Contrato de Processamento de Dados (DPA) Brasil

O Contrato de Processamento de Dados (DPA — Data Processing Agreement) no Brasil é o instrumento contratual exigido pelo Art. 39 da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709 de 14 de agosto de 2018) que deve ser celebrado entre o controlador de dados pessoais e o operador de dados pessoais para disciplinar o tratamento realizado pelo operador em nome do controlador, com instruções documentadas e obrigações de segurança precisas.

A LGPD, que entrou em vigor em setembro de 2020 e passou a ser aplicada com sanções administrativas a partir de agosto de 2021, criou dois papéis fundamentais no ecossistema de proteção de dados: o controlador — a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI, da LGPD) — e o operador — a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII, da LGPD). O Art. 39 da LGPD estabelece que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

A Autoridade Nacional de Proteção de Dados (ANPD), criada pela Lei 13.853/2019 como autarquia federal vinculada à Presidência da República, é o órgão federal com competência para editar regulamentos, fiscalizar o cumprimento da LGPD e aplicar as sanções administrativas previstas no Art. 52 da LGPD — que incluem advertência, multa de até 2% do faturamento da empresa no Brasil (limitada a R$ 50 milhões por infração), publicização da infração, bloqueio dos dados e eliminação dos dados pessoais tratados em desconformidade. A ANPD publicou o Regulamento de Fiscalização (Resolução CD/ANPD nº 1/2021) e o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4/2023).

O DPA no Brasil é um requisito prático indispensável sempre que uma empresa contrata serviços de terceiros que envolvam acesso ou tratamento de dados pessoais de seus clientes, colaboradores ou outros titulares — como serviços de computação em nuvem (AWS, Azure, Google Cloud), plataformas de CRM (Salesforce, HubSpot), sistemas de RH e folha de pagamento (TOTVS, Senior, ADP), serviços de e-mail marketing (Mailchimp, RD Station), bureaux de crédito (Serasa Experian, SPC Brasil, Boa Vista), processadoras de pagamento (CIELO, Rede, Stone, PagSeguro), e empresas de terceirização de processos de negócio (BPO).

O DPA brasileiro é fortemente inspirado pelo modelo europeu do RGPD (Regulamento Geral sobre a Proteção de Dados — GDPR — Regulamento UE 2016/679), especialmente no Art. 28 do RGPD, que regula os contratos entre controladores e processadores de dados na União Europeia. Empresas multinacionais frequentemente utilizam o mesmo DPA global adaptado para a LGPD, sendo necessário verificar as diferenças entre os requisitos do RGPD e da LGPD — especialmente quanto às bases legais de tratamento e aos prazos de notificação de incidentes.

O Contrato de Processamento de Dados (DPA) no Brasil é obrigatório sempre que uma empresa contrata um terceiro (prestador de serviços) que, no âmbito da prestação do serviço, acessa ou processa dados pessoais de titulares pelos quais a empresa contratante é responsável como controladora.

O DPA é necessário quando: — Empresas contratam serviços de computação em nuvem (IaaS, PaaS, SaaS) onde os dados de seus clientes, colaboradores ou parceiros são armazenados ou processados nos servidores do provedor — relação controlador (empresa contratante) e operador (provedor de nuvem); — Empresas de saúde (hospitais, clínicas, operadoras) contratam sistemas de prontuário eletrônico (PEP), telemedicina ou processamento de laudos e exames — dados de saúde são dados pessoais sensíveis nos termos do Art. 5º, II, da LGPD, com proteção elevada; — Instituições financeiras (bancos, fintechs, seguradoras) contratam bureaux de análise de crédito (Serasa Experian, SPC Brasil, Boa Vista SCPC) ou processadoras de transações financeiras — compartilhamento de dados financeiros pessoais entre controlador e operador; — Empresas contratam terceiros para serviços de RH, folha de pagamento (payroll), benefícios corporativos ou recrutamento e seleção — tratamento de dados pessoais sensíveis dos colaboradores (CPF, dados bancários, dados de saúde do plano de saúde); — Startups e empresas de tecnologia contratam plataformas de analytics, ferramentas de marketing digital, pixel de rastreamento e data management platforms (DMPs) que processam dados comportamentais e de navegação dos usuários; — Empresas realizam transferência internacional de dados pessoais para provedores de serviços localizados fora do Brasil (ex.: servidores na Europa, nos EUA ou em outro país) — o DPA deve incluir as salvaguardas da transferência internacional conforme os Arts. 33 a 36 da LGPD e as orientações da ANPD; — Due diligence em M&A (fusões e aquisições) ou contratos de investimento exigem que a empresa-alvo demonstre conformidade com a LGPD, incluindo a existência de DPAs com todos os seus fornecedores que processam dados pessoais.

O Contrato de Processamento de Dados (DPA) no Brasil deve contemplar os elementos essenciais exigidos pelo Art. 39 da LGPD e pelas boas práticas da ANPD e do mercado.

Identificação das Partes e Papéis LGPD: Identificação completa do controlador (razão social, CNPJ, endereço, Encarregado de Dados — DPO) e do operador (razão social, CNPJ, endereço, DPO), com definição expressa dos papéis conforme a LGPD. Em algumas relações, as partes podem ser co-controladoras (joint controllers) — situação mais complexa que exige DPA específico com divisão de responsabilidades.

Descrição do Tratamento e Instruções Documentadas: Descrição precisa dos dados pessoais tratados (categorias de dados — nome, CPF, dados de saúde, dados financeiros), finalidades específicas do tratamento, operações de tratamento realizadas (coleta, armazenamento, consulta, análise, compartilhamento), titulares dos dados afetados, e restrição expressa ao tratamento pelo operador apenas conforme as instruções do controlador (Art. 39 da LGPD). O DPA deve proibir expressamente o operador de tratar os dados para finalidades próprias do operador não autorizadas pelo controlador.

Medidas Técnicas e Administrativas de Segurança: Especificação das medidas de segurança implementadas pelo operador conforme os Arts. 46 e 47 da LGPD — criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256), controle de acesso baseado em papéis (RBAC), autenticação multifator (MFA), logs de auditoria, gestão de vulnerabilidades, política de backup e recuperação de desastres (RPO e RTO definidos), e testes regulares de penetração (pentests). Referência a certificações relevantes (ISO/IEC 27001, SOC 2 Type II) é recomendada.

Notificação de Incidentes de Segurança: Procedimento e prazo de notificação ao controlador em caso de incidente de segurança que comprometa dados pessoais — o DPA deve estabelecer o prazo interno (ex.: 24 horas após a ciência do incidente pelo operador) para notificação ao controlador, para que o controlador possa cumprir o prazo de notificação à ANPD estabelecido pela Resolução CD/ANPD nº 2/2022 (notificação preliminar em até 3 dias úteis após a ciência do controlador, e notificação complementar em até 20 dias úteis). O conteúdo mínimo da notificação deve ser especificado no DPA.

Suboperadores e Subcontratação: Condições para contratação de suboperadores pelo operador (ex.: subprovedores de nuvem, empresas de manutenção de sistemas) — autorização prévia do controlador ou autorização geral com notificação prévia e direito de objeção. O operador deve garantir que os suboperadores assumam as mesmas obrigações de proteção de dados do DPA.

Transferência Internacional de Dados: Condições e salvaguardas para transferência de dados pessoais para países ou organizações internacionais fora do Brasil, conforme os Arts. 33 a 36 da LGPD e as resoluções da ANPD. O DPA deve indicar os países de destino, as salvaguardas adotadas (cláusulas contratuais padrão aprovadas pela ANPD, certificações reconhecidas, ou consentimento específico do titular) e as medidas técnicas complementares de proteção.

Direitos dos Titulares e Cooperação: Obrigação do operador de cooperar com o controlador para responder às solicitações de exercício de direitos dos titulares de dados (acesso, correção, portabilidade, eliminação, revogação do consentimento — Art. 18 da LGPD) no prazo de 15 dias úteis. O operador deve implementar mecanismos técnicos que permitam ao controlador atender a essas solicitações sem interrupção do serviço.

Enceramento do Contrato e Destino dos Dados: Obrigação do operador de, ao término do contrato, eliminar ou devolver ao controlador todos os dados pessoais tratados em nome do controlador, conforme as instruções do controlador e os prazos de retenção legais aplicáveis. O DPA deve especificar o prazo para deleção (ex.: 30 dias após o encerramento do contrato) e o mecanismo de confirmação da deleção (certificado de destruição de dados). O forms-legal.com disponibiliza este modelo como referência inicial — recomenda-se revisão por advogado especializado em LGPD e DPO certificado.

Para preencher corretamente o Contrato de Processamento de Dados (DPA) no Brasil, siga os passos a seguir.

Mapeie o tratamento de dados realizado pelo operador: antes de preencher o DPA, o controlador deve ter realizado o mapeamento de dados (data mapping) ou o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para identificar com precisão quais dados pessoais o operador irá tratar, de quais titulares, para quais finalidades e por quanto tempo. O DPA deve refletir fielmente esse mapeamento.

Identifique e qualifique as partes com precisão: além dos dados cadastrais (razão social, CNPJ, endereço), identifique o Encarregado de Dados (DPO) de cada parte — nome, e-mail institucional e telefone — conforme a obrigação do Art. 41 da LGPD. Para empresas dispensadas da designação de DPO conforme as orientações da ANPD (microempresas e EPPs com operações de baixo risco), mencione o responsável pelo tratamento de dados.

Descreva as categorias de dados e operações com especificidade técnica: evite descrições genéricas como "dados do cliente" — especifique as categorias exatas (nome, CPF, e-mail, endereço, dados bancários, dados de saúde, dados biométricos, etc.) e as operações (coleta via formulário, armazenamento em banco de dados relacional PostgreSQL, consulta pela equipe de suporte, compartilhamento com transportadoras para entrega).

Especifique as medidas de segurança com nível de detalhe técnico adequado: em vez de "medidas adequadas de segurança", detalhe: "criptografia AES-256 em repouso, TLS 1.3 em trânsito, autenticação multifator (MFA) para todos os acessos administrativos, logs de auditoria com retenção de 12 meses, penetration test anual por empresa certificada CREST ou OSSTMM".

Defina claramente os prazos de notificação de incidentes: o prazo interno para o operador notificar o controlador deve ser de no máximo 24 horas após a ciência do incidente, para que o controlador tenha tempo de avaliar e notificar a ANPD dentro do prazo regulamentar de 3 dias úteis da Resolução CD/ANPD nº 2/2022.

Verifique as cláusulas de transferência internacional: se o operador utiliza servidores ou suboperadores fora do Brasil (ex.: AWS us-east-1 na Virgínia, EUA), o DPA deve incluir cláusulas específicas de transferência internacional conforme os Arts. 33 a 36 da LGPD.

O Contrato de Processamento de Dados (DPA) no Brasil deve cumprir os seguintes requisitos legais da LGPD e regulamentações da ANPD.

Art. 39 da LGPD — Instrução do Operador: O Art. 39 da LGPD estabelece que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador. O DPA é o instrumento que documenta essas instruções e deve ser celebrado antes do início do tratamento dos dados pelo operador. A ausência de DPA não elimina a responsabilidade do controlador pela atuação do operador — o controlador pode ser responsabilizado solidariamente por atos do operador realizados em desconformidade com a LGPD.

Responsabilidade do Operador (Art. 42 da LGPD): O operador responde solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não seguir as instruções lícitas do controlador. O DPA deve refletir essa responsabilidade legal e prever mecanismos de indenização entre as partes em caso de danos causados por violações de proteção de dados — tanto em relação aos titulares dos dados quanto em relação a terceiros.

Notificação de Incidentes à ANPD (Resolução CD/ANPD nº 2/2022): A Resolução CD/ANPD nº 2/2022 regulamenta a comunicação de incidentes de segurança com dados pessoais, estabelecendo que o controlador deve comunicar à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, no prazo de 3 dias úteis após a ciência do incidente (notificação preliminar). O DPA deve garantir que o operador notifique o controlador com antecedência suficiente para cumprir este prazo.

Transferência Internacional e Regulamentação da ANPD: A ANPD publicou a Resolução CD/ANPD nº 19/2024 sobre transferência internacional de dados pessoais, que estabelece as hipóteses de transferência permitida e as cláusulas contratuais padrão para DPAs internacionais. O DPA deve referenciar explicitamente as salvaguardas adotadas para transferências internacionais.

Compatibilidade com a GDPR Europeia: Empresas que também estão sujeitas ao RGPD europeu devem verificar a compatibilidade do DPA brasileiro com os requisitos do Art. 28 do RGPD — especialmente quanto ao conteúdo mínimo exigido pelo RGPD (lista de subprocessadores, direito de auditoria, cláusulas contratuais padrão da Comissão Europeia).

Os erros mais frequentes na elaboração do Contrato de Processamento de Dados (DPA) no Brasil são:

Não celebrar DPA antes do início do tratamento: A LGPD exige que as obrigações do operador estejam contratualmente documentadas antes do início do tratamento dos dados. Empresas que iniciam a integração técnica com o prestador de serviços (conectando APIs, migrando dados) antes de assinar o DPA estão em desconformidade com o Art. 39 da LGPD e expõem o controlador a sanções da ANPD em caso de incidente durante esse período.

Usar DPA genérico sem descrição específica do tratamento: DPAs que descrevem o objeto como "tratamento de dados pessoais necessários para a prestação dos serviços" sem especificar as categorias de dados, as operações de tratamento e as finalidades específicas não cumprem o requisito de instruções documentadas do Art. 39 da LGPD — tornando o instrumento ineficaz para evidenciar conformidade em uma fiscalização da ANPD.

Ignorar os suboperadores do operador: Operadores de nuvem e SaaS frequentemente utilizam dezenas de suboperadores (Amazon Web Services, Google Cloud, bancos de dados de terceiros, ferramentas de monitoramento) que processam dados dos controladores. DPAs que não regulam a subcontratação e não exigem que o operador imponha as mesmas obrigações de proteção de dados aos suboperadores criam lacunas sérias de conformidade com a LGPD.

Não incluir prazo de notificação de incidentes compatível com a Resolução ANPD nº 2/2022: DPAs que estabelecem prazo de notificação de incidentes do operador ao controlador de 72 horas — o mesmo prazo do RGPD europeu — podem ser insuficientes no contexto brasileiro, onde o controlador precisa notificar a ANPD em 3 dias úteis após a ciência do incidente. O prazo interno de notificação operador-controlador deveria ser de 24 horas para garantir o cumprimento do prazo regulatório da ANPD.

Não prever mecanismo de deleção ou devolução de dados ao término do contrato: DPAs que não especificam o prazo e o mecanismo para eliminação ou devolução dos dados ao controlador após o encerramento do contrato deixam os dados pessoais sob controle do operador indefinidamente — violando o princípio da necessidade (Art. 6º, III, da LGPD) e criando risco de vazamento de dados pessoais após o encerramento da relação contratual.