qcontrato
Tecnologia, marketing e dados

Acordo de Tratamento de Dados Pessoais (DPA)

Define instruções e responsabilidades no tratamento de dados por fornecedor, com segurança, suboperadores, titulares, incidentes, transferências e eliminação.

RISCO ALTO · REVISÃO RECOMENDADAREV. 15 JUL 2026 · EM REVISÃO

Este modelo é um rascunho editorial ainda em revisão jurídica. Você pode preencher e gerar o documento, mas ele não substitui a análise de um advogado — recomendamos revisão profissional antes de usá-lo em situações de valor ou risco.

Para que serve

O DPA complementa um contrato principal quando uma parte trata dados pessoais por instrução da outra ou quando é necessário esclarecer papéis e cooperação. Ele documenta escopo, finalidades, categorias, segurança, suboperadores, solicitações de titulares, incidentes, transferências internacionais, retenção e auditoria.

Quando utilizar

  • Fornecedor SaaS que processa dados do cliente.
  • BPO, call center, folha, marketing ou suporte com acesso a dados.
  • Compartilhamento estruturado entre controlador e operador.
  • Contrato global que precisa de anexo LGPD brasileiro.

Quando não utilizar

  • Sem mapear a operação e os papéis reais.
  • Como tentativa de declarar toda parte “operadora” quando decide finalidades próprias.
  • Com obrigação genérica de “cumprir a LGPD” sem medidas e prazos.
  • Sem lista de suboperadores e transferências internacionais.

Informações necessárias

  • Contrato principal e serviços.
  • Papéis de cada parte por operação.
  • Titulares, dados, finalidades e operações.
  • Instruções e duração.
  • Medidas de segurança e evidências.
  • Suboperadores e locais.
  • Solicitações, autoridades e avaliações.
  • Incidentes, transferências, retenção e eliminação.

Cláusulas essenciais

Papéis reais
Controlador e operador dependem das decisões efetivas, não apenas do rótulo.
Anexo de tratamento
Mapeie dados, titulares, finalidade, sistemas e duração.
Segurança
Use requisitos proporcionais e verificáveis.
Suboperadores
Crie transparência, dever equivalente e gestão da cadeia.
Incidentes
O prazo contratual deve permitir avaliação e comunicação regulatória.
Transferência e saída
Adote mecanismo válido e eliminação comprovável.

Cláusulas especiais

ANEXOS OBRIGATÓRIOS
Integram o DPA: descrição do tratamento, medidas de segurança, suboperadores, locais de armazenamento, mecanismos internacionais, contatos de privacidade e plano de encerramento. Mudanças materiais seguirão controle de versão.
PRAZO DE INCIDENTE
O OPERADOR notificará o CONTROLADOR em `{{PRAZO_CONTRATUAL}}`, contado da ciência de suspeita relevante, sem aguardar investigação completa. O prazo deverá permitir ao CONTROLADOR cumprir o regulamento vigente da ANPD, que prevê comunicação em três dias úteis nas hipóteses aplicáveis.
TRANSFERÊNCIA INTERNACIONAL E CLÁUSULAS-PADRÃO
Quando aplicável, exportador e importador adotarão mecanismo válido da Resolução CD/ANPD nº 19/2024, incluindo cláusulas-padrão contratuais sem alteração incompatível e medidas complementares necessárias.
USO PARA MELHORIA E INTELIGÊNCIA ARTIFICIAL
Qualquer uso para melhoria geral, análise própria ou treinamento de modelos será descrito separadamente, com papel, finalidade, base, minimização e opção contratual. Não será presumido a partir do acesso técnico aos dados.
ORDEM DE PREVALÊNCIA
Em conflito sobre proteção de dados, este DPA prevalecerá sobre termos gerais, salvo disposição do contrato principal mais protetiva ou obrigação legal. Nenhum anexo autoriza tratamento ilícito.

Erros comuns a evitar

  • Copiar DPA europeu sem adaptar LGPD e ANPD.
  • Fixar prazo de incidente maior que a janela regulatória do controlador.
  • Autorizar uso próprio amplo pelo operador sem redefinir papéis.
  • Prometer eliminação instantânea de todo backup.
  • Dar auditoria irrestrita que exponha dados de outros clientes.

Perguntas frequentes

Toda contratação de fornecedor precisa de DPA?

Não automaticamente. O DPA é indicado quando há tratamento de dados relevante que precisa de instruções e responsabilidades próprias. Se o fornecedor não acessa dados pessoais ou atua como controlador independente, outro arranjo pode ser mais adequado.

Legislação relacionada

Contratos relacionados