Pular para o conteúdo principal
OpenAI

Updated: 1 de dezembro de 2025

Adendo de Processamento de Dados da OpenAI

Baixar PDF(abre em uma nova janela)

Vigente a partir de: 1º de janeiro de 2026

(Ver adendo anterior sobre processamento de dados)

Este Adendo de Processamento de Dados da OpenAI (“DPA”) complementa e está incorporado ao Contrato de Serviços da OpenAI (“Contrato”) que rege o uso dos Serviços e é celebrado a partir da Data de Vigência entre o cliente identificado acima (“Cliente”) e a OpenAI OpCo, LLC, em seu nome e em nome de suas Afiliadas, conforme o caso, a menos que o Cliente esteja localizado em um país do Espaço Econômico Europeu ou na Suíça, caso em que será celebrado com a OpenAI Ireland Ltd., em seu nome e em nome de suas Afiliadas, conforme o caso (“OpenAI”). Os termos em maiúsculas não definidos no DPA têm os significados atribuídos no Acordo. Neste DPA, a OpenAI e o Cliente são referidos individualmente como uma “Parte” e coletivamente como as “Partes”. O Cliente declara que tem capacidade legal para celebrar este Contrato e, caso o esteja celebrando em nome de uma entidade, que possui autoridade legal para vincular essa entidade. Ao clicar em “Concordo”, aceitar o Formulário de Pedido ou utilizar os Serviços, o Cliente concorda com este Contrato.

1. Detalhes.

  • 1.1 Escopo e Funções. Como parte da prestação dos Serviços ao Cliente nos termos do Contrato, a OpenAI poderá Processar Dados do Cliente em nome do Cliente. A OpenAI atua como Processadora de Dados em nome do Cliente, e este DPA rege esse Processamento.
  • 1.2 Detalhes do Processamento. A OpenAI processará os Dados do Cliente apenas para fins de prestação dos Serviços ao Cliente, de acordo com o Contrato e este DPA. Os detalhes relativos à natureza, duração, bem como aos tipos de Dados do Cliente e categorias de Titulares dos Dados envolvidos, estão definidos no Anexo 1 (Detalhes do Processamento) desta DPA. A OpenAI e o Cliente concordam em cumprir suas respectivas obrigações de acordo com as Leis de Proteção de Dados em relação aos Serviços.

2. Obrigações da OpenAI.

  • 2.1 Instruções ao Cliente. As Partes concordam que este DPA, o Contrato (incluindo o Formulário de Pedido) e quaisquer instruções fornecidas por meio das ferramentas de configuração e outras ferramentas disponibilizadas pela OpenAI nos Serviços constituem instruções documentadas do Cliente em relação ao processamento dos Dados do Cliente pela OpenAI (“Instruções do Cliente”). A OpenAI processará os Dados do Cliente somente de acordo com as Instruções do Cliente, a menos que seja obrigada a fazê-lo pela legislação aplicável à qual a OpenAI está sujeita, caso em que a OpenAI informará o Cliente sobre essa exigência antes do processamento, a menos que seja legalmente proibida de fazê-lo.
  • 2.2 Avisos ao cliente. A OpenAI informará imediatamente o Cliente por escrito se, na opinião da OpenAI, uma Instrução do Cliente violar as Leis de Proteção de Dados. A OpenAI, na medida em que a lei o permita, informará o Cliente caso receba uma solicitação legalmente vinculativa para a divulgação de Dados do Cliente por parte de uma autoridade policial.
  • 2.3 Confidencialidade. A OpenAI garantirá que todas as pessoas autorizadas pela OpenAI a processar os Dados do Cliente se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal apropriada de confidencialidade.
  • 2.4 Solicitações do titular dos dados. A OpenAI, na medida em que for legalmente permitido, informará o Cliente caso receba uma solicitação para exercer os direitos do titular dos dados de acordo com as Leis de Proteção de Dados (“Solicitação do Titular dos Dados”) em relação aos Dados do Cliente.  A OpenAI não responderá a nenhuma solicitação desse tipo sem a autorização prévia por escrito do Cliente, exceto nos casos em que o Cliente autoriza a OpenAI a redirecionar as Solicitações do Titular dos Dados conforme necessário para permitir que o Cliente responda diretamente. Considerando a natureza do processamento, a OpenAI auxiliará o Cliente implementando medidas técnicas e organizacionais adequadas, na medida do possível, para permitir que o Cliente responda às solicitações dos titulares dos dados.
  • 2.5 Segurança. A OpenAI implementará e manterá medidas de segurança organizacionais e técnicas razoáveis e adequadas para proteger os Dados do Cliente, conforme estabelecido no Contrato.
  • 2.6 Assistência ao Cliente. Levando em consideração a natureza do processamento e as informações disponíveis, a OpenAI fornecerá assistência razoável ao Cliente para ajudá-lo a cumprir suas obrigações de acordo com as Leis de Proteção de Dados, incluindo, quando apropriado, a elaboração de avaliações de impacto sobre a proteção de dados em relação ao processamento dos Dados do Cliente pela OpenAI e, quando necessário, a consulta do Cliente a uma autoridade supervisora com jurisdição sobre tal processamento, caso essa consulta seja exigida pelas Leis de Proteção de Dados.
  • 2.7 Violações de dados pessoais. A OpenAI notificará o Cliente sem demora indevida após tomar conhecimento de qualquer Violação de Dados Pessoais. A OpenAI fornecerá assistência razoável ao Cliente para ajudá-lo a cumprir suas obrigações sob as Leis de Proteção de Dados em relação a tal Violação de Dados Pessoais.
  • 2.8 Avaliação da Conformidade. A OpenAI, mediante solicitação razoável por escrito do Cliente e na medida exigida pelas Leis de Proteção de Dados: (i) no máximo uma vez por ano, fornecerá ao Cliente as políticas de privacidade e segurança da OpenAI e outras informações necessárias para demonstrar a conformidade com as obrigações da OpenAI nos termos deste DPA; e (ii) desde que as Partes tenham um acordo de confidencialidade apropriado em vigor, permitirá e contribuirá para auditorias ou inspeções realizadas pelo Cliente ou em seu nome, às custas exclusivas do Cliente.  Essa auditoria ou inspeção deve ser: (A) conduzida de maneira que cause o mínimo de interrupção possível aos negócios da OpenAI; (B) necessária para confirmar que a OpenAI está processando os Dados do Cliente de maneira consistente com este DPA; e (C) ocorrer no máximo uma vez por ano. Nos casos permitidos pelas leis de proteção de dados, a OpenAI poderá disponibilizar ao Cliente um resumo dos Relatórios de Auditoria relevantes para a conformidade da OpenAI com este DPA. Tais resultados e documentação, incluindo os resultados de quaisquer auditorias ou inspeções, serão considerados Informações Confidenciais da OpenAI.
  • 2.9 Contratação de Subprocessadores. O Cliente, por meio deste, concede à OpenAI uma autorização geral para contratar os Subprocessadores listados na Lista de Subprocessadores para processar os Dados do Cliente em conexão com os Serviços. A OpenAI notificará o Cliente sobre quaisquer alterações na Lista de Subprocessadores por meio de publicação em blog, notificação nos Serviços ou outros meios razoáveis, ou por e-mail, caso o Cliente esteja inscrito para receber notificações por e-mail no site da Lista de Subprocessadores. O Cliente poderá opor-se à utilização de tal Subprocessador adicional no prazo de 30 dias a contar da data de receção da notificação da alteração, seguindo as instruções constantes da Lista de Subprocessadores ou contactando privacy@openai.com. Nesse caso, a OpenAI trabalhará com o Cliente para abordar suas preocupações e oferecer alternativas ou soluções comercialmente viáveis. Caso nenhuma das alternativas ou soluções seja comercialmente viável, a critério razoável da OpenAI, ou se as objeções não forem resolvidas a contento das Partes dentro de 30 dias após o recebimento da notificação de objeção do Cliente pela OpenAI, qualquer uma das Partes poderá rescindir o Contrato ou quaisquer Formulários de Pedido ou usos relativos aos Serviços que não puderem ser prestados sem a utilização do novo Subprocessador. Nesse caso, o Cliente receberá o reembolso de quaisquer taxas pré-pagas aplicáveis, na medida em que cubram períodos ou prazos posteriores à data da rescisão.
  • 2.10 Obrigações do subprocessador. A OpenAI celebrará contratos com cada Subprocessador que lhes imponham obrigações comparáveis às impostas à OpenAI ao abrigo deste DPA. Sujeito às limitações de responsabilidade incluídas no Contrato, a OpenAI permanecerá responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que a OpenAI seria responsável sob este DPA se ela própria tivesse praticado tais atos ou omissões.
  • 2.11 Devolução ou Exclusão de Dados. Após o término ou rescisão do Contrato, a OpenAI, mediante instrução do Cliente, devolverá ou excluirá os Dados do Cliente e as cópias existentes, a menos que a retenção dos Dados do Cliente seja exigida pelas leis aplicáveis, caso em que a OpenAI os isolará e protegerá de qualquer processamento adicional, exceto na medida exigida pelas leis aplicáveis.

3. Obrigações do Cliente.

  • 3.1 Notificações e autorizações. O Cliente declara, garante e se compromete a fornecer todos os avisos necessários e a possuir e manter, durante toda a Vigência, todos os direitos, consentimentos e autorizações necessários, na medida exigida pelas Leis de Proteção de Dados, para fornecer os Dados do Cliente à OpenAI e para autorizar a OpenAI a processar os Dados do Cliente em conexão com o Contrato, incluindo este DPA.
  • 3.2 Cooperação. O Cliente deverá cooperar de forma razoável com a OpenAI para auxiliá-la no cumprimento de quaisquer de suas obrigações nos termos das leis de proteção de dados aplicáveis.
  • 3.3 Configurações. Sem prejuízo das obrigações de segurança da OpenAI na Seção 2.5 deste DPA, o Cliente reconhece e concorda que é responsável por certas configurações e decisões de design dos Serviços e pela implementação de tais configurações e decisões de design (por exemplo, períodos de retenção, exclusão, etc.) de maneira que esteja em conformidade com as Leis de Proteção de Dados aplicáveis.

4. Transferências Internacionais de Dados.

  • 4.1 Dados do EEE e da Suíça. Os dados do cliente processados pela OpenAI ao abrigo deste DPA podem estar sujeitos às leis de proteção de dados do Espaço Económico Europeu ou da Suíça (“Dados do EEE e da Suíça”). Independentemente da Parte contratante aplicável da OpenAI nos termos deste DPA, o Cliente instrui a OpenAI Ireland Limited a processar quaisquer Dados do EEE e da Suíça em conformidade com este DPA. Na medida em que a OpenAI Ireland Limited transfira dados do EEE e da Suíça para outras afiliadas da OpenAI ou terceiros fora do Espaço Econômico Europeu ou da Suíça para fornecer os Serviços, fará isso com base em contratos que contenham Cláusulas Contratuais Padrão (SCCs) que garantam a existência de salvaguardas adequadas para a proteção dos Dados do Cliente ou em uma decisão de adequação emitida pela Comissão Europeia nos termos do Artigo 45 do RGPD.
  • 4.2 Dados do Reino Unido. Os dados do cliente processados pela OpenAI ao abrigo deste DPA podem estar sujeitos às leis de proteção de dados do Reino Unido (“Dados do Reino Unido”). Independentemente da Parte contratante aplicável da OpenAI nos termos deste DPA, o Cliente instrui a OpenAI OpCo, LLC a processar quaisquer Dados do Reino Unido em conformidade com este DPA e com as Cláusulas Contratuais Padrão (SCCs), conforme alteradas pelo Adendo do Reino Unido, que são consideradas celebradas (e incorporadas a este DPA por esta referência) e concluídas conforme descrito no Anexo 1.

5. Requisitos adicionais.

Na medida em que as leis de privacidade dos EUA se aplicam:

  • 5.1 A OpenAI concorda em (a) não fornecer ao Cliente compensação monetária ou outra compensação valiosa em troca de Dados do Cliente. As partes reconhecem e concordam que o Cliente não “vendeu” (conforme definido pelas Leis de Privacidade dos EUA) Dados do Cliente para a OpenAI; (b) não “venderá” (conforme definido pelas Leis de Privacidade dos EUA) ou “compartilhará” (conforme definido pela CCPA) Dados Pessoais; (c) na medida em que o Cliente permitir ou instruir a OpenAI a processar Dados do Cliente sujeitos às Leis de Privacidade dos EUA de forma anonimizada como parte dos Serviços, a OpenAI deverá (i) adotar medidas razoáveis para impedir que tais dados anonimizados sejam usados para inferir informações sobre, ou de outra forma vinculados a, uma pessoa física ou domicílio específico; (ii) comprometer-se publicamente a manter e usar tais dados anonimizados nesse formato e não tentar reidentificar as informações, exceto conforme permitido pelas Leis de Privacidade dos EUA; e (iii) antes de compartilhar dados anonimizados com qualquer outra parte, incluindo Subprocessadores, obrigar contratualmente tais destinatários a cumprir os requisitos desta disposição (c)(i)-(iii); e (d) quando os Dados do Cliente estiverem sujeitos à CCPA (i) não reter, usar, divulgar ou processar os Dados do Cliente, exceto conforme necessário para os fins comerciais especificados no Contrato, incluindo, sem limitação, conforme estabelecido no Anexo 1 deste DPA; (ii) não reter, usar, divulgar ou processar os Dados do Cliente de qualquer maneira fora do relacionamento comercial direto entre a OpenAI e o Cliente; (iii) não combinar quaisquer Dados do Cliente com Dados Pessoais que a OpenAI receba de ou em nome de terceiros ou colete das próprias interações da OpenAI com indivíduos, desde que a OpenAI possa combinar os Dados do Cliente para uma finalidade permitida pela CCPA se instruída a fazê-lo pelo Cliente ou conforme permitido pela CCPA; (iv) notificar o Cliente sem demora indevida se a OpenAI determinar que não pode mais cumprir suas obrigações sob a CCPA; e (v) se o Cliente acreditar razoavelmente que o Processamento de Dados do Cliente pela OpenAI não é consistente com os requisitos da CCPA e mediante notificação razoável do Cliente à OpenAI, as Partes trabalharão juntas de boa fé para remediar o problema ou, se após trabalharem juntas o Cliente determinar razoavelmente que o problema não pode ser remediado, a OpenAI interromperá o Processamento dos Dados do Cliente afetados mediante instrução por escrito do Cliente.
  • 5.2 O Cliente concorda em não tomar nenhuma ação que (a) torne o fornecimento de Dados do Cliente à OpenAI uma “venda” sob as Leis de Privacidade dos EUA ou uma “partilha” sob a CCPA (ou conceitos equivalentes sob as Leis de Privacidade dos EUA); ou (ii) faça com que a OpenAI não seja um “provedor de serviços” sob a CCPA ou um “processador” sob as Leis de Privacidade dos EUA.

6. Definições.

Dados do Cliente” significa Dados Pessoais processados pela OpenAI em nome do Cliente para fornecer os Serviços.

Controlador de Dados” tem o significado atribuído ao termo “controlador” (ou outro termo análogo) nas Leis de Proteção de Dados.

Processador de Dados” tem o significado atribuído ao termo “processador” (ou outro termo análogo) pelas Leis de Proteção de Dados.

Leis de Proteção de Dados” significa as leis de privacidade e proteção de dados aplicáveis ao processamento de Dados do Cliente pela OpenAI em conexão com os Serviços. 

Titular dos dados” tem o significado atribuído ao termo “titular dos dados” (ou outro termo análogo) nas leis de proteção de dados.

RGPD” significa Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Dados pessoais” tem o significado atribuído ao termo “dados pessoais” ou “informações pessoais” (ou outro termo análogo) nas leis de proteção de dados.

Violação de Dados Pessoais” significa uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados do Cliente armazenados, transmitidos ou processados de qualquer outra forma pela OpenAI, seus Subprocessadores ou quaisquer terceiros que atuem em nome da OpenAI.

Processamento” tem o significado atribuído ao termo “processamento” (ou outro termo análogo) pelas Leis de Proteção de Dados.

SCCs” significa as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, adotadas pela Comissão Europeia em 4 de junho de 2021 (e que podem ser alteradas, atualizadas ou substituídas periodicamente).

Subprocessadores” significa os subprocessadores contratados pela OpenAI para processar os Dados do Cliente em conexão com os Serviços, listados na Lista de Subprocessadores.

Lista de Subprocessadores” significa a lista disponível no seguinte endereço : https://platform.openai.com/subprocessors(abre em uma nova janela).

Adendo do Reino Unido” significa o adendo do Reino Unido às Cláusulas Contratuais Padrão da UE emitido pelo Comissário de Informação ao abrigo da secção 119A(1) da Lei de Proteção de Dados de 2018.

Leis de Privacidade dos EUA” significa o subconjunto de Leis de Proteção de Dados aplicáveis aos residentes dos Estados Unidos, incluindo, sem limitação, a Lei de Privacidade do Consumidor da Califórnia (“CCPA”).

Cronograma 1

Detalhes do Processamento

1. Natureza e Propósito:

A prestação dos Serviços nos termos do Contrato.

2. Duração:

O Prazo e o tempo necessário subsequente para que as Partes cumpram suas obrigações aplicáveis após o término do Prazo, incluindo a exclusão de dados.

3. Categorias de Dados do Cliente:

O Cliente poderá submeter Dados Pessoais aos Serviços, cujas categorias dependerão do uso que o Cliente fizer dos Serviços, o qual será determinado e controlado pelo Cliente a seu exclusivo critério, podendo incluir, entre outros, nomes, informações de contato, informações demográficas ou quaisquer outras informações fornecidas pelos Usuários Finais do Cliente em dados não estruturados.

4. Categorias de sujeitos de dados:

Os titulares dos dados podem incluir, entre outros, funcionários, clientes, fornecedores e, em geral, usuários finais do Cliente.

5. Transferência de dados sensíveis (se aplicável):

Os dados sensíveis são transferidos (se aplicável) e são aplicadas restrições ou salvaguardas que levam plenamente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação rigorosa da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham recebido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.

Não se pretende transferir dados sensíveis, a menos que o utilizador os inclua inesperadamente em dados não estruturados.

6. Frequência:

A frequência da transferência (por exemplo) se os dados são transferidos de forma pontual ou contínua).

De forma contínua, dependendo da utilização dos Serviços pelo Cliente.

7. Transferências para subprocessadores:

Conforme o Artigo 2.9 da DPA, os Subprocessadores processarão os Dados do Cliente conforme necessário para a prestação dos Serviços. Esse processamento ocorrerá durante a vigência do Contrato, salvo acordo em contrário por escrito.

8. Informações sobre as Cláusulas Contratuais Padrão (SCCs) para a transferência de dados do Reino Unido, conforme a Seção 4.2:

  • 8.1 O Módulo Dois (Controlador para Processador) das Cláusulas Contratuais Padrão (SCCs) se aplica quando o Cliente é um Controlador de Dados e a OpenAI está processando os Dados do Cliente como um Processador de Dados. O Módulo Três (Processador para Subprocessador) das Cláusulas Contratuais Padrão (SCCs) se aplica quando o Cliente é um Processador de Dados e a OpenAI está processando os Dados do Cliente como um subprocessador.
  • 8.2 Para cada módulo das Cláusulas Contratuais Padrão (SCCs), quando aplicável, aplica-se o seguinte: (i) A cláusula de ancoragem opcional na Cláusula 7 não se aplica; (ii) Na Cláusula 9, aplica-se a Opção 2 (autorização geral por escrito), e o prazo mínimo para notificação prévia de alterações de subcontratados será o estabelecido na Seção 2.9 do DPA; (iii) Na Cláusula 11, a linguagem opcional não se aplica; (iv) Todos os colchetes na Cláusula 13 são removidos; (v) Na Cláusula 17 (Opção 1), as SCCs serão regidas pelas leis da Inglaterra e do País de Gales; (vi) Na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Inglaterra e do País de Gales; (vii) Este Anexo 1 contém as informações exigidas no Anexo I e no Anexo III das SCCs; (viii) A Secção 2.5 (Segurança) da DPA contém as informações exigidas no Anexo II das SCCs, (ix) a autoridade supervisora competente é o Gabinete do Comissário de Informação (“ICO”).
  • 8.3 Exportador(es) de dados: o Cliente nos termos do Contrato; Importador(es) de dados: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Encarregado da Proteção de Dados, privacy@openai.com.

Firmar Acordo de Processamento de Dados(abre em uma nova janela)