Pular para o conteúdo principal

DPA — Acordo de Processamento de Dados

Referencia de seguranca: Politica de Seguranca da Informacao.

Versão: {{VERSAO}}
Data: {{DATA_VIGENCIA}}
Base legal: LGPD art. 37 — obrigações do operador de dados
Partes: Controlador (cliente/parceiro) e {{EMPRESA}} (Operadora)


1. Partes

Controlador: identificado no contrato principal de prestação de serviços — responsável por determinar as finalidades e os meios do tratamento de dados pessoais.

Operadora: {{RAZAO_SOCIAL}} (CNPJ {{CNPJ}}) — trata dados pessoais em nome do Controlador, nos limites deste acordo.


2. Objeto e duração

Este DPA rege o tratamento de dados pessoais realizado pela {{EMPRESA}} em nome do Controlador no contexto dos serviços contratados.

Vigência: enquanto vigorar o contrato principal. Ao encerramento, aplica-se a seção 11.


3. Natureza, finalidade e escopo

3.1 Finalidade

O tratamento se limita ao estritamente necessário para:

  • Executar os serviços contratados
  • Fornecer suporte técnico e operacional
  • Gerar relatórios e indicadores conforme configurado
  • Cumprir obrigações legais aplicáveis

3.2 Tipos de dados pessoais tratados

Preencher conforme os dados realmente tratados no contexto do serviço:

CategoriaExemplosMódulo/Serviço
Identificação e contatoNome, e-mail, telefone, CPF quando aplicávelCadastro, suporte e relacionamento
ProfissionalCargo, departamento, organização vinculadaImplantação, treinamento e suporte
Uso de sistemasLogs de autenticação, perfil de acesso, histórico de atendimentoSuporte técnico e segurança
Dados operacionais do clienteDados inseridos pelo Controlador nos sistemas suportadosImplantação, suporte e treinamento
AcessoLogs de autenticação e trilhas de auditoriaTodos os serviços contratados
[Adicionar conforme escopo]

3.3 Categorias de titulares

Selecionar as aplicáveis:

  • Colaboradores do Controlador
  • Usuários da plataforma designados pelo Controlador
  • Clientes finais do Controlador
  • Outros: [especificar]

4. Obrigações da {{EMPRESA}} (Operadora)

4.1 Instrução documentada

Tratar dados apenas conforme instruções documentadas do Controlador. Em caso de obrigação legal contrária, notificar o Controlador previamente quando permitido por lei.

4.2 Confidencialidade

Garantir que todos com acesso aos dados estejam sujeitos a obrigação de confidencialidade, contratual ou legal.

4.3 Segurança

Implementar e manter medidas técnicas e organizacionais apropriadas, incluindo:

  • Criptografia em trânsito e em repouso
  • Controle de acesso por função e menor privilégio
  • Autenticação multifator para acessos privilegiados
  • Monitoramento e logs de auditoria
  • Isolamento de dados por tenant/cliente
  • Gestão de vulnerabilidades e patches

Adaptar conforme as medidas reais implementadas.

4.4 Suboperadores

A {{EMPRESA}} pode contratar suboperadores para partes dos serviços. Lista disponível mediante solicitação ({{EMAIL_PRIVACIDADE}}).

A {{EMPRESA}} garantirá que suboperadores operem sob obrigações equivalentes a este DPA. Notificará o Controlador com 30 dias de antecedência sobre mudanças relevantes.

4.5 Direitos dos titulares

Auxiliar o Controlador, na medida do tecnicamente viável, a responder a solicitações de direitos dos titulares (acesso, correção, eliminação, portabilidade).

4.6 Notificação de incidentes

Notificar o Controlador em até 24 horas após confirmação de incidente que afete dados do Controlador, incluindo: descrição, categorias e volume estimado afetados, medidas adotadas.

4.7 Registros e auditoria

Manter registros do tratamento e disponibilizar informações que demonstrem conformidade mediante requisição formal.

4.8 Devolução e eliminação

Ao término, devolver ou eliminar os dados conforme instrução do Controlador e seção 11.


5. Obrigações do Controlador

  • Garantir base legal adequada para o tratamento
  • Coletar consentimento dos titulares quando exigido
  • Fornecer apenas dados necessários para os serviços
  • Informar os titulares sobre a participação da {{EMPRESA}} como operadora
  • Instruir a {{EMPRESA}} sobre restrições ao tratamento
  • Notificar a {{EMPRESA}} sobre alterações nas bases legais

6. Suboperadores autorizados

SuboperadorServiçoLocalização
[Provedor de infraestrutura]Hospedagem, banco de dados[País]
[Provedor de CDN]Entrega de assets[País]
[Provedor de e-mail]Comunicações transacionais[País]

Preencher com os suboperadores reais utilizados.


7. Transferência internacional de dados

Quando dados forem transferidos para fora do Brasil via suboperadores, a {{EMPRESA}} garante salvaguardas adequadas conforme LGPD art. 33 (cláusulas contratuais padrão, avaliação de adequação ou outras salvaguardas aplicáveis).


8. Medidas de segurança declaradas

Técnicas

  • Criptografia em repouso
  • Criptografia em trânsito (TLS)
  • MFA para acessos privilegiados
  • Segregação de dados por cliente/tenant
  • Logs de auditoria
  • Backup com verificação de integridade
  • [Adicionar conforme implementação real]

Organizacionais

  • Política de controle de acesso (RBAC)
  • Treinamento periódico de segurança
  • Procedimento de resposta a incidentes documentado
  • Revisões periódicas de acessos
  • Acordo de confidencialidade para todos com acesso

9. Direitos dos titulares — procedimento

  1. Controlador encaminha solicitação para {{EMAIL_PRIVACIDADE}} com identificação do titular
  2. {{EMPRESA}} responde em até 5 dias úteis
  3. Controlador é responsável pela comunicação final ao titular

10. Auditoria

  • Documental: até 1 vez por ano, sem custo, mediante requisição formal
  • Técnica: mediante acordo prévio e custo a negociar
  • Relatório de terceiros: disponível mediante NDA, quando existente

11. Devolução e eliminação de dados

  • D+0 ao D+30 após encerramento: exportação disponível via plataforma ou sob requisição
  • D+30: eliminação dos sistemas ativos (salvo obrigação legal)
  • Backups: eliminados no ciclo de retenção (máximo 90 dias)
  • Certificado de eliminação: disponível mediante solicitação

12. Responsabilidade

  • {{EMPRESA}} responde pelos danos decorrentes de violação deste DPA imputável a ela, nos limites da LGPD (art. 42)
  • Controlador responde pelos danos de sua responsabilidade exclusiva
  • Responsabilidade da {{EMPRESA}} limitada ao valor pago nos últimos 12 meses de contrato, salvo dolo ou culpa grave

13. Alterações

Alterações relevantes serão comunicadas com 30 dias de antecedência.


14. Lei aplicável e foro

Regido pela LGPD (Lei nº 13.709/2018) e legislação brasileira. Foro: {{FORO}}.


DPO: {{EMAIL_PRIVACIDADE}}
Suporte: {{EMAIL_SUPORTE}}