Acordo de Processamento de Dados (DPA) Brasil

O Acordo de Processamento de Dados (DPA) é o documento empresarial firmado no Brasil com base na LGPD Art. 39 (Lei 13.709/2018).

A LGPD define o controlador como a pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais (Art. 5º, inciso VI), e o operador como aquele que realiza o tratamento em nome do controlador (Art. 5º, inciso VII). O Art. 39 da LGPD determina que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. O controlador pode transferir ao operador as atividades de tratamento, mas não se exime das responsabilidades estabelecidas na LGPD — o Art. 42 determina a responsabilidade solidária do controlador e do operador pelos danos causados quando o operador agir em desconformidade com as instruções do DPA.

O Art. 46 da LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas — e o DPA é o instrumento por meio do qual o controlador exige do operador a adoção dessas medidas, com referência às normas ABNT NBR ISO/IEC 27001 e 27701. O Art. 48 da LGPD obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante — e o DPA deve obrigar o operador a notificar o controlador em prazo compatível com a Resolução CD/ANPD nº 4/2023 (máximo 3 dias úteis para a ANPD, o que exige notificação do operador ao controlador em 24 a 48 horas).

O equivalente europeu ao DPA brasileiro é o Contrato de Tratamento de Dados exigido pelo Art. 28 do GDPR (Regulamento UE 2016/679), cujos elementos obrigatórios — objeto, duração, natureza e finalidade do tratamento, tipo de dados, categorias de titulares, obrigações e direitos do responsável pelo tratamento — servem de referência para a elaboração do DPA brasileiro. O Art. 28, §3º do GDPR lista as cláusulas mínimas obrigatórias, que incluem obrigações de confidencialidade, direitos dos titulares, subprocessadores, auditorias e transferências internacionais — estrutura que o DPA LGPD deve refletir. Organizações com operações na União Europeia e no Brasil frequentemente utilizam DPAs unificados que atendem a ambas as regulamentações.

O forms-legal.com disponibiliza este modelo de DPA como instrumento de conformidade com a LGPD no Brasil. O DPA deve ser celebrado antes ou no momento em que o operador inicia o tratamento de dados pessoais em nome do controlador, e deve ser revisado periodicamente para refletir mudanças nas atividades de tratamento ou na regulamentação da ANPD.

O Acordo de Processamento de Dados (DPA) no Brasil é necessário sempre que um controlador contrata um terceiro (operador) para realizar tratamento de dados pessoais em seu nome, conforme os Arts. 39 e 42 da LGPD. O DPA é obrigatório e urgente nas seguintes situações.

Contratação de fornecedores de software e SaaS: Qualquer empresa que contrate serviços de software como serviço (SaaS) — CRM, ERP, plataformas de marketing digital, ferramentas de colaboração, sistemas de folha de pagamento — que envolvam acesso ou tratamento de dados pessoais de clientes ou colaboradores deve celebrar um DPA com o fornecedor. Plataformas como Salesforce, HubSpot, SAP, Oracle, Microsoft 365, Google Workspace e equivalentes disponibilizam DPAs padronizados, mas o controlador brasileiro deve verificar sua conformidade com os Arts. 39 e 46 da LGPD, pois esses DPAs são geralmente elaborados para o GDPR europeu.

Serviços de computação em nuvem (cloud): Provedores de infraestrutura em nuvem (AWS — Amazon Web Services, Microsoft Azure, Google Cloud Platform) e de plataforma como serviço (PaaS) são operadores quando hospedam dados pessoais em nome do controlador. O DPA com o provedor de nuvem deve especificar a localização dos data centers (relevante para transferências internacionais nos termos do Art. 33 da LGPD), as medidas de segurança do Art. 46, e os procedimentos de resposta a incidentes conforme a Resolução CD/ANPD nº 4/2023.

Terceirização de processos de negócios (BPO): Empresas que terceirizam processos como atendimento ao cliente (call center), processamento de folha de pagamento, contabilidade, cobrança de dívidas, ou recrutamento e seleção para prestadores externos devem celebrar DPAs com cada um desses operadores, dado o amplo acesso a dados pessoais de colaboradores, clientes e candidatos que essas atividades envolvem.

Marketing digital e análise de dados: Agências de marketing, plataformas de e-mail marketing, ferramentas de web analytics (Google Analytics, Adobe Analytics), pixels de rastreamento (Meta Pixel, LinkedIn Insight Tag), e plataformas de programmatic advertising atuam como operadores e exigem DPA quando tratam dados pessoais de usuários em nome do controlador.

Transferência internacional: Quando o operador está localizado em país sem adequação reconhecida pela ANPD (Art. 34 da LGPD), o DPA deve incluir salvaguardas específicas para a transferência internacional de dados conforme o Art. 33 da LGPD — como cláusulas contratuais aprovadas pela ANPD ou normas corporativas globais (Binding Corporate Rules — BCRs).

O Acordo de Processamento de Dados (DPA) no Brasil, conforme o Art. 39 da LGPD e as melhores práticas internacionais alinhadas ao Art. 28 do GDPR, deve contemplar os elementos essenciais a seguir.

Identificação das Partes: Qualificação completa do controlador (razão social, CNPJ, endereço, DPO — Encarregado nos termos do Art. 41 da LGPD) e do operador (razão social, CNPJ ou identificação estrangeira, endereço, ponto de contato para proteção de dados), com descrição do contrato de prestação de serviços principal ao qual o DPA se vincula como aditivo ou cláusula específica.

Escopo e Instruções do Tratamento: Descrição precisa das atividades de tratamento autorizadas — categorias de dados pessoais (e eventual dado sensível nos termos do Art. 5º, inciso II, e Art. 11 da LGPD), categorias de titulares, finalidades específicas do tratamento (Art. 6º, inciso I), operações permitidas (coleta, armazenamento, uso, transmissão, eliminação), prazo ou critério de duração, e restrições expressas. O operador deve estar proibido de utilizar os dados para finalidades distintas das instruções documentadas do controlador, sob pena de responsabilização nos termos do Art. 42 da LGPD.

Obrigações de Confidencialidade: O operador deve comprometer-se a manter sigilo absoluto sobre os dados pessoais acessados, limitando o acesso a colaboradores e suboperadores que necessitem conhecê-los para a execução das atividades contratadas, mediante assinatura de termo de confidencialidade. A obrigação de confidencialidade deve sobreviver ao término do DPA.

Medidas de Segurança (Art. 46 da LGPD): Descrição das medidas técnicas e administrativas exigidas — criptografia em trânsito (TLS 1.3) e em repouso (AES-256), controle de acesso por função (RBAC), autenticação multifator (MFA), logs de auditoria retidos por prazo mínimo de 12 meses, backups periódicos com testes de restauração, gestão de vulnerabilidades com varreduras mensais, e programa de resposta a incidentes. O DPA pode referenciar as normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27701 como padrões mínimos exigidos do operador.

Suboperadores (Sub-processadores): Condições para contratação de suboperadores, incluindo: obrigação de notificação prévia ao controlador com prazo de aprovação (ex.: 15 dias); transferência das mesmas obrigações do DPA; e lista de suboperadores previamente aprovados com identificação, país e finalidade. O operador responde solidariamente pelos atos dos suboperadores perante o controlador e perante os titulares (Art. 42 da LGPD).

Direitos dos Titulares (Art. 18 da LGPD): Obrigação do operador de auxiliar o controlador no atendimento às solicitações dos titulares — acesso, correção, portabilidade, bloqueio, eliminação, revogação do consentimento — dentro do prazo de 15 dias úteis estabelecido pela ANPD como referência de resposta razoável.

Incidentes de Segurança (Art. 48 da LGPD e Resolução CD/ANPD nº 4/2023): Obrigação de notificação do operador ao controlador em até 24 a 48 horas após tomar conhecimento do incidente, com informações sobre: natureza do incidente; categorias e volume estimado de titulares e dados afetados; medidas técnicas imediatas adotadas; e ponto de contato para esclarecimentos. O controlador notifica a ANPD em até 3 dias úteis dos incidentes de alto risco.

Transferência Internacional: Quando aplicável, cláusulas específicas para transferência de dados para o exterior, em conformidade com o Art. 33 da LGPD, indicando o país de destino e as salvaguardas adotadas — adequação, cláusulas contratuais ou normas corporativas globais (BCRs).

Auditoria e Compliance: Direito do controlador de auditar o operador (ou contratar auditor independente) para verificar o cumprimento do DPA, mediante notificação prévia de 15 dias. O operador deve colaborar com inspeções da ANPD relacionadas às atividades de tratamento realizadas em nome do controlador.

O forms-legal.com disponibiliza este modelo de DPA como instrumento de conformidade inicial — recomenda-se revisão por advogado com expertise em LGPD antes da assinatura.

Para celebrar o Acordo de Processamento de Dados (DPA) conforme exigido pelo Art. 39 da LGPD, siga os passos abaixo.

Passo 1 — Identifique todos os seus operadores: antes de celebrar DPAs, mapeie todos os terceiros que têm acesso a dados pessoais de seus clientes, colaboradores ou usuários. Use o Registro de Atividades de Tratamento (Art. 37 da LGPD) para identificar sistematicamente cada operador. Priorize fornecedores que tratam dados sensíveis (Art. 5º, II, da LGPD), dados de saúde, dados financeiros, ou dados de titulares em larga escala.

Passo 2 — Verifique se o fornecedor já tem DPA padrão: muitos fornecedores de SaaS (especialmente europeus e norte-americanos) disponibilizam DPAs padronizados em seus sítios eletrônicos ou como aditivo ao contrato principal. Avalie se o DPA padrão atende às exigências da LGPD — em especial se menciona as obrigações do Art. 39, as medidas de segurança do Art. 46, e os procedimentos de notificação de incidentes compatíveis com a Resolução CD/ANPD nº 4/2023.

Passo 3 — Preencha a identificação das partes: insira a razão social, CNPJ, endereço e dados do DPO (Encarregado — Art. 41 da LGPD) do controlador; e a razão social, CNPJ (ou identificação estrangeira), endereço, país de localização e ponto de contato para proteção de dados do operador.

Passo 4 — Descreva o escopo do tratamento: identifique precisamente quais dados pessoais o operador irá tratar em nome do controlador — categorias de dados (nome, e-mail, CPF, dados bancários, dados de saúde, etc.), categorias de titulares (clientes, colaboradores, usuários do aplicativo), finalidades específicas conforme o Art. 6º, inciso I, da LGPD, e operações autorizadas (coleta, armazenamento, uso, compartilhamento, eliminação).

Passo 5 — Negocie as cláusulas de segurança e incidentes: garanta que o DPA estabeleça padrões mínimos de segurança técnica (criptografia TLS 1.3 e AES-256, controle de acesso RBAC, MFA, logs de auditoria) e que o operador se comprometa a notificar incidentes em prazo máximo de 24 a 48 horas após tomar ciência, permitindo ao controlador cumprir o prazo da ANPD.

Passo 6 — Assine e arquive: o DPA deve ser assinado pelo representante legal do controlador e do operador, com assinatura eletrônica qualificada por ICP-Brasil (Lei 14.063/2020) ou reconhecimento de firma em cartório, e mantido em arquivo pelo período de vigência do contrato principal acrescido de 5 anos.

O Acordo de Processamento de Dados (DPA) no Brasil deve cumprir os seguintes requisitos legais e regulatórios para ter plena validade perante a ANPD.

Art. 39 da LGPD — Obrigação Principal: O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. O DPA é o instrumento pelo qual essas instruções são formalizadas. Sem DPA documentado, o controlador não tem como demonstrar que forneceu instruções ao operador, nem que verificou sua observância.

Art. 42 da LGPD — Responsabilidade: O operador responde solidariamente com o controlador pelos danos causados quando agir em desconformidade com as instruções do controlador ou com a LGPD. O DPA é o documento que delimita as instruções do controlador — servindo de referência para determinar se o operador agiu em conformidade ou desconformidade.

Art. 46 da LGPD — Medidas de Segurança: O DPA deve estabelecer as medidas de segurança técnicas e administrativas que o operador deve adotar para proteger os dados pessoais tratados em nome do controlador. O descumprimento das medidas de segurança contratualmente estabelecidas gera responsabilidade civil do operador perante o controlador e perante os titulares prejudicados.

Art. 33 da LGPD — Transferência Internacional: Quando o operador ou seus suboperadores estão localizados no exterior, o DPA deve incluir cláusulas específicas de transferência internacional de dados, em conformidade com as normas editadas pela ANPD. Transferências para países sem nível adequado de proteção reconhecido pela ANPD exigem salvaguardas adicionais — como cláusulas contratuais padrão ou normas corporativas globais.

Resolução CD/ANPD nº 4/2023 — Incidentes: O DPA deve estabelecer procedimentos de notificação de incidentes compatíveis com o prazo de comunicação à ANPD previsto na Resolução — incidentes de alto risco devem ser comunicados à ANPD em até 3 dias úteis após o conhecimento pelo controlador, e o DPA deve obrigar o operador a notificar o controlador em prazo anterior (máximo 24 horas) para permitir que o controlador cumpra seu próprio prazo regulatório.

Os erros mais frequentes na celebração do Acordo de Processamento de Dados (DPA) no Brasil são:

Não celebrar DPA com todos os operadores: O erro mais comum é celebrar DPA apenas com os principais fornecedores de tecnologia e omitir operadores menores ou aparentemente menos críticos — como escritórios contábeis, prestadores de serviços de limpeza com acesso às instalações onde dados são processados, ou consultores que recebem planilhas com dados de clientes. Qualquer terceiro que acesse ou trate dados pessoais em nome do controlador é um operador e exige DPA.

Aceitar DPA padrão de fornecedor sem verificar conformidade com a LGPD: Muitos fornecedores internacionais oferecem DPAs elaborados para o GDPR europeu, que não contemplam especificidades da LGPD — como as bases legais dos Arts. 7º e 11, os direitos dos titulares do Art. 18, ou os prazos de notificação de incidentes da Resolução CD/ANPD nº 4/2023. Aceitar esses DPAs sem adaptação pode deixar o controlador desprotegido perante a ANPD.

Não incluir lista de suboperadores: DPAs que autorizam o operador a contratar suboperadores sem obrigação de notificação prévia ao controlador podem resultar em tratamento de dados por terceiros desconhecidos, sem DPAs em cascata. O controlador deve exigir lista atualizada de suboperadores aprovados e direito de veto para novos suboperadores.

Não prever procedimento de devolução ou destruição de dados ao término do contrato: O DPA deve estabelecer que, ao término do contrato principal, o operador devolverá todos os dados pessoais ao controlador ou confirmará sua destruição segura (com certificado de destruição), no prazo máximo de 30 dias. A omissão dessa cláusula pode resultar em retenção indevida de dados pelo operador após o encerramento da relação comercial.

Não revisar o DPA quando houver mudança no escopo do serviço: Mudanças no contrato principal que impliquem tratamento de novas categorias de dados pessoais ou novas finalidades exigem atualização do DPA correspondente. DPAs desatualizados podem não cobrir o tratamento efetivamente realizado pelo operador, gerando gaps de conformidade e responsabilidade civil.