Contrato de Tratamento de Dados Pessoais
Contrato de Tratamento de Dados Pessoais
O presente Contrato de Tratamento de Dados Pessoais (o “Contrato”) entra em vigor a partir de indique data de vigênciacontrato_tratamento_dados_0001, sendo celebrado em indique cidade de assinaturacontrato_tratamento_dados_0002/indique estado de assinaturacontrato_tratamento_dados_0003, entre:
Esta pergunta qualifica o Controlador, Parte que define as decisões sobre o tratamento de dados pessoais no contexto deste Contrato. A identificação completa (nome, CPF/CNPJ, endereço e, se aplicável, representação) evita dúvidas sobre quem determina as finalidades e meios do tratamento, quem recebe comunicações formais e quem responde por instruções. Como o documento será preenchido por usuários com pouca prática jurídica, escolha a natureza do Controlador e preencha os dados com precisão para reduzir riscos de nulidade por identificação incompleta.
Esta pergunta qualifica o Operador, Parte que realiza o tratamento de dados pessoais em nome do Controlador e conforme suas instruções documentadas. A identificação correta é essencial para definir canais de comunicação, exigir medidas de segurança e apurar responsabilidades em caso de uso indevido ou incidente de segurança. O preenchimento completo (nome, CPF/CNPJ, endereço e representação) reduz discussões sobre legitimidade de solicitações e facilita auditoria e comprovação de cumprimento. Selecione a natureza do Operador e complete os dados de forma objetiva.
denominados conjuntamente como Partes, e individualmente como Parte, as Partes celebram o presente Contrato, que se regerá pelas cláusulas e condições seguintes.
1. OBJETO, ESCOPO E DEFINIÇÕES
1.1. DEFINIÇÕES.
Para fins deste Contrato, “dados pessoais”, “dados pessoais sensíveis”, “criança”, “adolescente”, “titular” e “tratamento” possuem o significado adotado na legislação brasileira aplicável à proteção de dados. “Suboperador” é o terceiro contratado pelo Operador para realizar parte do tratamento em nome do Controlador, quando permitido. “Incidente de segurança” é qualquer evento que possa comprometer a confidencialidade, integridade ou disponibilidade de dados pessoais tratados sob este Contrato, ainda que em investigação.
Esta pergunta descreve o que o Operador fará e por qual razão precisará tratar dados pessoais dentro desta relação. O escopo é indispensável para limitar o uso dos dados, orientar medidas de segurança e permitir auditoria e prestação de contas. Se o escopo ficar vago, o Operador pode ser cobrado por atividades não combinadas, e o Controlador pode enfrentar risco por tratamento além do necessário. Selecione a opção que melhor reflete o serviço e preencha as operações e atividades com termos simples e objetivos.
Esta pergunta define quais categorias de dados e quais titulares serão tratados, para reduzir risco de excesso e orientar controles de acesso. A especificação ajuda o Operador a dimensionar segurança e evita que o Controlador envie dados desnecessários para a atividade contratada. Também facilita atendimento a direitos dos titulares, pois o Operador saberá onde procurar e o que deve ser mantido ou eliminado. Escolha a opção que melhor representa o cenário e liste tipos de dados e titulares com linguagem simples e completa.
Esta pergunta identifica se haverá dados pessoais sensíveis no escopo, o que aumenta o nível de risco e exige cautelas reforçadas. Caso existam dados sensíveis, é importante delimitar quais são, qual finalidade específica justifica o tratamento e qual hipótese legal se aplica, para evitar uso inadequado e exposição desnecessária. Se não houver, a declaração reduz ambiguidades e orienta o Operador a sinalizar imediatamente caso esses dados apareçam no fluxo. Selecione a opção correta e preencha os campos com precisão.
Esta pergunta verifica se o tratamento envolve dados de crianças e/ou adolescentes, o que exige cuidado adicional e alinhamento com o melhor interesse. Em especial, quando o tratamento envolver dados de crianças, pode haver necessidade de consentimento específico e em destaque do responsável legal, salvo hipóteses legais restritas. O Operador deve atuar de forma limitada, sem usar esses dados para finalidades secundárias ou marketing. Se não houver dados de menores, registrar isso evita discussões futuras e orienta o Operador a reportar prontamente qualquer ocorrência acidental.
Esta pergunta registra a finalidade principal do tratamento e a justificativa indicada pelo Controlador ao Operador para execução do serviço, o que facilita governança e prestação de contas. Embora a escolha aqui não substitua o dever do Controlador de manter base legal adequada para cada situação concreta, ela ajuda a alinhar expectativas e a limitar o Operador ao que foi instruído. Se houver dados sensíveis ou de menores, o Controlador deve observar hipóteses legais específicas e manter salvaguardas proporcionais. Selecione a opção mais adequada e descreva a finalidade de forma simples e concreta.
Esta pergunta define como as instruções do Controlador serão transmitidas e registradas, evitando ordens informais e solicitações contraditórias. Como o Operador deve tratar dados em nome do Controlador, é essencial haver um canal claro para instruções e mudanças de escopo. Isso ajuda a comprovar conformidade, reduz risco de execução de pedidos indevidos e facilita auditorias e investigações de incidentes. Selecione a forma mais prática para as Partes e indique um canal confiável que possa ser usado no dia a dia.
Esta pergunta evita um erro comum: permitir que o Operador use dados do Controlador para finalidades próprias, o que pode gerar riscos e confusão de papéis. Em regra, o Operador deve limitar-se a tratar dados em nome do Controlador e conforme instruções. Se houver algum uso adicional, ele deve ser restrito, justificado e, preferencialmente, com anonimização ou agregação. Como o usuário escolhe apenas uma opção, cada alternativa abaixo já define limites claros para impedir usos indevidos e reduzir interpretações ambíguas.
Esta pergunta define as medidas técnicas e administrativas que o Operador deve adotar para proteger dados pessoais contra acesso não autorizado, vazamentos, perda, alteração indevida e indisponibilidade relevante. A legislação exige medidas proporcionais ao risco, mas o nível adequado varia conforme volume, sensibilidade e criticidade. Por isso, o modelo oferece opções de padrão mínimo, reforçado ou específico definido pelo Controlador. Escolha a opção mais compatível com o tratamento e descreva medidas de forma objetiva, para que possam ser verificadas e cumpridas.
Esta pergunta define regras de sigilo e de acesso interno do Operador, essenciais para reduzir risco de vazamento e uso indevido por colaboradores, terceiros ou prestadores. Mesmo com boas práticas internas, o contrato deve registrar obrigação de confidencialidade, limitação de acesso por necessidade e deveres mínimos de conduta. Isso dá ao Controlador base para exigir correções, aplicar penalidades contratuais e solicitar auditoria quando necessário. Escolha a opção que melhor se ajusta ao risco do tratamento e indique prazo de sigilo quando aplicável.
Esta pergunta define como o Operador deve agir quando ocorrer um incidente de segurança envolvendo dados pessoais, como vazamento, acesso não autorizado, perda ou indisponibilidade relevante. A rapidez na comunicação ao Controlador é essencial para permitir avaliação de risco, adoção de medidas e cumprimento de deveres legais e regulatórios. A cláusula também define o canal de comunicação, informações mínimas e cooperação na investigação e mitigação. Como apenas uma opção será escolhida, selecione a alternativa compatível com a criticidade do tratamento e a capacidade operacional das Partes.
Esta pergunta define se o Operador pode contratar terceiros para executar parte do tratamento, como infraestrutura, suporte ou ferramentas técnicas. Suboperadores são comuns na prática, mas aumentam risco e exigem regras claras: autorização, imposição das mesmas obrigações de segurança e confidencialidade e responsabilidade do Operador perante o Controlador. Como o usuário escolhe apenas uma opção, selecione a alternativa que realmente corresponde à operação e indique lista ou finalidade quando aplicável. Isso evita surpresas e reduz risco de compartilhamento indevido.
Esta pergunta define o local de armazenamento e processamento e se haverá transferência internacional de dados, o que pode ocorrer por uso de nuvem, suporte remoto ou fornecedores globais. Registrar isso evita surpresas e permite adoção de salvaguardas contratuais e técnicas compatíveis com a legislação aplicável. Também ajuda a identificar países e provedores envolvidos, facilitando auditorias e respostas a titulares. Se houver transferência, ela deve ocorrer apenas quando houver mecanismo legal aplicável e instrução do Controlador. Selecione a opção que reflete a realidade e preencha os campos com países ou ambientes.
Esta pergunta define como o Operador deve agir quando houver solicitações de titulares (acesso, correção, eliminação, informação) ou demandas de autoridade relacionadas aos dados tratados. Na prática, o Controlador conduz a resposta ao titular, mas depende do Operador para localizar dados, executar correções, bloquear ou eliminar. Sem regra contratual, o Operador pode atrasar ou agir sem coordenação, aumentando risco e custo. Escolha uma opção e indique prazos e canal para garantir que o procedimento seja executável e documentado.
Esta pergunta define o que acontece com os dados pessoais quando o tratamento terminar, evitando retenção indevida ou eliminação prematura. É comum existir necessidade de devolução ao Controlador, eliminação de cópias e, em alguns casos, retenção mínima para cumprir obrigação legal. Se isso não estiver claro, podem surgir conflitos sobre backups, prazo de eliminação e comprovação de descarte. Escolha a opção que reflete a operação e indique prazos e forma de devolução para que o procedimento seja aplicável sem anexos ou documentos adicionais.
Esta pergunta define se o Controlador poderá solicitar evidências e realizar auditorias para verificar conformidade do Operador com segurança, confidencialidade e instruções. Auditoria é comum quando há risco elevado, dados sensíveis, grande volume ou obrigação regulatória, mas pode ser desnecessária em serviços simples. A cláusula deve equilibrar o direito de verificação com limites razoáveis, para não expor segredos comerciais nem afetar a operação. Selecione a opção adequada e indique prazos e periodicidade para manter o procedimento executável.
Esta pergunta define consequências quando houver descumprimento do Contrato, violação de instruções, falha de segurança, uso indevido ou compartilhamento não autorizado. Para evitar interpretações ambíguas, a cláusula deve indicar com clareza quais condutas geram responsabilidade e quais custos podem ser reclamados (danos diretos, custos de mitigação, investigação e defesa). Como o usuário escolhe apenas uma opção, selecione a alternativa que melhor reflete o risco e a negociação entre as Partes. Se optar por limite de indenização, é importante preservar exceções para condutas graves.
Esta pergunta define como eventuais conflitos serão resolvidos, escolhendo foro judicial, mediação prévia ou arbitragem. Disputas podem surgir por divergência de escopo, responsabilidade por incidentes, prazos de eliminação, auditorias, suboperadores e custos de mitigação. A escolha do foro traz previsibilidade e costuma ser a opção mais simples; mediação pode reduzir custos e preservar relacionamento; arbitragem pode ser útil para sigilo e tecnicidade, mas tende a ser mais onerosa. Selecione a opção coerente com a relação entre as Partes e indique a comarca ou instituição.
8. DISPOSIÇÕES GERAIS E ASSINATURA
8.1. Conformidade. As Partes se comprometem a cumprir a legislação brasileira aplicável à proteção de dados pessoais e a manter práticas compatíveis com o risco do tratamento.
8.2. Limitação de finalidade. O Operador tratará dados pessoais somente para as finalidades e operações previstas neste Contrato e nas instruções documentadas do Controlador.
8.3. Alterações por escrito. Qualquer modificação deste Contrato somente terá validade se feita por escrito e assinada por ambas as Partes.
8.4. Divisibilidade. A invalidade de qualquer disposição não afetará as demais.
8.5. Tolerância. A tolerância a descumprimento não implica renúncia, novação ou alteração do pactuado.
8.6. Lei aplicável. Este Contrato será regido pelas leis brasileiras.
8.7. Notificações. Notificações formais serão enviadas aos endereços e e-mails indicados nas assinaturas, produzindo efeitos na data de confirmação de recebimento ou em indique prazo ciênciacontrato_tratamento_dados_1801 dias do envio, o que ocorrer primeiro.
8.8. Registro de operações. Controlador e Operador manterão registro das operações de tratamento relacionadas a este Contrato, em nível compatível com a natureza do serviço e o risco envolvido. O Operador manterá registros mínimos de atividades de tratamento sob sua responsabilidade e fornecerá ao Controlador informações razoáveis quando necessário para atualização de registros e prestação de contas. Os registros serão mantidos pelo prazo de indique prazo registroscontrato_tratamento_dados_1802, salvo obrigação de retenção por período diverso.
8.9. Contato LGPD. Para comunicações operacionais relacionadas à proteção de dados (incidentes, solicitações de titulares e instruções), as Partes utilizarão os contatos LGPD indicados nas assinaturas, sem prejuízo de outros canais definidos nas perguntas deste Contrato. Alterações de contato LGPD deverão ser comunicadas por escrito à outra Parte com antecedência razoável.
Esta pergunta define a forma de assinatura mais adequada à prática brasileira e ao nível de formalidade desejado. Na maioria das relações privadas, a assinatura manuscrita sem testemunhas é comum e suficiente; em outros casos, as Partes optam por testemunhas para reforço probatório. A assinatura eletrônica também é amplamente utilizada quando há concordância e um meio confiável. Como apenas uma opção será escolhida, selecione a forma que realmente será usada e preencha dados de testemunhas quando aplicável.
Conteúdo da página
Contrato de Tratamento de Dados Pessoais (DPA): Guia Completo para a LGPD
1. O Que é o Contrato de Tratamento de Dados Pessoais (DPA)
O Contrato de Tratamento de Dados Pessoais — conhecido internacionalmente como DPA (Data Processing Agreement) — é o instrumento jurídico que regula a relação entre o controlador (quem decide sobre o tratamento dos dados) e o operador (quem executa o tratamento por conta do controlador), conforme exigido pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
A LGPD entrou em vigor em setembro de 2020 e trouxe ao Brasil um dos regimes de proteção de dados mais abrangentes das Américas, inspirado no GDPR europeu. O DPA é um dos instrumentos contratuais exigidos pela lei: sem ele, a relação entre controlador e operador carece de base jurídica adequada, expondo ambas as partes a sanções administrativas da ANPD (Autoridade Nacional de Proteção de Dados), responsabilidade civil perante os titulares dos dados e danos reputacionais significativos.
O uso de um modelo online de DPA como o disponível no DiretoDoc.com é especialmente útil para empresas que precisam criar contratos de tratamento com múltiplos fornecedores — provedores de nuvem, empresas de marketing, plataformas de e-commerce, sistemas de gestão (ERPs, CRMs) — de forma ágil e com base legal adequada. O template pode ser personalizado para cada relação específica e baixado em WORD ou PDF.
2. Quando o DPA É Obrigatório
O art. 39 da LGPD exige que o controlador elabore um instrumento contratual ou similar com o operador, dispondo sobre as condições do tratamento, as obrigações do operador e a verificação de conformidade. Na prática, o DPA é obrigatório sempre que:
- Uma empresa (controlador) compartilha dados pessoais de seus clientes, usuários ou colaboradores com um fornecedor ou parceiro (operador) para que este realize algum tipo de tratamento — armazenamento, análise, envio de e-mails, processamento de pagamentos, suporte técnico
- O prestador de serviços acessa sistemas que contêm dados pessoais no exercício de suas funções
- A empresa terceiriza processos que envolvem dados de titulares: call centers, empresas de cobrança, provedores de saúde, plataformas de RH
Empresas que operam entre empresas (B2B) e tratam dados pessoais de funcionários ou clientes de suas contrapartes são operadoras e precisam de um DPA com cada cliente. Sem esse contrato, elas não têm base jurídica clara para o tratamento e ficam expostas à responsabilidade solidária por eventuais incidentes.
3. Controlador e Operador: Diferenças e Responsabilidades
A distinção entre controlador e operador é fundamental na LGPD, pois define quem toma as decisões sobre o tratamento e quem é o principal responsável perante os titulares e a ANPD:
- Controlador (art. 5º, VI LGPD): pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais — quais dados coletar, por que, por quanto tempo e com quem compartilhar. O controlador é o responsável principal perante a ANPD e perante os titulares dos dados.
- Operador (art. 5º, VII LGPD): pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e conforme as suas instruções. O operador não pode usar os dados para finalidades próprias.
- Suboperador: entidade contratada pelo operador para realizar parte do tratamento. A contratação de suboperadores requer autorização prévia do controlador, e o operador responde pelas ações dos suboperadores como se fossem suas.
O controlador responde solidariamente com o operador pelos danos causados aos titulares, a menos que prove que não participou do ato que causou o dano ou que o operador agiu em descumprimento das instruções recebidas (art. 42 LGPD).
4. As 10 Bases Legais da LGPD: Qual Aplicar ao Tratamento
Todo tratamento de dados pessoais deve ter uma base legal — uma das hipóteses autorizativas previstas no art. 7º da LGPD. O DPA deve indicar qual base legal fundamenta o tratamento realizado pelo operador:
- Consentimento (inciso I): o titular autoriza expressamente o tratamento. Deve ser livre, informado, inequívoco e específico. O titular pode revogar o consentimento a qualquer tempo.
- Cumprimento de obrigação legal (inciso II): o tratamento é necessário para cumprir uma exigência legal ou regulatória imposta ao controlador.
- Execução de contrato (inciso V): o tratamento é necessário para executar o contrato celebrado com o titular ou para procedimentos pré-contratuais a pedido dele.
- Legítimo interesse (inciso IX): tratamento necessário para atender aos legítimos interesses do controlador ou de terceiros, desde que não prevaleçam sobre os direitos e liberdades fundamentais do titular.
- Proteção ao crédito (inciso X): para análise e gestão de risco de crédito.
Para operadores que realizam tratamento em nome do controlador, a base legal do controlador se aplica ao tratamento realizado pelo operador. O DPA deve identificar claramente qual base legal autoriza cada atividade de tratamento.
5. Cláusulas Essenciais do DPA
Um DPA completo deve conter as seguintes cláusulas essenciais:
- Identificação e papéis das partes: controlador, operador e eventual suboperador, com qualificação completa e indicação clara dos papéis.
- Objeto e escopo do tratamento: quais dados pessoais serão tratados, por qual finalidade, por quanto tempo e por quais meios técnicos.
- Instruções de tratamento: documentação das instruções específicas do controlador para o operador, incluindo as operações de tratamento autorizadas e as proibições.
- Medidas de segurança: obrigação do operador de implementar medidas técnicas e organizacionais de segurança adequadas ao risco do tratamento — criptografia, controle de acesso, backups, política de senhas, etc.
- Subcontratação: condições para que o operador contrate suboperadores, incluindo a obrigação de incluir no contrato com o suboperador cláusulas equivalentes às do DPA.
- Notificação de incidentes: prazo e procedimento para que o operador notifique o controlador em caso de incidente de segurança que possa afetar dados pessoais. O controlador tem obrigação de notificar a ANPD e os titulares afetados.
- Atendimento a direitos dos titulares: como o operador auxilia o controlador no atendimento a solicitações de titulares (acesso, correção, exclusão, portabilidade).
- Destinação dos dados ao término: eliminação ou devolução dos dados ao controlador após o término do contrato.
- Auditorias e verificações: direito do controlador de verificar a conformidade do operador, pessoalmente ou por terceiro designado.
6. Notificação de Incidentes: Prazos e Procedimentos
A LGPD exige que o controlador notifique a ANPD e os titulares afetados quando ocorrer um incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 LGPD). O prazo de notificação à ANPD é de 72 horas após o conhecimento do incidente (seguindo o modelo do GDPR europeu, conforme regulamentação da ANPD).
O DPA deve prever que o operador notifique o controlador assim que tomar conhecimento do incidente — imediatamente ou em prazo acordado, geralmente de 24 a 48 horas. Essa notificação deve incluir: natureza do incidente, categorias e quantidade de dados afetados, consequências prováveis, medidas adotadas para mitigar os danos, e ponto de contato responsável.
Sem cláusula expressa de notificação de incidentes no DPA, o controlador pode não tomar conhecimento do incidente a tempo de cumprir seus próprios prazos legais, expondo-se a sanções adicionais da ANPD por notificação extemporânea.
7. Transferência Internacional de Dados
Quando o operador processa dados pessoais em servidores fora do Brasil ou transfere dados para suboperadores em outros países, o DPA deve regular a transferência internacional de dados conforme o art. 33 da LGPD. As hipóteses de transferência internacional autorizada incluem:
- Países com nível adequado de proteção reconhecido pela ANPD
- Cláusulas contratuais padrão aprovadas pela ANPD
- Normas corporativas globais (binding corporate rules) aprovadas
- Consentimento específico do titular para a transferência
- Necessidade para execução de contrato celebrado com o titular
Na prática, a maioria dos contratos com provedores de serviços em nuvem (cloud computing), sistemas de e-mail marketing, plataformas CRM e ERPs internacionais envolve transferência internacional de dados. Sem regulação adequada no DPA, essa transferência pode ser irregular.
8. DPA com Fornecedores: Como Implementar na Prática
Uma das principais dificuldades práticas de conformidade LGPD para empresas de médio e pequeno porte é mapear todos os fornecedores que são operadores de dados e formalizar DPAs com cada um. O processo recomendado:
- Inventário de fornecedores: liste todos os fornecedores, parceiros e prestadores de serviços que têm acesso a dados pessoais de seus clientes, usuários ou colaboradores.
- Classificação: classifique cada um como controlador independente (ex.: banco que processa pagamentos em seu próprio nome) ou operador (ex.: empresa de e-mail marketing que envia apenas para sua base).
- Priorização: priorize os fornecedores com acesso a dados sensíveis ou em maior volume para a formalização urgente do DPA.
- Negociação: grandes fornecedores geralmente têm seus próprios modelos de DPA. Avalie se são adequados para proteger seus interesses como controlador ou negocie ajustes usando o modelo do DiretoDoc.com como referência.
- Registro: mantenha registro de todos os DPAs assinados, com data, partes, escopo e prazo de vigência. Esse registro faz parte do Relatório de Impacto à Proteção de Dados (RIPD) exigível pela ANPD.
9. DPO (Encarregado de Proteção de Dados): Quando É Obrigatório
A LGPD exige a nomeação de um DPO (Data Protection Officer ou Encarregado de Proteção de Dados) pelo controlador — a pessoa responsável por ser o canal de comunicação entre a empresa, os titulares dos dados e a ANPD. O DPO pode ser interno (funcionário) ou externo (prestador de serviços ou escritório especializado).
O DPA deve indicar o DPO do controlador e, se aplicável, o responsável de proteção de dados do operador. A existência de um DPO nomeado e ativo demonstra à ANPD o comprometimento da empresa com a conformidade — o que pode atenuar penalidades em caso de incidentes.
10. Como Criar Seu DPA no DiretoDoc.com
O template de Contrato de Tratamento de Dados Pessoais do DiretoDoc.com está alinhado com as exigências da LGPD (Lei 13.709/2018) e com as normas e resoluções emitidas pela ANPD. O modelo online permite criar um DPA entre empresas completo, com cláusulas de identificação de papéis, escopo do tratamento, bases legais, obrigações de segurança, subcontratação, notificação de incidentes, transferência internacional e destinação dos dados ao término.
Para baixar o DPA, selecione o tipo de relação (operador simples ou com suboperadores), o escopo do tratamento e as medidas de segurança exigidas. O documento é gerado automaticamente e pode ser baixado em WORD ou PDF. Para uma estratégia completa de proteção de informações, use o DPA em conjunto com o Contrato de Confidencialidade (NDA) — que protege informações estratégicas não pessoais — e com o Contrato de Prestação de Serviços entre PJ.
11. Relatório de Impacto à Proteção de Dados (RIPD)
O art. 38 da LGPD prevê a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) — equivalente ao DPIA do GDPR europeu — quando o tratamento de dados pode gerar risco a direitos e liberdades dos titulares. O DPA e o RIPD são instrumentos complementares:
- O DPA define as regras do tratamento entre controlador e operador (obrigação contratual)
- O RIPD documenta a avaliação de riscos do tratamento e as medidas para mitigá-los (obrigação regulatória)
O RIPD é obrigatório para tratamentos de dados sensíveis (saúde, biometria, genética, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, orientação sexual) e para tratamentos em larga escala que possam causar riscos aos titulares. A ANPD pode exigir a apresentação do RIPD a qualquer momento.
Para operadores que realizam tratamento de alto risco, o DPA deve incluir cláusula que exige ao operador manter seu próprio RIPD atualizado e disponibilizá-lo ao controlador mediante solicitação.
12. Segurança da Informação: Medidas Técnicas Mínimas
O DPA deve especificar as medidas de segurança que o operador se compromete a manter para proteger os dados pessoais do controlador. As medidas técnicas mínimas recomendadas pela ANPD e pelo mercado incluem:
- Criptografia: dados em trânsito (TLS 1.2 ou superior) e dados em repouso (AES-256 ou equivalente)
- Controle de acesso: princípio do mínimo privilégio — cada usuário acessa apenas os dados necessários para sua função
- Autenticação forte: MFA (autenticação multifator) para acesso a sistemas com dados pessoais
- Logs de auditoria: registro de todos os acessos e operações realizadas sobre os dados
- Backup e recuperação: cópias de segurança regulares com procedimento testado de recuperação
- Gestão de vulnerabilidades: atualizações de segurança e testes de penetração periódicos
- Treinamento dos colaboradores: equipe treinada sobre privacidade e segurança da informação
Certificações como ISO 27001 e SOC 2 Type II são indicadores objetivos de maturidade em segurança da informação. O DPA pode exigir que o operador mantenha essas certificações durante a vigência do contrato.
13. Gestão de Suboperadores: Como Controlar a Cadeia de Dados
Na prática, a maioria dos operadores usa suboperadores: um sistema de CRM que hospeda os dados em servidores AWS (Amazon Web Services), um sistema de e-mail que usa infraestrutura do Google, uma plataforma de análise que processa dados em servidores na Irlanda. Cada elo dessa cadeia é um suboperador que está tratando dados dos titulares originais.
A LGPD responsabiliza o operador pelos atos dos suboperadores como se fossem próprios. Para o controlador, o DPA deve: exigir que o operador revele todos os suboperadores utilizados; exigir aprovação prévia para novos suboperadores; e garantir que os contratos entre operador e suboperadores incluam cláusulas equivalentes às do DPA.
Uma cláusula de lista de suboperadores — onde o operador lista previamente todos os suboperadores aprovados e se compromete a notificar com antecedência antes de adicionar novos — é a prática mais transparente e recomendada. Isso cria visibilidade para o controlador sobre onde os dados efetivamente estão armazenados e tratados.
14. DPA em Contratos de Software (SaaS): Pontos de Atenção
Praticamente todo contrato de SaaS (Software as a Service) envolve tratamento de dados pessoais pelo fornecedor do software — que é operador dos dados do cliente (controlador). Ao assinar um contrato de SaaS, verifique sempre:
- Se o fornecedor disponibiliza um DPA padrão e se ele é adequado às suas necessidades
- Onde os dados são armazenados — no Brasil, na UE ou em outros países
- Como o fornecedor notifica incidentes e em qual prazo
- Se o fornecedor é certificado ISO 27001 ou tem relatório SOC 2 disponível
- Qual é o prazo para eliminação dos dados após o encerramento do contrato
Combine o DPA com o Contrato de Licenciamento de Software para uma cobertura completa de todas as dimensões da relação com o fornecedor de software — uso do produto, proteção de dados e propriedade intelectual.
15. Como Implementar Conformidade LGPD Passo a Passo
A conformidade com a LGPD não acontece com a assinatura de um DPA. É um processo contínuo que envolve múltiplas dimensões da empresa. Um roadmap simplificado de implementação para empresas de médio porte:
- Mapeamento de dados: inventário de todos os dados pessoais tratados, onde estão, quem acessa e para qual finalidade
- Base legal: definição da base legal para cada atividade de tratamento
- DPAs: formalização do DPA com todos os operadores identificados
- Políticas internas: política de privacidade, política de segurança e procedimento de resposta a incidentes
- Aviso de privacidade: comunicação transparente aos titulares sobre como seus dados são usados
- Treinamento: capacitação de colaboradores sobre a LGPD e os procedimentos internos
- Monitoramento contínuo: revisão periódica dos processos e atualização das políticas
16. RIPD: Quando Fazer e Como Documentar
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o documento que avalia os riscos de um determinado tratamento de dados e as medidas adotadas para mitigá-los. A LGPD exige o RIPD para tratamentos que podem gerar "riscos às liberdades civis e aos direitos fundamentais" dos titulares. A ANPD pode solicitar sua apresentação a qualquer momento.
Na prática, o RIPD é recomendado sempre que: o tratamento envolve dados pessoais sensíveis; o tratamento é feito em larga escala; o tratamento usa tecnologias novas com riscos não totalmente conhecidos; o tratamento pode resultar em discriminação ou vigilância dos titulares. O RIPD deve conter: descrição do tratamento, finalidade e base legal, dados coletados, medidas de segurança, riscos identificados, e ações de mitigação implementadas.
17. Encarregado de Proteção de Dados (DPO): Responsabilidades
O Encarregado de Proteção de Dados (DPO na sigla inglesa) é a figura central da governança de dados pessoais da empresa. Suas responsabilidades incluem: aceitar reclamações e comunicações dos titulares; prestar esclarecimentos à ANPD e adotar providências; orientar os colaboradores da empresa sobre práticas de proteção de dados; executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A lei não exige formação específica do DPO (advogado, TI ou analista de dados podem assumir o papel), mas requer que a pessoa tenha conhecimento técnico suficiente sobre a LGPD e as práticas de proteção de dados. O nome e o contato do DPO devem ser publicados no site da empresa e informados à ANPD.
18. Tratamento de Dados de Crianças e Adolescentes: Regras Específicas
A LGPD tem regras especialmente restritivas para o tratamento de dados de crianças (até 12 anos) e adolescentes (12 a 18 anos). O art. 14 da LGPD exige:
- Consentimento específico de um dos pais ou responsável legal para o tratamento de dados de crianças
- Tratamento realizado no melhor interesse da criança
- Não condicionamento da participação em jogos, aplicativos e outras atividades ao fornecimento de dados além dos necessários
- Para adolescentes, as regras são menos rígidas, mas a boa prática recomenda cuidado especial
O DPA deve conter cláusula específica proibindo ao operador o tratamento de dados de crianças sem autorização expressa do controlador, e o controlador deve ter obtido os consentimentos necessários dos responsáveis legais antes de compartilhar esses dados com o operador.
19. Incidente de Segurança: Procedimento de Resposta
Quando ocorre um incidente de segurança que afeta dados pessoais (vazamento, acesso não autorizado, destruição acidental), o tempo de resposta é crítico. O DPA deve prever um procedimento claro:
- Detecção e contenção imediata: equipe de segurança do operador identifica e isola o incidente
- Notificação ao controlador: em prazo máximo definido no DPA (geralmente 24h)
- Avaliação do impacto: controlador e operador avaliam juntos os dados afetados e o risco para os titulares
- Notificação à ANPD: controlador notifica a ANPD se o incidente puder gerar risco relevante — prazo meta de 72h
- Notificação aos titulares: se o risco for alto, os titulares afetados devem ser informados sobre o incidente e as medidas adotadas
- Investigação e remediação: análise da causa raiz e implementação de melhorias para evitar recorrência
- Documentação: todo o processo deve ser documentado para demonstrar conformidade à ANPD
20. DPA Internacional: Como Lidar com Fornecedores do Exterior
Empresas brasileiras que usam serviços de fornecedores internacionais (AWS, Google Cloud, Microsoft Azure, Salesforce, HubSpot, etc.) são responsáveis como controladoras pelos dados pessoais tratados nesses sistemas. O RGPD europeu já influenciou as práticas desses fornecedores, que geralmente dispõem de DPAs padronizados em conformidade com múltiplos regulamentos.
Ao contratar serviços de nuvem ou SaaS internacionais, verifique: se o fornecedor tem DPA adaptado à LGPD ou se o DPA GDPR é aceito como equivalente (a ANPD ainda não publicou uma lista de países com nível adequado de proteção, mas o GDPR é geralmente aceito como padrão elevado); onde os dados serão processados e armazenados; e se há mecanismo adequado para transferência internacional (cláusulas padrão de proteção de dados ou regras corporativas vinculantes).
21. ANPD: Como a Autoridade Fiscaliza e Quais as Sanções
A Autoridade Nacional de Proteção de Dados (ANPD) é a autarquia federal responsável por zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados, fiscalizar e aplicar sanções e promover o conhecimento sobre proteção de dados no Brasil. Criada pela LGPD, a ANPD iniciou suas atividades de fiscalização efetiva a partir de 2022.
O processo administrativo sancionatório da ANPD tem as seguintes etapas: notificação preliminar ao infrator para apresentação de defesa; avaliação das provas e da gravidade da infração; decisão de primeira instância; recurso à Diretoria Colegiada. As sanções previstas no art. 52 da LGPD incluem: advertência; multa de até 2% do faturamento, limitada a R$ 50 milhões por infração; multa diária pelo período de persistência da infração; publicização da infração; bloqueio do banco de dados; e, em casos extremos, proibição parcial ou total das atividades de tratamento.
O DPA bem elaborado e os demais instrumentos de conformidade (política de privacidade, RIPD, treinamentos) são elementos que a ANPD considera atenuantes nas sanções. Uma empresa que demonstra esforço genuíno de conformidade antes do incidente recebe tratamento diferente de uma empresa que ignorou completamente a LGPD.
22. Transferência de Titularidade dos Dados em Fusões e Aquisições
Em operações de M&A, a base de dados de clientes e usuários é frequentemente um dos ativos mais valiosos da empresa adquirida. Mas a transferência desses dados para o novo controlador levanta questões complexas de conformidade com a LGPD:
- Os titulares dos dados foram informados (e consentido, quando necessário) com a possibilidade de transferência em caso de fusão ou aquisição?
- A política de privacidade do adquirente é compatível com as práticas pelas quais os dados foram originalmente coletados?
- O adquirente manterá as mesmas finalidades para o tratamento dos dados, ou terá novas finalidades que exigem novo consentimento dos titulares?
A LGPD não proíbe a transferência de bases de dados em operações de M&A, mas exige que o novo controlador trate os dados dentro das finalidades originais ou informe os titulares sobre as novas finalidades. O DPA entre as partes da operação de M&A deve cobrir o período de transição, regulando como os dados serão compartilhados durante a due diligence e após o fechamento do negócio.
23. DPA Online: Como Criar Seu Contrato de Dados no DiretoDoc.com
O template de Contrato de Tratamento de Dados Pessoais do DiretoDoc.com foi elaborado em conformidade com a LGPD (Lei 13.709/2018) e com as normas da ANPD, permitindo criar um DPA completo entre empresas em minutos. O processo online é simples: você identifica o controlador e o operador, define o escopo do tratamento (quais dados, para qual finalidade, por qual período), seleciona as obrigações de segurança aplicáveis e as condições de notificação de incidentes, e o sistema gera o documento pronto para revisão e assinatura. O download está disponível em WORD (para edições finais) e PDF (para assinatura digital ou física). Para uma proteção jurídica completa das operações digitais da sua empresa, use o DPA em conjunto com o Contrato de Confidencialidade (NDA) — que protege informações estratégicas não pessoais — e com o Contrato de Licenciamento de Software quando o tratamento ocorre em sistemas de terceiros. A conformidade com a LGPD não é apenas uma obrigação legal — é um diferencial competitivo que demonstra maturidade e responsabilidade no tratamento das informações dos seus clientes e parceiros.