Contrato de Tratamento de Dados Pessoais

O presente Contrato de Tratamento de Dados Pessoais (o “Contrato”) entra em vigor a partir de indique data de vigênciacontrato_tratamento_dados_0001, sendo celebrado em indique cidade de assinaturacontrato_tratamento_dados_0002/indique estado de assinaturacontrato_tratamento_dados_0003, entre:

Identifique o Controlador:

Esta pergunta qualifica o Controlador, Parte que define as decisões sobre o tratamento de dados pessoais no contexto deste Contrato. A identificação completa (nome, CPF/CNPJ, endereço e, se aplicável, representação) evita dúvidas sobre quem determina as finalidades e meios do tratamento, quem recebe comunicações formais e quem responde por instruções. Como o documento será preenchido por usuários com pouca prática jurídica, escolha a natureza do Controlador e preencha os dados com precisão para reduzir riscos de nulidade por identificação incompleta.

Identifique o Operador:

Esta pergunta qualifica o Operador, Parte que realiza o tratamento de dados pessoais em nome do Controlador e conforme suas instruções documentadas. A identificação correta é essencial para definir canais de comunicação, exigir medidas de segurança e apurar responsabilidades em caso de uso indevido ou incidente de segurança. O preenchimento completo (nome, CPF/CNPJ, endereço e representação) reduz discussões sobre legitimidade de solicitações e facilita auditoria e comprovação de cumprimento. Selecione a natureza do Operador e complete os dados de forma objetiva.

denominados conjuntamente como Partes, e individualmente como Parte, as Partes celebram o presente Contrato, que se regerá pelas cláusulas e condições seguintes.

1. OBJETO, ESCOPO E DEFINIÇÕES

1.1. DEFINIÇÕES.

Para fins deste Contrato, “dados pessoais”, “dados pessoais sensíveis”, “criança”, “adolescente”, “titular” e “tratamento” possuem o significado adotado na legislação brasileira aplicável à proteção de dados. “Suboperador” é o terceiro contratado pelo Operador para realizar parte do tratamento em nome do Controlador, quando permitido. “Incidente de segurança” é qualquer evento que possa comprometer a confidencialidade, integridade ou disponibilidade de dados pessoais tratados sob este Contrato, ainda que em investigação.

Qual será o escopo do tratamento e a atividade executada pelo Operador:

Esta pergunta descreve o que o Operador fará e por qual razão precisará tratar dados pessoais dentro desta relação. O escopo é indispensável para limitar o uso dos dados, orientar medidas de segurança e permitir auditoria e prestação de contas. Se o escopo ficar vago, o Operador pode ser cobrado por atividades não combinadas, e o Controlador pode enfrentar risco por tratamento além do necessário. Selecione a opção que melhor reflete o serviço e preencha as operações e atividades com termos simples e objetivos.

Quais dados pessoais e titulares estarão no escopo:

Esta pergunta define quais categorias de dados e quais titulares serão tratados, para reduzir risco de excesso e orientar controles de acesso. A especificação ajuda o Operador a dimensionar segurança e evita que o Controlador envie dados desnecessários para a atividade contratada. Também facilita atendimento a direitos dos titulares, pois o Operador saberá onde procurar e o que deve ser mantido ou eliminado. Escolha a opção que melhor representa o cenário e liste tipos de dados e titulares com linguagem simples e completa.

O tratamento incluirá dados pessoais sensíveis:

Esta pergunta identifica se haverá dados pessoais sensíveis no escopo, o que aumenta o nível de risco e exige cautelas reforçadas. Caso existam dados sensíveis, é importante delimitar quais são, qual finalidade específica justifica o tratamento e qual hipótese legal se aplica, para evitar uso inadequado e exposição desnecessária. Se não houver, a declaração reduz ambiguidades e orienta o Operador a sinalizar imediatamente caso esses dados apareçam no fluxo. Selecione a opção correta e preencha os campos com precisão.

O tratamento envolverá dados de crianças e adolescentes:

Esta pergunta verifica se o tratamento envolve dados de crianças e/ou adolescentes, o que exige cuidado adicional e alinhamento com o melhor interesse. Em especial, quando o tratamento envolver dados de crianças, pode haver necessidade de consentimento específico e em destaque do responsável legal, salvo hipóteses legais restritas. O Operador deve atuar de forma limitada, sem usar esses dados para finalidades secundárias ou marketing. Se não houver dados de menores, registrar isso evita discussões futuras e orienta o Operador a reportar prontamente qualquer ocorrência acidental.

Qual é a finalidade principal e o fundamento indicado pelo Controlador:

Esta pergunta registra a finalidade principal do tratamento e a justificativa indicada pelo Controlador ao Operador para execução do serviço, o que facilita governança e prestação de contas. Embora a escolha aqui não substitua o dever do Controlador de manter base legal adequada para cada situação concreta, ela ajuda a alinhar expectativas e a limitar o Operador ao que foi instruído. Se houver dados sensíveis ou de menores, o Controlador deve observar hipóteses legais específicas e manter salvaguardas proporcionais. Selecione a opção mais adequada e descreva a finalidade de forma simples e concreta.

Como o Controlador fornecerá instruções ao Operador:

Esta pergunta define como as instruções do Controlador serão transmitidas e registradas, evitando ordens informais e solicitações contraditórias. Como o Operador deve tratar dados em nome do Controlador, é essencial haver um canal claro para instruções e mudanças de escopo. Isso ajuda a comprovar conformidade, reduz risco de execução de pedidos indevidos e facilita auditorias e investigações de incidentes. Selecione a forma mais prática para as Partes e indique um canal confiável que possa ser usado no dia a dia.

O Operador poderá usar dados para fins próprios:

Esta pergunta evita um erro comum: permitir que o Operador use dados do Controlador para finalidades próprias, o que pode gerar riscos e confusão de papéis. Em regra, o Operador deve limitar-se a tratar dados em nome do Controlador e conforme instruções. Se houver algum uso adicional, ele deve ser restrito, justificado e, preferencialmente, com anonimização ou agregação. Como o usuário escolhe apenas uma opção, cada alternativa abaixo já define limites claros para impedir usos indevidos e reduzir interpretações ambíguas.

Quais medidas de segurança serão exigidas do Operador:

Esta pergunta define as medidas técnicas e administrativas que o Operador deve adotar para proteger dados pessoais contra acesso não autorizado, vazamentos, perda, alteração indevida e indisponibilidade relevante. A legislação exige medidas proporcionais ao risco, mas o nível adequado varia conforme volume, sensibilidade e criticidade. Por isso, o modelo oferece opções de padrão mínimo, reforçado ou específico definido pelo Controlador. Escolha a opção mais compatível com o tratamento e descreva medidas de forma objetiva, para que possam ser verificadas e cumpridas.

Como será tratada a confidencialidade e o acesso interno:

Esta pergunta define regras de sigilo e de acesso interno do Operador, essenciais para reduzir risco de vazamento e uso indevido por colaboradores, terceiros ou prestadores. Mesmo com boas práticas internas, o contrato deve registrar obrigação de confidencialidade, limitação de acesso por necessidade e deveres mínimos de conduta. Isso dá ao Controlador base para exigir correções, aplicar penalidades contratuais e solicitar auditoria quando necessário. Escolha a opção que melhor se ajusta ao risco do tratamento e indique prazo de sigilo quando aplicável.

Como será a comunicação e gestão de incidentes de segurança:

Esta pergunta define como o Operador deve agir quando ocorrer um incidente de segurança envolvendo dados pessoais, como vazamento, acesso não autorizado, perda ou indisponibilidade relevante. A rapidez na comunicação ao Controlador é essencial para permitir avaliação de risco, adoção de medidas e cumprimento de deveres legais e regulatórios. A cláusula também define o canal de comunicação, informações mínimas e cooperação na investigação e mitigação. Como apenas uma opção será escolhida, selecione a alternativa compatível com a criticidade do tratamento e a capacidade operacional das Partes.

O Operador poderá contratar suboperadores:

Esta pergunta define se o Operador pode contratar terceiros para executar parte do tratamento, como infraestrutura, suporte ou ferramentas técnicas. Suboperadores são comuns na prática, mas aumentam risco e exigem regras claras: autorização, imposição das mesmas obrigações de segurança e confidencialidade e responsabilidade do Operador perante o Controlador. Como o usuário escolhe apenas uma opção, selecione a alternativa que realmente corresponde à operação e indique lista ou finalidade quando aplicável. Isso evita surpresas e reduz risco de compartilhamento indevido.

Onde ocorrerá o tratamento e haverá transferência internacional:

Esta pergunta define o local de armazenamento e processamento e se haverá transferência internacional de dados, o que pode ocorrer por uso de nuvem, suporte remoto ou fornecedores globais. Registrar isso evita surpresas e permite adoção de salvaguardas contratuais e técnicas compatíveis com a legislação aplicável. Também ajuda a identificar países e provedores envolvidos, facilitando auditorias e respostas a titulares. Se houver transferência, ela deve ocorrer apenas quando houver mecanismo legal aplicável e instrução do Controlador. Selecione a opção que reflete a realidade e preencha os campos com países ou ambientes.

Como o Operador apoiará o Controlador em solicitações de titulares e da autoridade:

Esta pergunta define como o Operador deve agir quando houver solicitações de titulares (acesso, correção, eliminação, informação) ou demandas de autoridade relacionadas aos dados tratados. Na prática, o Controlador conduz a resposta ao titular, mas depende do Operador para localizar dados, executar correções, bloquear ou eliminar. Sem regra contratual, o Operador pode atrasar ou agir sem coordenação, aumentando risco e custo. Escolha uma opção e indique prazos e canal para garantir que o procedimento seja executável e documentado.

Como será a retenção, devolução e eliminação de dados:

Esta pergunta define o que acontece com os dados pessoais quando o tratamento terminar, evitando retenção indevida ou eliminação prematura. É comum existir necessidade de devolução ao Controlador, eliminação de cópias e, em alguns casos, retenção mínima para cumprir obrigação legal. Se isso não estiver claro, podem surgir conflitos sobre backups, prazo de eliminação e comprovação de descarte. Escolha a opção que reflete a operação e indique prazos e forma de devolução para que o procedimento seja aplicável sem anexos ou documentos adicionais.

O Controlador poderá auditar ou solicitar evidências:

Esta pergunta define se o Controlador poderá solicitar evidências e realizar auditorias para verificar conformidade do Operador com segurança, confidencialidade e instruções. Auditoria é comum quando há risco elevado, dados sensíveis, grande volume ou obrigação regulatória, mas pode ser desnecessária em serviços simples. A cláusula deve equilibrar o direito de verificação com limites razoáveis, para não expor segredos comerciais nem afetar a operação. Selecione a opção adequada e indique prazos e periodicidade para manter o procedimento executável.

Como será definida a responsabilidade por descumprimento e danos:

Esta pergunta define consequências quando houver descumprimento do Contrato, violação de instruções, falha de segurança, uso indevido ou compartilhamento não autorizado. Para evitar interpretações ambíguas, a cláusula deve indicar com clareza quais condutas geram responsabilidade e quais custos podem ser reclamados (danos diretos, custos de mitigação, investigação e defesa). Como o usuário escolhe apenas uma opção, selecione a alternativa que melhor reflete o risco e a negociação entre as Partes. Se optar por limite de indenização, é importante preservar exceções para condutas graves.

Como serão resolvidas disputas relacionadas a este Contrato:

Esta pergunta define como eventuais conflitos serão resolvidos, escolhendo foro judicial, mediação prévia ou arbitragem. Disputas podem surgir por divergência de escopo, responsabilidade por incidentes, prazos de eliminação, auditorias, suboperadores e custos de mitigação. A escolha do foro traz previsibilidade e costuma ser a opção mais simples; mediação pode reduzir custos e preservar relacionamento; arbitragem pode ser útil para sigilo e tecnicidade, mas tende a ser mais onerosa. Selecione a opção coerente com a relação entre as Partes e indique a comarca ou instituição.

8. DISPOSIÇÕES GERAIS E ASSINATURA

8.1. Conformidade. As Partes se comprometem a cumprir a legislação brasileira aplicável à proteção de dados pessoais e a manter práticas compatíveis com o risco do tratamento.

8.2. Limitação de finalidade. O Operador tratará dados pessoais somente para as finalidades e operações previstas neste Contrato e nas instruções documentadas do Controlador.

8.3. Alterações por escrito. Qualquer modificação deste Contrato somente terá validade se feita por escrito e assinada por ambas as Partes.

8.4. Divisibilidade. A invalidade de qualquer disposição não afetará as demais.

8.5. Tolerância. A tolerância a descumprimento não implica renúncia, novação ou alteração do pactuado.

8.6. Lei aplicável. Este Contrato será regido pelas leis brasileiras.

8.7. Notificações. Notificações formais serão enviadas aos endereços e e-mails indicados nas assinaturas, produzindo efeitos na data de confirmação de recebimento ou em indique prazo ciênciacontrato_tratamento_dados_1801 dias do envio, o que ocorrer primeiro.

8.8. Registro de operações. Controlador e Operador manterão registro das operações de tratamento relacionadas a este Contrato, em nível compatível com a natureza do serviço e o risco envolvido. O Operador manterá registros mínimos de atividades de tratamento sob sua responsabilidade e fornecerá ao Controlador informações razoáveis quando necessário para atualização de registros e prestação de contas. Os registros serão mantidos pelo prazo de indique prazo registroscontrato_tratamento_dados_1802, salvo obrigação de retenção por período diverso.

8.9. Contato LGPD. Para comunicações operacionais relacionadas à proteção de dados (incidentes, solicitações de titulares e instruções), as Partes utilizarão os contatos LGPD indicados nas assinaturas, sem prejuízo de outros canais definidos nas perguntas deste Contrato. Alterações de contato LGPD deverão ser comunicadas por escrito à outra Parte com antecedência razoável.

Como será assinado o Contrato:

Esta pergunta define a forma de assinatura mais adequada à prática brasileira e ao nível de formalidade desejado. Na maioria das relações privadas, a assinatura manuscrita sem testemunhas é comum e suficiente; em outros casos, as Partes optam por testemunhas para reforço probatório. A assinatura eletrônica também é amplamente utilizada quando há concordância e um meio confiável. Como apenas uma opção será escolhida, selecione a forma que realmente será usada e preencha dados de testemunhas quando aplicável.

Certifique-se de que as condições necessárias foram selecionadas e que todos os campos estão preenchidos