Contrato com Suboperadores
Documento: CONTRATO-SUBOP-001 Versao: 1.0 Ultima Revisao: [PREENCHER_DATA] Ref. LGPD: Art. 39
1. Objetivo
Este documento estabelece o modelo de contrato para formalizacao de relacoes com suboperadores de dados pessoais, garantindo que terceiros contratados para auxiliar no tratamento de dados cumpram obrigacoes equivalentes as assumidas perante os controladores.
2. Definicao de Suboperador
Conforme a LGPD e orientacoes da ANPD:
| Termo | Definicao |
|---|---|
| Suboperador | Pessoa natural ou juridica contratada pelo Operador para realizar parte do tratamento de dados em nome do Controlador |
| Operador Principal | A [PREENCHER_RAZAO_SOCIAL], que contrata o suboperador |
3. Quando Utilizar
Este contrato deve ser celebrado com:
- Provedores de infraestrutura cloud
- Provedores de servicos de e-mail
- Empresas de suporte tecnico com acesso a dados
- Consultorias com acesso a sistemas
- Prestadores de servicos de backup
- Qualquer terceiro que acesse dados pessoais tratados em nome dos controladores
4. Modelo de Contrato
CONTRATO DE SUBOPERACAO DE DADOS PESSOAIS
Contrato no: [NUMERO] Data: [DATA]
PARTES
OPERADOR PRINCIPAL: [PREENCHER_RAZAO_SOCIAL] CNPJ: [PREENCHER_CNPJ] Endereco: [PREENCHER_ENDERECO] Representante Legal: [PREENCHER] Cargo: [PREENCHER] E-mail: [PREENCHER]
SUBOPERADOR: [PREENCHER_RAZAO_SOCIAL_SUBOPERADOR] CNPJ: [PREENCHER] Endereco: [PREENCHER] Representante Legal: [PREENCHER] Cargo: [PREENCHER] E-mail: [PREENCHER]
Doravante denominados individualmente "Parte" e coletivamente "Partes".
CONSIDERANDOS
CONSIDERANDO que o Operador Principal presta servicos de [DESCREVER SERVICOS] para clientes que atuam como Controladores de dados pessoais;
CONSIDERANDO que o Operador Principal necessita contratar o Suboperador para [DESCREVER NECESSIDADE];
CONSIDERANDO que o Operador Principal e responsavel perante os Controladores pelos atos do Suboperador;
CONSIDERANDO a necessidade de garantir conformidade com a LGPD em toda a cadeia de tratamento;
As Partes resolvem celebrar o presente Contrato:
CLAUSULA 1a - OBJETO
1.1. O presente Contrato tem por objeto estabelecer as condicoes em que o Suboperador tratara dados pessoais em nome do Operador Principal, no contexto da prestacao dos seguintes servicos:
| Servico | Descricao |
|---|---|
| [PREENCHER] | [DESCREVER DETALHADAMENTE] |
1.2. O Suboperador compromete-se a tratar os dados pessoais exclusivamente conforme as instrucoes do Operador Principal e em conformidade com a LGPD.
CLAUSULA 2a - DESCRICAO DO TRATAMENTO
2.1 Dados Tratados
| Elemento | Descricao |
|---|---|
| Categorias de Titulares | [PREENCHER] |
| Tipos de Dados Pessoais | [PREENCHER] |
| Dados Sensiveis | [SIM/NAO - ESPECIFICAR] |
| Dados de Menores | [SIM/NAO] |
| Finalidade | [PREENCHER] |
| Duracao | Vigencia deste Contrato |
2.2 Operacoes de Tratamento
O Suboperador esta autorizado a realizar as seguintes operacoes:
- Coleta
- Armazenamento
- Processamento
- Transmissao
- Hospedagem
- Backup
- [OUTRAS - ESPECIFICAR]
2.3 Localizacao do Tratamento
| Localizacao | Endereco/Regiao |
|---|---|
| Data Center Principal | [PREENCHER] |
| Data Center Backup | [PREENCHER] |
| Pais | [BRASIL/OUTRO] |
CLAUSULA 3a - OBRIGACOES DO SUBOPERADOR
O Suboperador compromete-se a:
3.1 Quanto ao Tratamento
a) Tratar dados pessoais exclusivamente conforme instrucoes documentadas do Operador Principal;
b) Nao utilizar os dados para finalidades proprias ou de terceiros;
c) Nao compartilhar dados com terceiros sem autorizacao previa e escrita;
d) Manter registro de todas as operacoes de tratamento realizadas;
e) Informar imediatamente o Operador Principal caso instrucoes violem a LGPD.
3.2 Quanto a Confidencialidade
a) Garantir que todos os colaboradores com acesso aos dados estejam vinculados a obrigacoes de confidencialidade;
b) Limitar o acesso aos dados a colaboradores que necessitem para execucao dos servicos;
c) Nao copiar, reproduzir ou extrair dados alem do necessario para a prestacao do servico;
d) A obrigacao de confidencialidade permanece vigente por tempo indeterminado.
3.3 Quanto a Seguranca
a) Implementar medidas tecnicas e organizacionais adequadas, incluindo, no minimo:
| Categoria | Medidas |
|---|---|
| Controle de Acesso | Autenticacao forte, MFA, principio do menor privilegio |
| Criptografia | TLS 1.2+ em transito, AES-256 em repouso |
| Monitoramento | Logs de acesso, deteccao de intrusao |
| Backup | Backups regulares, criptografados, testados |
| Vulnerabilidades | Scans periodicos, correcao tempestiva |
b) Manter as medidas de seguranca atualizadas conforme evolucao das ameacas;
c) Nao reduzir o nivel de seguranca sem autorizacao do Operador Principal;
d) As medidas detalhadas estao descritas no Anexo I deste Contrato.
3.4 Quanto a Incidentes
a) Notificar o Operador Principal sobre qualquer incidente de seguranca em ate 12 horas apos ciencia;
b) A notificacao deve conter:
- Natureza do incidente
- Data e hora da deteccao
- Dados e titulares potencialmente afetados
- Numero estimado de registros
- Consequencias provaveis
- Medidas de contencao adotadas
c) Cooperar com o Operador Principal na investigacao e resposta;
d) Nao comunicar incidentes a terceiros sem autorizacao do Operador Principal;
e) Documentar todos os incidentes, mesmo os de baixa gravidade.
3.5 Quanto a Auditoria
a) Disponibilizar informacoes para demonstrar conformidade;
b) Permitir auditorias pelo Operador Principal ou auditor designado, mediante aviso de 15 dias;
c) Auditorias limitadas a 1 vez por ano, salvo incidentes;
d) Cooperar com auditorias realizadas por Controladores (clientes do Operador Principal).
CLAUSULA 4a - OBRIGACOES DO OPERADOR PRINCIPAL
O Operador Principal compromete-se a:
a) Fornecer instrucoes claras e licitas para o tratamento;
b) Informar o Suboperador sobre requisitos de seguranca dos Controladores;
c) Notificar alteracoes nas instrucoes de tratamento;
d) Pagar os valores acordados pontualmente;
e) Informar sobre solicitacoes de titulares que envolvam o Suboperador.
CLAUSULA 5a - SUBCONTRATACAO
5.1. O Suboperador NAO PODERA subcontratar o tratamento de dados, total ou parcialmente, sem autorizacao previa, especifica e por escrito do Operador Principal.
5.2. Em caso de autorizacao:
a) O Suboperador permanece integralmente responsavel pelos atos do sub-suboperador;
b) Contrato com sub-suboperador deve conter obrigacoes equivalentes as deste Contrato;
c) O Operador Principal deve aprovar o contrato antes da contratacao.
CLAUSULA 6a - TRANSFERENCIA INTERNACIONAL
6.1. O Suboperador [PODERA / NAO PODERA] transferir dados para fora do Brasil.
6.2. [Se permitida] Transferencias autorizadas para:
| Destino | Finalidade | Mecanismo de Protecao |
|---|---|---|
| [PAIS] | [FINALIDADE] | [SCCs / Certificacao / Outro] |
6.3. O Suboperador garantira nivel de protecao equivalente ao da LGPD.
CLAUSULA 7a - DIREITOS DOS TITULARES
7.1. O Suboperador auxiliara o Operador Principal no atendimento aos direitos dos titulares.
7.2. Solicitacoes recebidas diretamente pelo Suboperador serao encaminhadas ao Operador Principal em 24 horas.
7.3. O Suboperador fornecera informacoes necessarias em 3 dias uteis.
CLAUSULA 8a - RESPONSABILIDADE
8.1 Do Suboperador
O Suboperador responde por danos causados quando:
a) Descumprir a LGPD; b) Descumprir instrucoes licitas do Operador Principal; c) Agir fora ou contrariamente as instrucoes; d) Nao adotar medidas de seguranca adequadas.
8.2 Indenizacao
a) O Suboperador indenizara o Operador Principal por quaisquer perdas, danos, custos ou despesas decorrentes de seu descumprimento;
b) Inclui multas aplicadas pela ANPD em razao de atos do Suboperador;
c) Inclui custos de defesa em processos administrativos e judiciais;
d) Inclui valores pagos a titulares em razao de violacoes.
8.3 Limitacao
[OPCIONAL] A responsabilidade do Suboperador esta limitada a [VALOR/FORMULA], exceto para:
- Dolo ou culpa grave
- Violacao de confidencialidade
- Incidentes de seguranca por negligencia
CLAUSULA 9a - VIGENCIA
9.1. Este Contrato vigorara por [PRAZO] a partir da assinatura.
9.2. [OPCAO A] Renovacao automatica por periodos iguais, salvo denuncia com 60 dias de antecedencia.
9.2. [OPCAO B] Vigencia vinculada ao contrato de prestacao de servicos principal.
CLAUSULA 10a - TERMINO
10.1 Efeitos do Termino
Ao termino, por qualquer razao, o Suboperador devera:
a) Cessar imediatamente o tratamento de dados;
b) Conforme instrucao do Operador Principal:
- Devolver todos os dados em formato estruturado; OU
- Eliminar todos os dados de forma segura e irreversivel
c) Certificar por escrito a devolucao ou eliminacao em ate 15 dias;
d) Eliminar todas as copias, inclusive backups, em ate 30 dias.
10.2 Excecoes
O Suboperador podera reter dados quando exigido por lei, devendo:
- Informar a base legal e prazo de retencao
- Manter as medidas de seguranca
- Eliminar apos cessada a obrigacao
10.3 Sobrevivencia
As clausulas de confidencialidade, responsabilidade e as obrigacoes ate a eliminacao completa dos dados sobrevivem ao termino.
CLAUSULA 11a - RESCISAO
11.1. O Operador Principal podera rescindir imediatamente em caso de:
a) Violacao material deste Contrato pelo Suboperador; b) Incidente de seguranca grave; c) Descumprimento de instrucoes; d) Falencia ou recuperacao judicial do Suboperador.
11.2. A rescisao nao exime o Suboperador das obrigacoes de confidencialidade e eliminacao de dados.
CLAUSULA 12a - DISPOSICOES GERAIS
12.1 Prevalencia
Em caso de conflito, este Contrato prevalece sobre o contrato comercial quanto a protecao de dados.
12.2 Alteracoes
Alteracoes devem ser formalizadas por escrito e assinadas pelas Partes.
12.3 Comunicacoes
Operador Principal: E-mail: [PREENCHER_EMAIL_DPO] Telefone: [PREENCHER] Aos cuidados de: [PREENCHER_NOME_DPO]
Suboperador: E-mail: [PREENCHER] Telefone: [PREENCHER] Aos cuidados de: [PREENCHER]
12.4 Lei Aplicavel e Foro
Este Contrato e regido pelas leis brasileiras. Foro: [CIDADE/UF].
CLAUSULA 13a - ASSINATURAS
As Partes firmam o presente Contrato em 2 (duas) vias de igual teor.
[CIDADE], [DATA]
OPERADOR PRINCIPAL:
[NOME] [CARGO] [RAZAO SOCIAL]
SUBOPERADOR:
[NOME] [CARGO] [RAZAO SOCIAL]
ANEXO I - MEDIDAS DE SEGURANCA DO SUBOPERADOR
[O Suboperador deve preencher com suas medidas de seguranca implementadas, seguindo a estrutura do documento "Anexo de Seguranca - TOMs"]
ANEXO II - INSTRUCOES DE TRATAMENTO
[Instrucoes especificas do Operador Principal, se houver]
5. Checklist de Due Diligence
Antes de celebrar contrato com suboperador, verificar:
- Politicas de privacidade e seguranca do suboperador
- Certificacoes de seguranca (ISO 27001, SOC 2, etc.)
- Historico de incidentes de seguranca
- Localizacao do processamento de dados
- Uso de sub-suboperadores
- Medidas de seguranca implementadas
- Processo de gestao de incidentes
- Capacidade de atender direitos de titulares
- Procedimentos de termino e eliminacao
Historico de Versoes
| Versao | Data | Alteracao | Responsavel |
|---|---|---|---|
| 1.0 | [PREENCHER] | Versao inicial | [PREENCHER] |