas como referências à Swiss Federal Act on Data Protection ("FADP") conforme aplicável; (b) as referências a "Estado-Membro" são interpretadas de modo a incluir a Suíça; (c) as referências à "autoridade de controle competente" são interpretadas como referências ao Swiss Federal Data Protection and Information Commissioner ("FDPIC"); e (d) as referências a "UE," "União" e "direito dos Estados-Membros" são interpretadas de modo a não excluir os titulares de dados suíços do exercício de seus direitos em seu local de residência habitual na Suíça.

14.5 Medidas Suplementares. A Saturday avaliou as leis e práticas dos Estados Unidos de acordo com as Recomendações 01/2020 do EDPB (versão 2.0, adotada em 18 de junho de 2021) sobre medidas que complementam as ferramentas de transferência para garantir o cumprimento do nível de proteção de dados pessoais da UE. A Saturday implementa as seguintes medidas suplementares:

  • Medidas técnicas: Criptografia dos Dados Pessoais em trânsito (TLS 1.3) e em repouso (AES-256); controles de acesso por documento; personificação limitada no tempo com registro de justificativa;
  • Medidas contratuais: Contratos de Suboperadores que exigem proteções equivalentes; compromisso de contestar solicitações de acesso governamentais na medida legalmente permitida; transparência quanto às solicitações de acesso governamentais recebidas (se houver e na medida legalmente permitida);
  • Medidas organizacionais: Restrições de acesso por necessidade de conhecimento; obrigações de confidencialidade para toda a equipe; revisões de segurança periódicas; procedimentos de resposta a incidentes.

14.6 Declaração do Cliente. O Cliente declara e garante que tem autoridade para transferir Dados Pessoais à Saturday, inclusive através de fronteiras internacionais, e que tais transferências são realizadas em conformidade com as leis de proteção de dados aplicáveis.

15. Devolução ou Eliminação de Dados Pessoais

15.1 De acordo com o Artigo 28(3)(g) do GDPR, após a rescisão ou expiração do Acordo, a Saturday, a critério e mediante solicitação por escrito do Cliente, deverá: (a) devolver todos os Dados Pessoais ao Cliente em um formato de uso comum e legível por máquina; ou (b) eliminar todos os Dados Pessoais e as cópias existentes. A Saturday concluirá tal devolução ou eliminação dentro de trinta (30) dias após o recebimento da solicitação por escrito do Cliente.

15.2 Se o Cliente não fornecer instruções dentro de trinta (30) dias após a rescisão ou expiração do Acordo, a Saturday eliminará todos os Dados Pessoais de acordo com a Seção 15.1(b).

15.3 Exceções. A Saturday poderá reter Dados Pessoais após a rescisão na medida exigida pela lei aplicável, incluindo:

  • Registros de faturamento: Retidos por sete (7) anos conforme exigido pelas regulamentações financeiras e fiscais aplicáveis;
  • Entradas do log de auditoria: Retidas conforme necessário para a declaração, o exercício ou a defesa de direitos em processos judiciais nos termos do Artigo 17(3)(e) do GDPR;
  • Dados exigidos por ordem judicial ou mandato regulatório.

A Saturday notificará o Cliente sobre qualquer exigência de retenção desse tipo e limitará o Tratamento dos dados retidos à finalidade legal específica para a qual a retenção é exigida.

15.4 Após a conclusão da devolução ou eliminação, a Saturday fornecerá ao Cliente uma certificação por escrito da eliminação, mediante solicitação por escrito.

15.5 Os dados que tenham sido anonimizados de modo que não constituam mais Dados Pessoais na acepção do GDPR podem ser retidos pela Saturday sem restrição.

16. Responsabilidade e Indenização

16.1 A responsabilidade de cada parte nos termos deste DPA está sujeita às exclusões e limitações de responsabilidade estabelecidas no Acordo, exceto que tais limitações não limitarão a responsabilidade de uma parte perante os Titulares dos Dados nos termos das SCCs ou da lei de proteção de dados aplicável quando tal limitação não for permitida.

16.2 Cada parte indenizará e isentará a outra parte de todas as reclamações, danos, perdas, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes de ou relacionados a qualquer reclamação de terceiros resultante do descumprimento deste DPA pela parte indenizadora.

16.3 A responsabilidade agregada da Saturday por todas as reclamações decorrentes deste DPA, seja contratual, extracontratual ou de outra natureza, não excederá o total das taxas pagas pelo Cliente à Saturday nos termos do Acordo nos doze (12) meses imediatamente anteriores ao evento que deu origem à reclamação. Esta limitação não se aplica a: (a) a responsabilidade da Saturday nos termos das SCCs; (b) as obrigações de indenização da Saturday nos termos da Seção 16.2 na medida em que decorram de conduta dolosa ou negligência grave da Saturday; ou (c) multas regulatórias impostas diretamente ao Cliente por uma Autoridade de Controle, que permanecem de responsabilidade exclusiva do Cliente.

17. Vigência e Rescisão

17.1 Este DPA entra em vigor a partir da data de sua assinatura e permanecerá em vigor durante a vigência da assinatura do Cliente ao Coach Portal nos termos do Acordo.

17.2 Qualquer das partes pode rescindir este DPA por descumprimento material mediante aviso por escrito de trinta (30) dias à outra parte, desde que à parte infratora tenha sido dada a oportunidade de sanar o descumprimento dentro de tal prazo de aviso.

17.3 A rescisão do Acordo (incluindo a rescisão da assinatura do Cliente ao Coach Portal) rescindirá automaticamente este DPA.

17.4 As seguintes Seções sobrevivem à rescisão ou expiração deste DPA: Seção 1 (Definições), Seção 8 (Confidencialidade), Seção 11 (Notificação de Violação de Dados Pessoais), Seção 13 (Direitos de Auditoria, por um período de doze meses após a rescisão), Seção 14 (Transferências Internacionais de Dados, na medida em que os Dados Pessoais permaneçam em posse da Saturday), Seção 15 (Devolução ou Eliminação de Dados Pessoais), Seção 16 (Responsabilidade e Indenização) e Seção 22 (Lei Aplicável).

18. Assinatura

18.1 Este DPA pode ser assinado em vias, cada uma das quais será considerada um original e todas as quais, em conjunto, constituirão um único e mesmo instrumento.

18.2 As assinaturas eletrônicas (incluindo as fornecidas por meio do DocuSign ou serviços de assinatura eletrônica equivalentes) terão a mesma força e o mesmo efeito legal que as assinaturas manuscritas originais.

18.3 Para obter uma cópia assinada deste DPA, entre em contato com a Saturday em alex@saturdaymorning.fit. A assinatura eletrônica via DocuSign está disponível mediante solicitação.

Anexo 1: Descrição do Tratamento

Este Anexo faz parte deste DPA e satisfaz os requisitos do Anexo I das Cláusulas Contratuais Padrão (Módulo 2: Controlador para Operador).

A. Lista de Partes

Função Parte Detalhes
Exportador de Dados (Controlador) Cliente Conforme identificado na página de assinatura. Atividades relevantes para a transferência: uso do Saturday Coach Portal para gerenciar relações com atletas, visualizar dados de conformidade e processar faturamento.
Importador de Dados (Operador) Saturday Inc. 8 The Green, STE A, Dover, DE 19901, Estados Unidos. Contato: alex@saturdaymorning.fit. Atividades relevantes para a transferência: prestação da plataforma SaaS do Coach Portal.

B. Descrição da Transferência

Campo Descrição
Categorias de Titulares dos Dados Atletas (usuários finais do aplicativo Saturday); treinadores (profissionais de treinamento individuais); membros da organização (administradores, treinadores assistentes, administradores de faturamento, treinadores principais, treinadores somente leitura); equipe da Saturday (ao exercer a personificação).
Categorias de Dados Pessoais Dados de identidade (nome de exibição, e-mail, Firebase UID); dados de relação (vínculos treinador-atleta, participação na organização, funções, registros de consentimento); dados de conformidade (recência de atividade, contagem de atividades); dados de atividade (tipo de esporte, duração, data); dados de faturamento (valores de cobrança, termos do acordo, status do pagamento, identificadores do Stripe); dados de auditoria (ações administrativas, eventos de personificação, endereços IP, agentes de usuário, carimbos de data/hora); dados de organização (nome, hierarquia, lista de membros, funções).
Categorias Especiais de Dados Pessoais Dados de saúde: os dados de atividade dos atletas (tipo de esporte, duração e métricas de conformidade) podem constituir dados relativos à saúde nos termos do Artigo 9 do GDPR. Restrições e salvaguardas aplicadas: controles de acesso ao banco de dados por documento, acesso baseado em funções, criptografia em repouso e em trânsito, compartilhamento de dados baseado em consentimento.
Frequência da Transferência Contínua, durante a vigência do Acordo.
Natureza do Tratamento Coleta, armazenamento, estruturação, recuperação, consulta, uso, divulgação por transmissão, alinhamento, combinação, restrição, eliminação e destruição.
Finalidade do Tratamento Prestação do serviço Coach Portal: gestão da lista de atletas, monitoramento de conformidade, operações de faturamento via Stripe Connect, análises organizacionais, registro de auditoria, personificação administrativa para fins de suporte e comunicações transacionais.
Período de Retenção Conforme especificado na Seção 5 (Categorias de Dados) deste DPA: dados de identidade e dados de atividade durante a duração da conta mais 30 dias; dados de relação e organização durante a duração mais 90 dias; dados de faturamento por 7 anos; dados de auditoria indefinidamente (base do Artigo 17(3)(e)); dados de conformidade calculados em tempo real e não armazenados de forma persistente.

C. Autoridade de Controle Competente

A autoridade de controle competente será determinada de acordo com a Cláusula 13 das SCCs. Quando o Exportador de Dados estiver estabelecido em um Estado-Membro da UE, a autoridade de controle desse Estado-Membro será a autoridade competente. Quando o Exportador de Dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do âmbito territorial do GDPR nos termos do Artigo 3(2), a autoridade de controle do Estado-Membro designado pelo Exportador de Dados na página de assinatura será a autoridade competente. Na ausência de tal designação, a Irish Data Protection Commission atuará como a autoridade de controle competente.

Anexo 2: Lista de Suboperadores

Este Anexo faz parte deste DPA e satisfaz os requisitos do Anexo III das Cláusulas Contratuais Padrão (Módulo 2: Controlador para Operador).

Suboperador Endereço Descrição do Tratamento Localização
Google LLC (Google Cloud Platform, Firebase, Firestore, Cloud Functions, Cloud Secret Manager) 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos Infraestrutura em nuvem: armazenamento de dados (Firestore), autenticação de usuários (Firebase Auth), computação sem servidor (Cloud Functions), gestão de segredos (Cloud Secret Manager) e hospedagem. Estados Unidos (us-central1)
Stripe, Inc. 354 Oyster Point Blvd, South San Francisco, CA 94080, Estados Unidos Processamento de pagamentos: Stripe Connect para faturamento treinador-atleta, gestão de assinaturas, registro de cobranças, processamento de reembolsos e verificação de identidade (KYC) de treinadores. Estados Unidos
Sendinblue SAS (d/b/a Brevo) 106 boulevard Haussmann, 75008 Paris, França E-mail transacional: notificações de convite de treinadores, notificações de eventos de personificação e comunicações geradas pelo sistema. União Europeia (França)
Klaviyo, Inc. 125 Summer Street, Boston, MA 02110, Estados Unidos E-mail de marketing: comunicações de ciclo de vida do treinador, entrega de códigos de resgate e sequências de e-mails de integração. Estados Unidos
Cloudflare, Inc. 101 Townsend Street, San Francisco, CA 94107, Estados Unidos Entrega de conteúdo, resolução de DNS, proteção contra DDoS e hospedagem de borda do aplicativo frontend do Coach Portal. Rede de borda global

Anexo 3: Medidas Técnicas e Organizacionais

Este Anexo faz parte deste DPA e satisfaz os requisitos do Anexo II das Cláusulas Contratuais Padrão (Módulo 2: Controlador para Operador). As medidas a seguir descrevem as medidas de segurança técnicas e organizacionais implementadas pela Saturday (Importador de Dados).

Criptografia dos Dados Pessoais

  • Todos os dados em trânsito são criptografados usando TLS 1.3.
  • Todos os dados em repouso são criptografados usando AES-256 por meio da criptografia padrão do Google Cloud Platform. O Google gerencia as chaves de criptografia de acordo com o Key Management Service do Google.

Confidencialidade, Integridade, Disponibilidade e Resiliência

  • As Firestore Security Rules impõem controle de acesso por documento, limitando o acesso do treinador aos atletas dentro da lista ativa do treinador.
  • Nove (9) funções definidas e vinte e três (23) permissões distintas regem o acesso em nível de aplicativo.
  • O Google Cloud Platform fornece capacidades de redundância, backup e recuperação de desastres em nível de infraestrutura.
  • A Saturday mantém procedimentos de resposta a incidentes para a identificação e remediação oportunas de interrupções de disponibilidade.

Capacidade de Restaurar a Disponibilidade e o Acesso

  • A Saturday baseia-se nos mecanismos de backup e recuperação em nível de infraestrutura do Google Cloud Platform, incluindo a replicação automática do Firestore em múltiplas zonas de disponibilidade.

Testes e Avaliações Regulares

  • A Saturday realiza revisões de segurança anuais de suas medidas técnicas e organizacionais.
  • A Saturday realiza avaliações periódicas de vulnerabilidades da infraestrutura do Coach Portal.
  • A Saturday testa seus procedimentos de resposta a incidentes para garantir a prontidão para cenários de Violação de Dados Pessoais.

Identificação e Autorização de Usuários

  • A autenticação é gerenciada por meio do Firebase Authentication, com suporte a login por e-mail/senha e baseado em OAuth.
  • A autenticação multifator (MFA) está disponível e é imponível por organização para clientes do nível Enterprise, com períodos de carência configuráveis e métodos permitidos (TOTP, SMS).
  • O middleware da API impõe permissões baseadas em funções em cada endpoint, retornando HTTP 403 para tentativas de acesso não autorizadas.
  • A gestão de sessões inclui a enumeração de sessões, a revogação de sessões individuais e a revogação de todas as demais sessões.

Proteção de Dados Durante a Transmissão e o Armazenamento

  • Criptografia TLS 1.3 para todo o tráfego de API e web entre os clientes e os serviços da Saturday.
  • Criptografia AES-256 em repouso para todas as coleções do Firestore, objetos do Cloud Storage e outros serviços de armazenamento do GCP.
  • O Stripe trata os dados de cartões de pagamento em uma infraestrutura em conformidade com o PCI-DSS; a Saturday não armazena, trata nem transmite dados do titular do cartão.

Segurança Física dos Locais de Tratamento

  • Todos os Dados Pessoais são armazenados em data centers do Google Cloud Platform. O Google mantém controles de segurança física certificados SOC 2 Type II e ISO 27001, incluindo restrições de acesso, vigilância e controles ambientais.

Registro de Eventos

  • A Saturday mantém um log de auditoria somente de acréscimo registrando todas as ações administrativas (mais de 40 tipos de ações definidas), eventos de personificação (com justificativa), identidade do ator, alvo, instantâneos do estado anterior/posterior, endereço IP, agente de usuário e carimbos de data/hora.
  • As entradas do log de auditoria nunca são atualizadas ou excluídas.
  • O Google Cloud Logging captura todos os logs estruturados, incluindo eventos em nível de aplicativo e de infraestrutura.

Minimização de Dados

  • Os indicadores de conformidade (recência de atividade, contagem de atividades) são calculados em tempo real e não são armazenados de forma persistente.
  • Os treinadores não podem acessar os tokens de integração dos atletas (credenciais OAuth para serviços de terceiros como TrainingPeaks e Intervals.icu), dados biométricos brutos, prescrições de saúde detalhadas ou credenciais de pagamento.

Retenção e Eliminação de Dados

  • Os períodos de retenção são especificados por categoria de dados na Seção 5 deste DPA.
  • A eliminação da conta aciona a remoção imediata do acesso e uma purga de dados em 30 dias.
  • A revogação da relação por um atleta encerra imediatamente o acesso do treinador por meio das Firestore Security Rules, com os registros históricos retidos de acordo com o período de retenção aplicável.

Responsabilização

  • A Saturday mantém este DPA, a Política de Privacidade do Coach e os Coach Terms of Service como registros documentados de seus compromissos de proteção de dados.
  • O fluxo de aceitação dos Terms of Service da Saturday registra a aceitação, por cada usuário, da versão atual dos ToS, incluindo carimbo de data/hora, endereço IP e agente de usuário.

Segurança dos Suboperadores

  • Cada Suboperador está contratualmente vinculado a obrigações de proteção de dados substancialmente equivalentes às deste DPA.
  • O Google Cloud Platform mantém certificações SOC 2 Type II, ISO 27001 e ISO 27017.
  • O Stripe mantém a certificação PCI-DSS Level 1 e relatórios SOC 2 Type II.
  • A Brevo mantém uma infraestrutura em conformidade com o GDPR dentro da União Europeia.
  • A Cloudflare mantém certificações SOC 2 Type II e ISO 27001.

19. Disposições Gerais

19.1 Acordo Integral. Este DPA, em conjunto com o Acordo, constitui o acordo integral entre as partes no que diz respeito ao Tratamento de Dados Pessoais e substitui todos os acordos, entendimentos ou declarações anteriores ou contemporâneos relativos ao mesmo objeto.

19.2 Alterações. Este DPA somente pode ser alterado por instrumento por escrito assinado por ambas as partes. Não obstante o acima exposto, a Saturday pode atualizar as medidas técnicas e organizacionais descritas na Seção 7 e no Anexo 3 de tempos em tempos, desde que tais atualizações não diminuam materialmente o nível geral de proteção concedido aos Dados Pessoais.

19.3 Independência das Disposições. Se qualquer disposição deste DPA for considerada inválida ou inexequível, as disposições restantes permanecerão em pleno vigor e efeito.

19.4 Ausência de Terceiros Beneficiários. Este DPA é em benefício das partes e de seus respectivos sucessores e cessionários autorizados apenas, exceto que os Titulares dos Dados são terceiros beneficiários das SCCs conforme incorporadas a este DPA.

19.5 Notificações. Todas as notificações nos termos deste DPA serão feitas por escrito e enviadas aos endereços especificados no Acordo ou, no caso da Saturday, para alex@saturdaymorning.fit.

20. Cooperação com as Autoridades de Controle

20.1 A Saturday cooperará, mediante solicitação, com a Autoridade de Controle competente no desempenho de suas funções, de acordo com o Artigo 31 do GDPR.

20.2 A Saturday informará prontamente o Cliente caso receba uma consulta, reclamação ou investigação de uma Autoridade de Controle relacionada ao Tratamento de Dados Pessoais nos termos deste DPA.

21. Relação com o Acordo

21.1 Nada neste DPA reduz as obrigações da Saturday nos termos do Acordo no que diz respeito à proteção de Dados Pessoais nem permite que a Saturday Trate Dados Pessoais de uma maneira que não seria permitida nos termos do Acordo.

21.2 Exceto pelas alterações feitas por este DPA, o Acordo permanece inalterado e em pleno vigor e efeito.

22. Lei Aplicável

22.1 Este DPA e quaisquer obrigações não contratuais decorrentes de ou relacionadas a ele serão regidos e interpretados de acordo com as leis do Estado de Delaware, Estados Unidos, sem considerar suas disposições sobre conflito de leis.

22.2 Não obstante a Seção 22.1, na medida exigida pelas SCCs, as SCCs serão regidas e interpretadas de acordo com a lei especificada na Cláusula 17 das SCCs (a lei da Irlanda), e os litígios decorrentes das SCCs serão resolvidos perante os tribunais especificados na Cláusula 18 das SCCs (os tribunais da Irlanda).

22.3 Na medida exigida pelo UK Addendum, o UK Addendum será regido e interpretado de acordo com as leis da Inglaterra e do País de Gales.

Contato

Para solicitações de DPA, assinatura ou consultas sobre proteção de dados:
Saturday Inc.
8 The Green, STE A, Dover, DE 19901
alex@saturdaymorning.fit

© 2026 Saturday Inc. — Todos os direitos reservados.