Acordo de Tratamento de Dados Pessoais (DPA)
Define instruções e responsabilidades no tratamento de dados por fornecedor, com segurança, suboperadores, titulares, incidentes, transferências e eliminação.
Este modelo é um rascunho editorial ainda em revisão jurídica. Você pode preencher e gerar o documento, mas ele não substitui a análise de um advogado — recomendamos revisão profissional antes de usá-lo em situações de valor ou risco.
Para que serve
O DPA complementa um contrato principal quando uma parte trata dados pessoais por instrução da outra ou quando é necessário esclarecer papéis e cooperação. Ele documenta escopo, finalidades, categorias, segurança, suboperadores, solicitações de titulares, incidentes, transferências internacionais, retenção e auditoria.
Quando utilizar
- Fornecedor SaaS que processa dados do cliente.
- BPO, call center, folha, marketing ou suporte com acesso a dados.
- Compartilhamento estruturado entre controlador e operador.
- Contrato global que precisa de anexo LGPD brasileiro.
Quando não utilizar
- Sem mapear a operação e os papéis reais.
- Como tentativa de declarar toda parte “operadora” quando decide finalidades próprias.
- Com obrigação genérica de “cumprir a LGPD” sem medidas e prazos.
- Sem lista de suboperadores e transferências internacionais.
Informações necessárias
- Contrato principal e serviços.
- Papéis de cada parte por operação.
- Titulares, dados, finalidades e operações.
- Instruções e duração.
- Medidas de segurança e evidências.
- Suboperadores e locais.
- Solicitações, autoridades e avaliações.
- Incidentes, transferências, retenção e eliminação.
Cláusulas essenciais
- Papéis reais
- Controlador e operador dependem das decisões efetivas, não apenas do rótulo.
- Anexo de tratamento
- Mapeie dados, titulares, finalidade, sistemas e duração.
- Segurança
- Use requisitos proporcionais e verificáveis.
- Suboperadores
- Crie transparência, dever equivalente e gestão da cadeia.
- Incidentes
- O prazo contratual deve permitir avaliação e comunicação regulatória.
- Transferência e saída
- Adote mecanismo válido e eliminação comprovável.
Cláusulas especiais
- ANEXOS OBRIGATÓRIOS
- Integram o DPA: descrição do tratamento, medidas de segurança, suboperadores, locais de armazenamento, mecanismos internacionais, contatos de privacidade e plano de encerramento. Mudanças materiais seguirão controle de versão.
- PRAZO DE INCIDENTE
- O OPERADOR notificará o CONTROLADOR em `{{PRAZO_CONTRATUAL}}`, contado da ciência de suspeita relevante, sem aguardar investigação completa. O prazo deverá permitir ao CONTROLADOR cumprir o regulamento vigente da ANPD, que prevê comunicação em três dias úteis nas hipóteses aplicáveis.
- TRANSFERÊNCIA INTERNACIONAL E CLÁUSULAS-PADRÃO
- Quando aplicável, exportador e importador adotarão mecanismo válido da Resolução CD/ANPD nº 19/2024, incluindo cláusulas-padrão contratuais sem alteração incompatível e medidas complementares necessárias.
- USO PARA MELHORIA E INTELIGÊNCIA ARTIFICIAL
- Qualquer uso para melhoria geral, análise própria ou treinamento de modelos será descrito separadamente, com papel, finalidade, base, minimização e opção contratual. Não será presumido a partir do acesso técnico aos dados.
- ORDEM DE PREVALÊNCIA
- Em conflito sobre proteção de dados, este DPA prevalecerá sobre termos gerais, salvo disposição do contrato principal mais protetiva ou obrigação legal. Nenhum anexo autoriza tratamento ilícito.
Erros comuns a evitar
- Copiar DPA europeu sem adaptar LGPD e ANPD.
- Fixar prazo de incidente maior que a janela regulatória do controlador.
- Autorizar uso próprio amplo pelo operador sem redefinir papéis.
- Prometer eliminação instantânea de todo backup.
- Dar auditoria irrestrita que exponha dados de outros clientes.
Perguntas frequentes
Toda contratação de fornecedor precisa de DPA?
Não automaticamente. O DPA é indicado quando há tratamento de dados relevante que precisa de instruções e responsabilidades próprias. Se o fornecedor não acessa dados pessoais ou atua como controlador independente, outro arranjo pode ser mais adequado.
Legislação relacionada
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados PessoaisRegras para tratamento, compartilhamento, segurança e direitos dos titulares de dados pessoais.
- Lei nº 12.965/2014 — Marco Civil da InternetPrincípios e deveres relacionados ao uso da internet, registros e privacidade.
- Resolução CD/ANPD nº 15/2024 — comunicação de incidente de segurançaRegulamento vigente da ANPD sobre avaliação e comunicação de incidentes que possam acarretar risco ou dano relevante.
- Resolução CD/ANPD nº 19/2024 — transferência internacional de dadosRegulamento da ANPD sobre mecanismos de transferência internacional e cláusulas-padrão contratuais.
- Lei nº 10.406/2002 — Código CivilRegras gerais dos negócios jurídicos, obrigações e contratos civis e empresariais.
- Lei nº 13.874/2019 — Lei da Liberdade EconômicaParâmetros de interpretação contratual, alocação de riscos e autonomia privada, sem afastar normas de ordem pública.
- Lei nº 13.105/2015 — Código de Processo CivilInclui regras sobre títulos executivos extrajudiciais e prova documental.
- MP nº 2.200-2/2001, Lei nº 14.063/2020 e Lei nº 14.620/2023 — assinaturas eletrônicasBase para autoria, integridade e validade de documentos eletrônicos; a força probatória depende do método e do contexto.