Data Processing Agreement (DPA)

📥Download deste documento em formato editávelDOCX

Obrigatório

Modelo: DPA-PADRAO-001 Versão: 1.0 Última Revisão: [PREENCHER_DATA]

ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS

Este Acordo de Processamento de Dados Pessoais ("DPA" ou "Acordo") é celebrado entre:

CONTROLADOR: [PREENCHER_RAZAO_SOCIAL_CLIENTE] ("Controlador" ou "Cliente") CNPJ: [PREENCHER] Endereço: [PREENCHER] Representante: [PREENCHER]

OPERADOR: [PREENCHER_RAZAO_SOCIAL] ("Operador" ou "Contratada") CNPJ: [PREENCHER_CNPJ] Endereço: [PREENCHER_ENDERECO] Representante: [PREENCHER]

Doravante denominados individualmente "Parte" e coletivamente "Partes".

CONSIDERANDOS

CONSIDERANDO que o Controlador contratou os serviços de [DESCRIÇÃO DO SERVIÇO] do Operador conforme Contrato Principal nº [NÚMERO] de [DATA];

CONSIDERANDO que a prestação dos serviços envolve o tratamento de dados pessoais em nome do Controlador;

CONSIDERANDO a necessidade de formalizar obrigações recíprocas em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD);

CONSIDERANDO que o tratamento inclui dados de crianças e adolescentes, exigindo proteção especial conforme Art. 14 da LGPD;

As Partes resolvem celebrar o presente Acordo nos seguintes termos:

CLÁUSULA 1ª - DEFINIÇÕES

Para fins deste Acordo, aplicam-se as definições da LGPD (Art. 5º), além das seguintes:

Termo	Definição
Dados Pessoais	Informação relacionada a pessoa natural identificada ou identificável
Dados Sensíveis	Dados sobre origem racial, religião, opinião política, saúde, vida sexual, dados genéticos ou biométricos
Tratamento	Toda operação realizada com dados pessoais
Titular	Pessoa natural a quem se referem os dados
Controlador	Pessoa que decide sobre o tratamento
Operador	Pessoa que realiza tratamento em nome do Controlador
Suboperador	Terceiro contratado pelo Operador para auxiliar no tratamento
Incidente de Segurança	Evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais
ANPD	Autoridade Nacional de Proteção de Dados

CLÁUSULA 2ª - OBJETO

2.1. O presente Acordo tem por objeto estabelecer as condições em que o Operador tratará dados pessoais em nome do Controlador no contexto da prestação dos serviços contratados.

2.2. O Operador compromete-se a tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador e em conformidade com a LGPD.

CLÁUSULA 3ª - DESCRIÇÃO DO TRATAMENTO

3.1 Natureza e Finalidade

Campo	Descrição
Natureza do Tratamento	Processamento de dados para gestão escolar (ERP educacional)
Finalidade	Viabilizar a prestação dos serviços de [DESCREVER SERVIÇO]
Duração	Vigência do Contrato Principal

3.2 Categorias de Titulares

Alunos (incluindo crianças e adolescentes)
Pais e responsáveis legais
Professores e funcionários da instituição
Usuários administrativos

3.3 Tipos de Dados Pessoais

Dados de Identificação:

Nome completo, data de nascimento, gênero
CPF, RG, certidão de nascimento
Foto de perfil
Filiação

Dados de Contato:

Endereço, telefone, e-mail

Dados Acadêmicos:

Matrícula, série, turma
Notas, frequência, boletins
Histórico escolar
Ocorrências disciplinares

Dados de Saúde (quando aplicável):

Alergias, restrições alimentares
Condições médicas relevantes
Necessidades especiais
Laudos médicos

Dados de Acesso:

Credenciais de login
Logs de acesso

3.4 Dados Sensíveis

O tratamento inclui dados sensíveis de saúde, processados exclusivamente para:

Segurança e bem-estar do aluno
Atendimento a necessidades especiais de aprendizagem
Cumprimento de obrigações legais

3.5 Dados de Menores

O tratamento inclui dados de crianças (menores de 12 anos) e adolescentes (12 a 18 anos), observando-se integralmente o Art. 14 da LGPD e o princípio do melhor interesse.

CLÁUSULA 4ª - OBRIGAÇÕES DO OPERADOR

O Operador compromete-se a:

4.1 Quanto ao Tratamento

a) Tratar dados pessoais somente conforme instruções documentadas do Controlador;

b) Garantir que pessoas autorizadas a tratar dados estejam comprometidas com confidencialidade;

c) Adotar medidas técnicas e organizacionais adequadas para proteção dos dados (conforme Anexo I - TOMs);

d) Observar as condições para contratação de suboperadores (Cláusula 6ª);

e) Auxiliar o Controlador no atendimento aos direitos dos titulares;

f) Auxiliar o Controlador no cumprimento de obrigações perante a ANPD;

g) Eliminar ou devolver os dados pessoais ao término do contrato, conforme instrução do Controlador;

h) Disponibilizar informações necessárias para demonstrar conformidade;

i) Permitir auditorias realizadas pelo Controlador ou auditor por ele designado.

4.2 Quanto à Segurança

a) Implementar medidas de segurança conforme Art. 46 da LGPD e detalhadas no Anexo I;

b) Realizar avaliações periódicas de vulnerabilidade;

c) Manter logs de acesso a dados pessoais;

d) Aplicar criptografia em dados em trânsito e em repouso;

e) Controlar acesso com base em necessidade de conhecer.

4.3 Quanto a Incidentes

a) Notificar o Controlador sobre incidentes de segurança em até 24 horas após a ciência;

b) Fornecer informações sobre:

Natureza dos dados afetados
Categorias e número aproximado de titulares
Consequências prováveis
Medidas adotadas para mitigar efeitos

c) Cooperar com o Controlador na investigação e resposta;

d) Documentar todos os incidentes, incluindo fatos, efeitos e medidas corretivas.

CLÁUSULA 5ª - OBRIGAÇÕES DO CONTROLADOR

O Controlador compromete-se a:

a) Fornecer instruções lícitas e documentadas para o tratamento;

b) Garantir que possui base legal para o tratamento determinado;

c) Obter consentimentos necessários, especialmente de responsáveis por menores;

d) Manter o Operador informado sobre alterações nas instruções;

e) Responder às solicitações de titulares que sejam de sua competência;

f) Comunicar incidentes à ANPD e titulares quando exigido pela lei;

g) Pagar os valores acordados no Contrato Principal.

CLÁUSULA 6ª - SUBOPERADORES

6.1 Autorização Geral

O Controlador autoriza o Operador a contratar os suboperadores listados no Anexo II.

6.2 Novos Suboperadores

Para novos suboperadores:

a) O Operador notificará o Controlador com 30 dias de antecedência;

b) O Controlador poderá opor-se por motivo justificado em até 15 dias;

c) Se houver objeção não resolvida, o Controlador poderá rescindir sem ônus.

6.3 Responsabilidade

O Operador permanece integralmente responsável perante o Controlador pelos atos de seus suboperadores.

6.4 Contrato com Suboperadores

O Operador garantirá que contratos com suboperadores contenham obrigações equivalentes às deste DPA.

CLÁUSULA 7ª - DIREITOS DOS TITULARES

7.1 Cooperação

O Operador auxiliará o Controlador no atendimento aos direitos previstos no Art. 18 da LGPD:

Confirmação e acesso
Correção
Anonimização, bloqueio ou eliminação
Portabilidade
Informação sobre compartilhamento
Revogação de consentimento

7.2 Procedimento

a) Solicitações recebidas diretamente pelo Operador serão encaminhadas ao Controlador em 48 horas;

b) O Operador fornecerá dados e informações necessários em 5 dias úteis;

c) Custos excepcionais serão acordados previamente.

CLÁUSULA 8ª - TRANSFERÊNCIA INTERNACIONAL

8.1. O Operador [PODERÁ / NÃO PODERÁ] transferir dados para fora do Brasil.

8.2. [Se aplicável] Transferências são autorizadas para:

Países: [LISTAR]
Suboperadores: [LISTAR]
Mecanismo de proteção: [Cláusulas Contratuais Padrão / Certificação / Outro]

8.3. O Operador garantirá nível de proteção equivalente ao exigido pela LGPD.

CLÁUSULA 9ª - AUDITORIA

9.1 Direito de Auditoria

O Controlador poderá:

a) Solicitar informações sobre medidas de segurança implementadas;

b) Realizar auditorias mediante aviso prévio de 30 dias;

c) Designar auditor independente, sujeito a acordo de confidencialidade.

9.2 Condições

a) Auditorias limitadas a 1 vez por ano, salvo incidentes;

b) Custos de auditoria arcados pelo Controlador;

c) Auditorias não devem prejudicar operações do Operador ou de outros clientes.

9.3 Certificações

O Operador poderá demonstrar conformidade através de:

Certificação ISO 27001
Certificação ISO 27701
Relatório SOC 2 Type II
Outras certificações reconhecidas

CLÁUSULA 10ª - RESPONSABILIDADE

10.1 Responsabilidade do Operador

O Operador responderá por danos causados a titulares quando:

a) Descumprir a LGPD;

b) Descumprir instruções lícitas do Controlador;

c) Não adotar medidas de segurança adequadas.

10.2 Direito de Regresso

O Operador terá direito de regresso contra o Controlador quando o dano decorrer de instruções inadequadas ou ilícitas do Controlador.

10.3 Limitação

[DEFINIR SE APLICÁVEL: Limitação de responsabilidade conforme Contrato Principal]

CLÁUSULA 11ª - TÉRMINO

11.1 Vigência

Este DPA vigorará pelo mesmo prazo do Contrato Principal.

11.2 Efeitos do Término

Ao término:

a) O Operador cessará o tratamento;

b) O Operador, conforme instrução do Controlador:

Devolverá todos os dados pessoais em formato estruturado; ou
Eliminará os dados e certificará a eliminação

c) Exceções para retenção obrigatória por lei serão comunicadas ao Controlador.

11.3 Prazo para Devolução/Eliminação

O Operador cumprirá instrução de devolução/eliminação em até 30 dias após o término.

CLÁUSULA 12ª - DISPOSIÇÕES GERAIS

12.1 Prevalência

Em caso de conflito entre este DPA e o Contrato Principal, prevalecerão as disposições deste DPA quanto a proteção de dados.

12.2 Alterações

Alterações a este DPA devem ser formalizadas por escrito e assinadas pelas Partes.

12.3 Comunicações

Comunicações relativas a este DPA devem ser enviadas para:

Controlador: E-mail: [PREENCHER] Aos cuidados de: [PREENCHER]

Operador: E-mail: [PREENCHER_EMAIL_DPO] Aos cuidados de: [PREENCHER_NOME_DPO] - DPO

12.4 Lei Aplicável e Foro

Este DPA é regido pelas leis brasileiras. Fica eleito o Foro de [CIDADE/UF] para dirimir controvérsias.

CLÁUSULA 13ª - ASSINATURAS

As Partes firmam o presente Acordo em 2 (duas) vias de igual teor.

[CIDADE], [DATA]

CONTROLADOR:

[NOME] [CARGO] [RAZÃO SOCIAL]

OPERADOR:

[NOME] [CARGO] [RAZÃO SOCIAL]

ANEXO I - MEDIDAS TÉCNICAS E ORGANIZACIONAIS (TOMs)

[Ver documento separado: Anexo de Segurança (TOMs)]

ANEXO II - SUBOPERADORES AUTORIZADOS

Suboperador	CNPJ	Serviço	Dados Acessados	Localização
[PREENCHER]	[PREENCHER]	[PREENCHER]	[PREENCHER]	[BRASIL/PAÍS]
[PREENCHER]	[PREENCHER]	[PREENCHER]	[PREENCHER]	[BRASIL/PAÍS]

ANEXO III - INSTRUÇÕES DE TRATAMENTO

[Instruções específicas do Controlador, se houver]

Histórico de Versões

Versão	Data	Alteração
1.0	[PREENCHER]	Versão inicial

ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS​

CONSIDERANDOS​

CLÁUSULA 1ª - DEFINIÇÕES​

CLÁUSULA 2ª - OBJETO​

CLÁUSULA 3ª - DESCRIÇÃO DO TRATAMENTO​

3.1 Natureza e Finalidade​

3.2 Categorias de Titulares​

3.3 Tipos de Dados Pessoais​

3.4 Dados Sensíveis​

3.5 Dados de Menores​

CLÁUSULA 4ª - OBRIGAÇÕES DO OPERADOR​

4.1 Quanto ao Tratamento​

4.2 Quanto à Segurança​

4.3 Quanto a Incidentes​

CLÁUSULA 5ª - OBRIGAÇÕES DO CONTROLADOR​

CLÁUSULA 6ª - SUBOPERADORES​

6.1 Autorização Geral​

6.2 Novos Suboperadores​

6.3 Responsabilidade​

6.4 Contrato com Suboperadores​

CLÁUSULA 7ª - DIREITOS DOS TITULARES​

7.1 Cooperação​

7.2 Procedimento​

CLÁUSULA 8ª - TRANSFERÊNCIA INTERNACIONAL​

CLÁUSULA 9ª - AUDITORIA​

9.1 Direito de Auditoria​

9.2 Condições​

9.3 Certificações​

CLÁUSULA 10ª - RESPONSABILIDADE​

10.1 Responsabilidade do Operador​

10.2 Direito de Regresso​

10.3 Limitação​

CLÁUSULA 11ª - TÉRMINO​

11.1 Vigência​

11.2 Efeitos do Término​

11.3 Prazo para Devolução/Eliminação​

CLÁUSULA 12ª - DISPOSIÇÕES GERAIS​

12.1 Prevalência​

12.2 Alterações​

12.3 Comunicações​

12.4 Lei Aplicável e Foro​

CLÁUSULA 13ª - ASSINATURAS​

ANEXO I - MEDIDAS TÉCNICAS E ORGANIZACIONAIS (TOMs)​

ANEXO II - SUBOPERADORES AUTORIZADOS​

ANEXO III - INSTRUÇÕES DE TRATAMENTO​

Histórico de Versões​