Contrato de Cloud Computing Brasil

O Contrato de Cloud Computing é o documento empresarial firmado no Brasil com base na Marco Civil da Internet (Lei 12.965/2014).

O mercado de computação em nuvem no Brasil cresceu significativamente nos últimos anos, com a instalação de regiões de data center locais por Amazon Web Services (AWS São Paulo — sa-east-1, desde 2011), Microsoft Azure (Brasil Sul — São Paulo, e Brasil Sudeste — Rio de Janeiro), Google Cloud Platform (região southamerica-east1, em São Paulo) e Oracle Cloud Infrastructure (região Brazil East — Vinhedo/SP). A localização dos servidores no Brasil é relevante para: (i) conformidade com o Decreto 8.135/2013, que exige processamento de dados sensíveis da administração pública federal em território nacional; (ii) latência de aplicações que atendem usuários brasileiros; (iii) soberania de dados nos termos discutidos no CGI.br (Comitê Gestor da Internet no Brasil).

O Contrato de Cloud Computing no Brasil é classificado como contrato de prestação de serviços de tecnologia da informação (PSTI) para fins do ISS municipal — tributação pelo ISS incide sobre os serviços de processamento de dados e infraestrutura conforme a Lista Anexa à LC 116/2003 (itens 1.03 e 1.05). Para serviços SaaS com licença de software, pode haver controvérsia entre ISS (serviço) e ICMS (mercadoria/licença), pendente de uniformização pelo STF no Tema 59 de Repercussão Geral. A forms-legal.com disponibiliza este modelo de Contrato de Cloud Computing com campos editáveis para preencher e baixar em PDF ou Word.

Além das legislações federais, o Decreto Estadual de SP nº 64.790/2020 e portarias da ANPD regulamentam aspectos complementares do tratamento de dados em nuvem para empresas estabelecidas no estado de São Paulo — polo concentrador de data centers no Brasil, com parques tecnológicos em Barueri, Cotia, Alphaville e São Paulo capital. O CETIC.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação) publica anualmente o Painel TIC Empresas com dados sobre adoção de computação em nuvem no mercado brasileiro, referência para dimensionamento de contratos e benchmarking de SLA.

O Contrato de Cloud Computing torna-se necessário em diversas situações empresariais no Brasil. Empresas que migram sistemas legados para infraestrutura em nuvem pública (AWS, Azure, Google Cloud, Oracle Cloud) ou privada precisam de contrato que defina responsabilidades, SLA e proteção de dados conforme a LGPD. Startups de tecnologia que utilizam plataformas PaaS para desenvolvimento e hospedagem de aplicações necessitam de instrumento contratual claro sobre propriedade do código, portabilidade de dados e garantias de continuidade do serviço. Instituições financeiras supervisionadas pelo Banco Central do Brasil (BACEN), sujeitas à Resolução CMN 4.893/2021 sobre serviços de processamento e armazenamento de dados em nuvem, precisam de contratos específicos que atendam aos requisitos regulatórios do sistema financeiro. Órgãos da administração pública federal e estadual que contratam serviços de nuvem devem observar o Decreto 8.135/2013 e as diretrizes da Estratégia Nacional de Segurança Cibernética (E-Ciber). Empresas do setor de saúde que armazenam prontuários eletrônicos em nuvem estão sujeitas às resoluções do Conselho Federal de Medicina (CFM) sobre guarda de registros médicos digitais e ao sigilo médico previsto no Código de Ética Médica. Provedores de SaaS brasileiros que oferecem software por assinatura precisam de contrato adequado às normas do CDC e da LGPD.

Empresas do setor de saúde que adotam prontuário eletrônico em nuvem (PEP-Cloud) precisam de contrato que observe a Resolução CFM 1.821/2007 (guarda digital de prontuários) e as normas técnicas da ABNT NBR ISO 27799 sobre gestão de segurança da informação em saúde. O Conselho Federal de Medicina (CFM) exige prazo mínimo de guarda de 20 anos para prontuários médicos digitais, o que deve constar do SLA do contrato de cloud.

Plataformas de e-commerce (VTEX, Nuvemshop, WooCommerce em nuvem) e marketplaces brasileiros que armazenam dados de pagamento de consumidores devem observar além da LGPD, as normas do PCI DSS (Payment Card Industry Data Security Standard) e as regulamentações do BACEN sobre meios de pagamento (Resolução BCB 80/2021 sobre arranjos de pagamento). O contrato de cloud deve confirmar que o provedor mantém certificação PCI DSS de nível compatível com o volume de transações processadas pelo contratante.

Empresas do setor educacional (EdTechs) que armazenam dados de alunos menores de idade em plataformas de aprendizagem em nuvem devem observar o Art. 14 da LGPD, que impõe obrigações específicas para o tratamento de dados pessoais de crianças e adolescentes, exigindo consentimento dos responsáveis legais.

Os elementos essenciais do Contrato de Cloud Computing no Brasil incluem a qualificação completa das partes com CNPJ, endereço e representante legal. A descrição técnica dos serviços deve especificar o modelo de nuvem (IaaS, PaaS, SaaS), tipo de implantação (pública, privada, híbrida), capacidade de armazenamento, processamento, largura de banda e localização geográfica dos data centers onde os dados do contratante serão processados e armazenados. O Service Level Agreement (SLA) deve estabelecer disponibilidade mínima (uptime), geralmente 99,9% ou 99,99%, tempo de recuperação de desastre (RTO — Recovery Time Objective), ponto de recuperação (RPO — Recovery Point Objective) e créditos por indisponibilidade. As cláusulas de proteção de dados pessoais devem definir as responsabilidades do controlador e do operador conforme o Artigo 39 da LGPD (Lei 13.709/2018), política de retenção e exclusão de dados, procedimentos de notificação de incidentes à ANPD e ao titular conforme Artigo 48 da LGPD, e condições para transferência internacional de dados. A propriedade dos dados do contratante deve ser expressamente afirmada, com garantia de portabilidade e exportação dos dados em formato padrão (CSV, JSON, XML) ao término do contrato. A plataforma forms-legal.com disponibiliza este modelo completo para preencher e baixar gratuitamente.

Nível de Serviço e Penalidades (SLA): O SLA deve estabelecer disponibilidade mínima garantida (99,9% = 8,7 horas/ano de downtime permitido; 99,99% = 52 minutos/ano), janelas de manutenção programada com aviso prévio de 72 horas, RTO (Recovery Time Objective) máximo de 4 horas para desastre declarado e RPO (Recovery Point Objective) máximo de 1 hora para perda de dados. Os créditos por violação de SLA devem ser expressos em percentual da mensalidade por hora de indisponibilidade acima do acordado.

Encarregado de Dados (DPO): O contrato deve identificar o DPO (Data Protection Officer) do provedor de nuvem, conforme o Art. 41 da LGPD. O provedor de nuvem atua como operador de dados pessoais do contratante (controlador), nos termos do Art. 5, VII e X da LGPD, e deve seguir as instruções do controlador quanto à finalidade do tratamento. O contrato deve prever o procedimento de notificação de incidentes de segurança à ANPD (Autoridade Nacional de Proteção de Dados) conforme Resolução ANPD CD/ANPD nº 4/2023, que exige comunicação em até 72 horas após a ciência do incidente.

Transferência Internacional de Dados: Provedores de nuvem que replicam dados em servidores fora do Brasil (disaster recovery em outras regiões) devem indicar os países de destino e demonstrar conformidade com as regras de transferência internacional dos Arts. 33 a 36 da LGPD — adequação do país (portaria ANPD), cláusulas padrão contratuais aprovadas pela ANPD, ou normas corporativas vinculantes (BCRs — Binding Corporate Rules).

Propriedade e Portabilidade dos Dados: O contrato deve afirmar expressamente que todos os dados do contratante armazenados na nuvem são de propriedade exclusiva do contratante (controlador), e que o provedor não tem direito de usar, monetizar ou compartilhar esses dados com terceiros. A portabilidade dos dados ao término do contrato deve ser garantida em formato padrão aberto (JSON, CSV, XML) dentro de prazo de 90 dias, sem cobrança adicional. A plataforma forms-legal.com disponibiliza este modelo completo adequado às exigências da LGPD e da ANPD vigentes em 2025. O forms-legal.com disponibiliza este modelo de Contrato de Cloud Computing com todos esses elementos em campos editáveis, adequado às normas da LGPD, ANPD, Marco Civil da Internet e regulamentações setoriais vigentes no Brasil em 2025, para preencher e baixar gratuitamente em PDF ou Word.

Para preencher o Contrato de Cloud Computing corretamente, inicie pela qualificação do provedor de nuvem com razão social, CNPJ, endereço da sede no Brasil ou do representante legal no país, e identificação do encarregado de dados (DPO — Data Protection Officer) conforme Artigo 41 da LGPD. Qualifique o contratante com CNPJ, endereço e dados do responsável técnico e do DPO interno. Descreva detalhadamente os serviços contratados: tipo de nuvem (IaaS, PaaS, SaaS), capacidade de armazenamento em gigabytes ou terabytes, instâncias de processamento, localização dos data centers (informar estado ou país). Especifique o SLA com percentual de uptime garantido, janelas de manutenção programada, procedimentos de failover e disaster recovery com RTO e RPO. Defina as obrigações de proteção de dados pessoais: base legal para tratamento conforme Artigo 7 da LGPD, categorias de dados tratados, finalidade do tratamento, prazo de retenção e procedimentos de exclusão segura. Inclua cláusula de auditoria que permita ao contratante verificar a conformidade do provedor com a LGPD e normas de segurança (ISO 27001, SOC 2). Estabeleça condições de portabilidade e migração de dados ao término do contrato, com prazo mínimo de 90 dias para exportação. Preveja foro de eleição conforme Artigo 70 da LGPD para disputas relacionadas à proteção de dados.

Documente a base legal do tratamento de dados pessoais: identifique, para cada categoria de dados pessoais tratados pelo provedor de nuvem em nome do contratante, a base legal aplicável conforme o Art. 7 da LGPD (consentimento, execução de contrato, cumprimento de obrigação legal, legítimo interesse etc.). Para dados sensíveis (Art. 11 da LGPD), as bases legais são mais restritas — consentimento específico ou hipóteses taxativas da lei.

Verifique certificações de segurança do provedor: exija cópia atualizada dos certificados ISO 27001 (segurança da informação), SOC 2 Type II (controles de segurança, disponibilidade e confidencialidade) e, para dados de pagamento, PCI DSS. Provedores de maior porte (AWS, Azure, Google Cloud) disponibilizam esses certificados em seus portais de conformidade (AWS Artifact, Microsoft Trust Center, Google Compliance). Insira no contrato a obrigação do provedor de manter e renovar essas certificações durante toda a vigência contratual e de informar imediatamente ao contratante qualquer perda ou suspensão de certificação. O descumprimento pode ser configurado como violação contratual grave nos termos do Art. 475 do Código Civil, justificando rescisão imediata pelo contratante.

O Contrato de Cloud Computing no Brasil deve observar obrigações estabelecidas pela LGPD (Lei 13.709/2018), pelo Marco Civil da Internet (Lei 12.965/2014) e por regulamentos setoriais específicos. A LGPD impõe ao provedor de nuvem que atua como operador a obrigação de tratar dados pessoais apenas conforme instruções do controlador (Artigo 39), implementar medidas de segurança adequadas (Artigo 46) e notificar incidentes de segurança à ANPD e ao controlador em prazo razoável (Artigo 48). O Marco Civil da Internet (Lei 12.965/2014), em seu Artigo 7, garante a inviolabilidade e o sigilo das comunicações eletrônicas privadas. Provedores estrangeiros de cloud que oferecem serviços a usuários no Brasil estão sujeitos à LGPD conforme Artigo 3, inciso II, independentemente da localização dos servidores. Instituições financeiras devem observar adicionalmente a Resolução CMN 4.893/2021 do Banco Central do Brasil (BACEN), que exige avaliação de riscos e acordos de nível de serviço específicos para serviços em nuvem no sistema financeiro nacional. A ANPD pode aplicar sanções de até 2% do faturamento, limitadas a R$ 50 milhões por infração, em casos de violação da LGPD.

Resolução CMN 4.893/2021 (Setor Financeiro): Instituições financeiras supervisionadas pelo BACEN — bancos, corretoras, distribuidoras, cooperativas de crédito — que contratam serviços de nuvem devem observar a Resolução CMN 4.893/2021, que exige: (i) avaliação prévia de riscos; (ii) acordo contratual com SLA e direitos de auditoria do BACEN; (iii) plano de saída (exit strategy) com prazo mínimo de 12 meses; (iv) localização dos dados e obrigação de acesso pelo BACEN em inspeções.

ANPD e Resolução CD/ANPD nº 4/2023: O Regulamento de Notificação de Incidentes de Segurança da ANPD exige que controladores de dados (contratantes) comuniquem à ANPD e aos titulares afetados incidentes de segurança que possam acarretar risco ou dano relevante, no prazo de 72 horas após a ciência. O contrato de cloud deve obrigar o provedor (operador) a notificar o contratante (controlador) imediatamente após identificar qualquer incidente, para que o controlador possa cumprir o prazo da ANPD.

Entre os erros mais frequentes na elaboração de Contratos de Cloud Computing no Brasil destaca-se a ausência de cláusulas específicas de proteção de dados conforme a LGPD, especialmente a identificação da base legal para tratamento de dados pessoais e as responsabilidades de controlador e operador previstas nos Artigos 37 a 40 da Lei 13.709/2018. A omissão de SLA com métricas objetivas de disponibilidade e penalidades por indisponibilidade deixa o contratante sem proteção contratual efetiva. Não prever cláusula de portabilidade de dados ao término do contrato pode resultar em dependência tecnológica (vendor lock-in) inaceitável em termos de governança corporativa. A ausência de procedimentos de notificação de incidentes de segurança contraria o Artigo 48 da LGPD e expõe o controlador a sanções da ANPD. Contratos que não definem a localização geográfica dos servidores criam incerteza para empresas sujeitas a regulações setoriais específicas, como instituições financeiras supervisionadas pelo BACEN (Resolução CMN 4.893/2021) e órgãos públicos federais (Decreto 8.135/2013). Ignorar cláusulas de auditoria e certificações de segurança (ISO 27001, SOC 2 Type II) compromete a demonstração de conformidade regulatória.

Não avaliar o risco de vendor lock-in: contratos de cloud sem cláusula de portabilidade adequada criam dependência tecnológica que pode tornar impraticável a migração para outro provedor — especialmente quando os dados estão em formatos proprietários ou quando o custo de egresso (data egress fees) é proibitivo. O planejamento antecipado da estratégia de saída (exit plan) é exigido pelo BACEN para instituições financeiras (Resolução CMN 4.893/2021) e recomendado pela ANPD como boa prática de governança de dados para qualquer controlador. A revisão periódica do contrato de cloud computing a cada 12 ou 24 meses é recomendada para atualização dos SLAs, adequação às novas resoluções da ANPD e avaliação de alternativas de mercado.