﻿# DPA — Acordo de Processamento de Dados

> Referencia de seguranca: [Politica de Seguranca da Informacao](/conformidade/governanca/seguranca-informacao-protecao-dados/politica-seguranca-informacao).

**Versão:** {{VERSAO}}  
**Data:** {{DATA_VIGENCIA}}  
**Base legal:** LGPD art. 37 — obrigações do operador de dados  
**Partes:** Controlador (cliente/parceiro) e {{EMPRESA}} (Operadora)

---

## 1. Partes

**Controlador:** identificado no contrato principal de prestação de serviços — responsável por determinar as finalidades e os meios do tratamento de dados pessoais.

**Operadora:** {{RAZAO_SOCIAL}} (CNPJ {{CNPJ}}) — trata dados pessoais em nome do Controlador, nos limites deste acordo.

---

## 2. Objeto e duração

Este DPA rege o tratamento de dados pessoais realizado pela {{EMPRESA}} em nome do Controlador no contexto dos serviços contratados.

**Vigência:** enquanto vigorar o contrato principal. Ao encerramento, aplica-se a seção 11.

---

## 3. Natureza, finalidade e escopo

### 3.1 Finalidade

O tratamento se limita ao estritamente necessário para:

- Executar os serviços contratados
- Fornecer suporte técnico e operacional
- Gerar relatórios e indicadores conforme configurado
- Cumprir obrigações legais aplicáveis

### 3.2 Tipos de dados pessoais tratados

*Preencher conforme os dados realmente tratados no contexto do serviço:*

| Categoria | Exemplos | Módulo/Serviço |
|---|---|---|
| Identificação e contato | Nome, e-mail, telefone, CPF quando aplicável | Cadastro, suporte e relacionamento |
| Profissional | Cargo, departamento, organização vinculada | Implantação, treinamento e suporte |
| Uso de sistemas | Logs de autenticação, perfil de acesso, histórico de atendimento | Suporte técnico e segurança |
| Dados operacionais do cliente | Dados inseridos pelo Controlador nos sistemas suportados | Implantação, suporte e treinamento |
| Acesso | Logs de autenticação e trilhas de auditoria | Todos os serviços contratados |
| [Adicionar conforme escopo] | | |

### 3.3 Categorias de titulares

*Selecionar as aplicáveis:*

- [ ] Colaboradores do Controlador
- [ ] Usuários da plataforma designados pelo Controlador
- [ ] Clientes finais do Controlador
- [ ] Outros: [especificar]

---

## 4. Obrigações da {{EMPRESA}} (Operadora)

### 4.1 Instrução documentada

Tratar dados apenas conforme instruções documentadas do Controlador. Em caso de obrigação legal contrária, notificar o Controlador previamente quando permitido por lei.

### 4.2 Confidencialidade

Garantir que todos com acesso aos dados estejam sujeitos a obrigação de confidencialidade, contratual ou legal.

### 4.3 Segurança

Implementar e manter medidas técnicas e organizacionais apropriadas, incluindo:

- Criptografia em trânsito e em repouso
- Controle de acesso por função e menor privilégio
- Autenticação multifator para acessos privilegiados
- Monitoramento e logs de auditoria
- Isolamento de dados por tenant/cliente
- Gestão de vulnerabilidades e patches

*Adaptar conforme as medidas reais implementadas.*

### 4.4 Suboperadores

A {{EMPRESA}} pode contratar suboperadores para partes dos serviços. Lista disponível mediante solicitação ({{EMAIL_PRIVACIDADE}}).

A {{EMPRESA}} garantirá que suboperadores operem sob obrigações equivalentes a este DPA. Notificará o Controlador com **30 dias** de antecedência sobre mudanças relevantes.

### 4.5 Direitos dos titulares

Auxiliar o Controlador, na medida do tecnicamente viável, a responder a solicitações de direitos dos titulares (acesso, correção, eliminação, portabilidade).

### 4.6 Notificação de incidentes

Notificar o Controlador em até **24 horas** após confirmação de incidente que afete dados do Controlador, incluindo: descrição, categorias e volume estimado afetados, medidas adotadas.

### 4.7 Registros e auditoria

Manter registros do tratamento e disponibilizar informações que demonstrem conformidade mediante requisição formal.

### 4.8 Devolução e eliminação

Ao término, devolver ou eliminar os dados conforme instrução do Controlador e seção 11.

---

## 5. Obrigações do Controlador

- Garantir base legal adequada para o tratamento
- Coletar consentimento dos titulares quando exigido
- Fornecer apenas dados necessários para os serviços
- Informar os titulares sobre a participação da {{EMPRESA}} como operadora
- Instruir a {{EMPRESA}} sobre restrições ao tratamento
- Notificar a {{EMPRESA}} sobre alterações nas bases legais

---

## 6. Suboperadores autorizados

| Suboperador | Serviço | Localização |
|---|---|---|
| [Provedor de infraestrutura] | Hospedagem, banco de dados | [País] |
| [Provedor de CDN] | Entrega de assets | [País] |
| [Provedor de e-mail] | Comunicações transacionais | [País] |

*Preencher com os suboperadores reais utilizados.*

---

## 7. Transferência internacional de dados

Quando dados forem transferidos para fora do Brasil via suboperadores, a {{EMPRESA}} garante salvaguardas adequadas conforme LGPD art. 33 (cláusulas contratuais padrão, avaliação de adequação ou outras salvaguardas aplicáveis).

---

## 8. Medidas de segurança declaradas

### Técnicas

- [ ] Criptografia em repouso
- [ ] Criptografia em trânsito (TLS)
- [ ] MFA para acessos privilegiados
- [ ] Segregação de dados por cliente/tenant
- [ ] Logs de auditoria
- [ ] Backup com verificação de integridade
- [ ] [Adicionar conforme implementação real]

### Organizacionais

- [ ] Política de controle de acesso (RBAC)
- [ ] Treinamento periódico de segurança
- [ ] Procedimento de resposta a incidentes documentado
- [ ] Revisões periódicas de acessos
- [ ] Acordo de confidencialidade para todos com acesso

---

## 9. Direitos dos titulares — procedimento

1. Controlador encaminha solicitação para **{{EMAIL_PRIVACIDADE}}** com identificação do titular
2. {{EMPRESA}} responde em até **5 dias úteis**
3. Controlador é responsável pela comunicação final ao titular

---

## 10. Auditoria

- **Documental:** até 1 vez por ano, sem custo, mediante requisição formal
- **Técnica:** mediante acordo prévio e custo a negociar
- **Relatório de terceiros:** disponível mediante NDA, quando existente

---

## 11. Devolução e eliminação de dados

- **D+0 ao D+30 após encerramento:** exportação disponível via plataforma ou sob requisição
- **D+30:** eliminação dos sistemas ativos (salvo obrigação legal)
- **Backups:** eliminados no ciclo de retenção (máximo 90 dias)
- **Certificado de eliminação:** disponível mediante solicitação

---

## 12. Responsabilidade

- {{EMPRESA}} responde pelos danos decorrentes de violação deste DPA imputável a ela, nos limites da LGPD (art. 42)
- Controlador responde pelos danos de sua responsabilidade exclusiva
- Responsabilidade da {{EMPRESA}} limitada ao valor pago nos últimos **12 meses** de contrato, salvo dolo ou culpa grave

---

## 13. Alterações

Alterações relevantes serão comunicadas com **30 dias** de antecedência.

---

## 14. Lei aplicável e foro

Regido pela LGPD (Lei nº 13.709/2018) e legislação brasileira. Foro: **{{FORO}}**.

---

**DPO:** {{EMAIL_PRIVACIDADE}}  
**Suporte:** {{EMAIL_SUPORTE}}
