DPA — Acordo de Processamento de Dados
Referencia de seguranca: Politica de Seguranca da Informacao.
Versão: {{VERSAO}}
Data: {{DATA_VIGENCIA}}
Base legal: LGPD art. 37 — obrigações do operador de dados
Partes: Controlador (cliente/parceiro) e {{EMPRESA}} (Operadora)
1. Partes
Controlador: identificado no contrato principal de prestação de serviços — responsável por determinar as finalidades e os meios do tratamento de dados pessoais.
Operadora: {{RAZAO_SOCIAL}} (CNPJ {{CNPJ}}) — trata dados pessoais em nome do Controlador, nos limites deste acordo.
2. Objeto e duração
Este DPA rege o tratamento de dados pessoais realizado pela {{EMPRESA}} em nome do Controlador no contexto dos serviços contratados.
Vigência: enquanto vigorar o contrato principal. Ao encerramento, aplica-se a seção 11.
3. Natureza, finalidade e escopo
3.1 Finalidade
O tratamento se limita ao estritamente necessário para:
- Executar os serviços contratados
- Fornecer suporte técnico e operacional
- Gerar relatórios e indicadores conforme configurado
- Cumprir obrigações legais aplicáveis
3.2 Tipos de dados pessoais tratados
Preencher conforme os dados realmente tratados no contexto do serviço:
| Categoria | Exemplos | Módulo/Serviço |
|---|---|---|
| Identificação e contato | Nome, e-mail, telefone, CPF quando aplicável | Cadastro, suporte e relacionamento |
| Profissional | Cargo, departamento, organização vinculada | Implantação, treinamento e suporte |
| Uso de sistemas | Logs de autenticação, perfil de acesso, histórico de atendimento | Suporte técnico e segurança |
| Dados operacionais do cliente | Dados inseridos pelo Controlador nos sistemas suportados | Implantação, suporte e treinamento |
| Acesso | Logs de autenticação e trilhas de auditoria | Todos os serviços contratados |
| [Adicionar conforme escopo] |
3.3 Categorias de titulares
Selecionar as aplicáveis:
- Colaboradores do Controlador
- Usuários da plataforma designados pelo Controlador
- Clientes finais do Controlador
- Outros: [especificar]
4. Obrigações da {{EMPRESA}} (Operadora)
4.1 Instrução documentada
Tratar dados apenas conforme instruções documentadas do Controlador. Em caso de obrigação legal contrária, notificar o Controlador previamente quando permitido por lei.
4.2 Confidencialidade
Garantir que todos com acesso aos dados estejam sujeitos a obrigação de confidencialidade, contratual ou legal.
4.3 Segurança
Implementar e manter medidas técnicas e organizacionais apropriadas, incluindo:
- Criptografia em trânsito e em repouso
- Controle de acesso por função e menor privilégio
- Autenticação multifator para acessos privilegiados
- Monitoramento e logs de auditoria
- Isolamento de dados por tenant/cliente
- Gestão de vulnerabilidades e patches
Adaptar conforme as medidas reais implementadas.
4.4 Suboperadores
A {{EMPRESA}} pode contratar suboperadores para partes dos serviços. Lista disponível mediante solicitação ({{EMAIL_PRIVACIDADE}}).
A {{EMPRESA}} garantirá que suboperadores operem sob obrigações equivalentes a este DPA. Notificará o Controlador com 30 dias de antecedência sobre mudanças relevantes.
4.5 Direitos dos titulares
Auxiliar o Controlador, na medida do tecnicamente viável, a responder a solicitações de direitos dos titulares (acesso, correção, eliminação, portabilidade).
4.6 Notificação de incidentes
Notificar o Controlador em até 24 horas após confirmação de incidente que afete dados do Controlador, incluindo: descrição, categorias e volume estimado afetados, medidas adotadas.
4.7 Registros e auditoria
Manter registros do tratamento e disponibilizar informações que demonstrem conformidade mediante requisição formal.
4.8 Devolução e eliminação
Ao término, devolver ou eliminar os dados conforme instrução do Controlador e seção 11.
5. Obrigações do Controlador
- Garantir base legal adequada para o tratamento
- Coletar consentimento dos titulares quando exigido
- Fornecer apenas dados necessários para os serviços
- Informar os titulares sobre a participação da {{EMPRESA}} como operadora
- Instruir a {{EMPRESA}} sobre restrições ao tratamento
- Notificar a {{EMPRESA}} sobre alterações nas bases legais
6. Suboperadores autorizados
| Suboperador | Serviço | Localização |
|---|---|---|
| [Provedor de infraestrutura] | Hospedagem, banco de dados | [País] |
| [Provedor de CDN] | Entrega de assets | [País] |
| [Provedor de e-mail] | Comunicações transacionais | [País] |
Preencher com os suboperadores reais utilizados.
7. Transferência internacional de dados
Quando dados forem transferidos para fora do Brasil via suboperadores, a {{EMPRESA}} garante salvaguardas adequadas conforme LGPD art. 33 (cláusulas contratuais padrão, avaliação de adequação ou outras salvaguardas aplicáveis).
8. Medidas de segurança declaradas
Técnicas
- Criptografia em repouso
- Criptografia em trânsito (TLS)
- MFA para acessos privilegiados
- Segregação de dados por cliente/tenant
- Logs de auditoria
- Backup com verificação de integridade
- [Adicionar conforme implementação real]
Organizacionais
- Política de controle de acesso (RBAC)
- Treinamento periódico de segurança
- Procedimento de resposta a incidentes documentado
- Revisões periódicas de acessos
- Acordo de confidencialidade para todos com acesso
9. Direitos dos titulares — procedimento
- Controlador encaminha solicitação para {{EMAIL_PRIVACIDADE}} com identificação do titular
- {{EMPRESA}} responde em até 5 dias úteis
- Controlador é responsável pela comunicação final ao titular
10. Auditoria
- Documental: até 1 vez por ano, sem custo, mediante requisição formal
- Técnica: mediante acordo prévio e custo a negociar
- Relatório de terceiros: disponível mediante NDA, quando existente
11. Devolução e eliminação de dados
- D+0 ao D+30 após encerramento: exportação disponível via plataforma ou sob requisição
- D+30: eliminação dos sistemas ativos (salvo obrigação legal)
- Backups: eliminados no ciclo de retenção (máximo 90 dias)
- Certificado de eliminação: disponível mediante solicitação
12. Responsabilidade
- {{EMPRESA}} responde pelos danos decorrentes de violação deste DPA imputável a ela, nos limites da LGPD (art. 42)
- Controlador responde pelos danos de sua responsabilidade exclusiva
- Responsabilidade da {{EMPRESA}} limitada ao valor pago nos últimos 12 meses de contrato, salvo dolo ou culpa grave
13. Alterações
Alterações relevantes serão comunicadas com 30 dias de antecedência.
14. Lei aplicável e foro
Regido pela LGPD (Lei nº 13.709/2018) e legislação brasileira. Foro: {{FORO}}.
DPO: {{EMAIL_PRIVACIDADE}}
Suporte: {{EMAIL_SUPORTE}}