Cláusulas contratuais essenciais para conformidade LGPD em contratos com terceiros

A maioria dos contratos de prestação de serviços brasileiros ainda não inclui cláusulas adequadas de proteção de dados. Contratos de TI, contratos com call centers, contratos com escritórios de contabilidade, acordos com plataformas de software — a grande maioria foi redigida antes da LGPD entrar em vigor ou com cláusulas genéricas que não atendem ao que a lei exige.

O Art. 39 da LGPD é claro: o operador (o fornecedor que acessa dados pessoais em nome do controlador) deve realizar o tratamento de dados conforme as instruções do controlador. Para que isso aconteça na prática — e para que haja evidência de que aconteceu — as instruções precisam estar documentadas em contrato.

Este artigo apresenta as 12 cláusulas essenciais que todo contrato com um fornecedor que acessa dados pessoais deve incluir, e como implementá-las de forma prática.

---

DPA vs. aditivo vs. cláusulas no contrato principal

A proteção de dados pode ser formalizada de três formas:

DPA autônomo (Data Processing Agreement): Documento separado e específico para proteção de dados, que complementa o contrato de prestação de serviços. É a estrutura mais comum em contratos internacionais e recomendada para fornecedores de Tier 1 e Tier 2. Vantagem: permite atualizar o DPA sem reabrir o contrato principal.

Aditivo ao contrato existente: Para contratos já assinados que precisam ser atualizados para incluir cláusulas de proteção de dados. É a forma mais prática de regularizar contratos existentes sem renegociar todo o acordo.

Cláusulas integradas ao contrato principal: Seção específica de proteção de dados incluída no corpo do contrato de prestação de serviços. Adequada para contratos mais simples, com fornecedores de menor criticidade.

Qual escolher: Para fornecedores críticos (Tier 1), DPA autônomo é o recomendado. Para fornecedores padrão, cláusulas integradas ou aditivo simples atendem.

---

As 12 cláusulas essenciais

Cláusula 1: Definição dos papéis (controlador e operador)

Por que é essencial: A definição clara dos papéis é o ponto de partida de toda a estrutura de responsabilidade da LGPD. Sem essa definição, qualquer disputa sobre responsabilidade em caso de incidente começa sem fundamento.

Linguagem sugerida:

"Para os fins desta cláusula e em cumprimento ao disposto na Lei nº 13.709/2018 (LGPD), as Partes reconhecem que [CONTRATANTE] atua como Controladora dos Dados Pessoais objeto deste Contrato, e [CONTRATADA] atua como Operadora, realizando o tratamento exclusivamente em nome e conforme as instruções da Controladora."

O que verificar: Se a plataforma SaaS se define como "co-controladora" ou "controladora independente" para alguns tipos de dados, isso altera a estrutura de responsabilidade e exige avaliação jurídica específica.

---

Cláusula 2: Finalidade e limitação do tratamento

Por que é essencial: O princípio da finalidade (Art. 6º, I da LGPD) exige que os dados sejam usados apenas para o propósito pelo qual foram coletados. O operador não pode usar os dados do controlador para seus próprios fins.

Linguagem sugerida:

"A Operadora realizará o tratamento de Dados Pessoais exclusivamente para as finalidades necessárias à prestação dos serviços previstos neste Contrato, sendo vedado o uso dos Dados Pessoais para qualquer outra finalidade, incluindo o desenvolvimento de produtos próprios, benchmarking, treinamento de modelos de inteligência artificial ou compartilhamento com terceiros não previstos neste instrumento."

Ponto de atenção: Muitos contratos de SaaS incluem cláusulas que permitem o uso dos dados para "melhoria do serviço" — que pode ser interpretada como treinamento de modelos com seus dados. Exija definição específica do que isso significa ou remova a cláusula.

---

Cláusula 3: Categorias de dados e titulares

Por que é essencial: Delimitar exatamente quais dados são processados pelo operador e de quais titulares. Isso limita o escopo do tratamento e cria referência para avaliar incidentes.

Linguagem sugerida:

"O tratamento realizado pela Operadora abrange as seguintes categorias de Dados Pessoais: [lista específica — ex: nome, e-mail, CPF, endereço]. Os titulares dos dados incluem: [ex: clientes, funcionários, leads]. A Operadora não deve acessar, processar ou reter quaisquer categorias de dados além das aqui listadas sem autorização prévia e por escrito da Controladora."

---

Cláusula 4: Obrigações de segurança

Por que é essencial: O Art. 46 da LGPD exige medidas de segurança adequadas. O contrato deve especificar quais medidas o operador se compromete a manter.

Linguagem sugerida:

"A Operadora implementará e manterá medidas técnicas e organizacionais de segurança adequadas para proteger os Dados Pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação, incluindo, no mínimo: (i) criptografia de dados em trânsito e em repouso; (ii) controle de acesso baseado em função com privilégio mínimo; (iii) autenticação multifator para acesso remoto e acesso privilegiado; (iv) registro de logs de acesso aos sistemas que processam Dados Pessoais; (v) programa de gestão de patches e vulnerabilidades."

Adapte ao contexto: A lista de medidas deve refletir a criticidade do dado. Para dados sensíveis (Art. 11 da LGPD), exija medidas mais robustas e especifique-as.

---

Cláusula 5: Restrição de sub-processadores

Por que é essencial: Sub-processadores não autorizados criam riscos invisíveis. O controlador precisa saber quem trata seus dados.

Linguagem sugerida — opção restritiva:

"A Operadora não subcontratará o tratamento dos Dados Pessoais a terceiros sem autorização prévia e por escrito da Controladora. Para cada sub-processador autorizado, a Operadora garantirá que contratos equivalentes ao presente DPA estejam em vigor, com obrigações não inferiores às aqui previstas."

Linguagem sugerida — opção com lista pré-aprovada:

"A Operadora poderá contratar os sub-processadores listados no Anexo [X] ao presente instrumento. Qualquer alteração na lista de sub-processadores deverá ser comunicada à Controladora com antecedência mínima de 30 dias, assegurando à Controladora o direito de se opor às mudanças."

---

Cláusula 6: Notificação de incidentes de segurança

Por que é essencial: A Res. 15/2024 exige que o controlador notifique a ANPD em 3 dias úteis após conhecer o incidente. Se o operador demorar a notificar o controlador, o controlador pode perder o prazo.

Linguagem sugerida:

"A Operadora notificará a Controladora, por escrito, no prazo máximo de 48 (quarenta e oito) horas após o momento em que tomar conhecimento de qualquer incidente de segurança que possa ter afetado os Dados Pessoais da Controladora. A notificação deverá incluir: (i) descrição da natureza do incidente; (ii) categorias e número aproximado de titulares afetados; (iii) categorias e volume aproximado de dados envolvidos; (iv) medidas adotadas ou planejadas para mitigação; (v) nome e contato do responsável do lado da Operadora para comunicação sobre o incidente."

---

Cláusula 7: Atendimento a direitos dos titulares

Por que é essencial: O Art. 18 da LGPD garante ao titular direitos de acesso, correção, eliminação, portabilidade e outros. O controlador é responsável por atender — mas pode precisar da cooperação técnica do operador para fazê-lo.

Linguagem sugerida:

"A Operadora cooperará com a Controladora para o atendimento de solicitações de titulares exercendo seus direitos nos termos do Art. 18 da LGPD, incluindo o fornecimento de cópia dos dados, correção de dados incorretos, eliminação de dados e restrição do tratamento, no prazo máximo de 5 (cinco) dias úteis após a solicitação da Controladora."

---

Cláusula 8: Confidencialidade dos colaboradores

Por que é essencial: Colaboradores do operador que têm acesso a dados pessoais do controlador devem estar vinculados a obrigações de confidencialidade.

Linguagem sugerida:

"A Operadora garantirá que os colaboradores e prestadores de serviço que tenham acesso aos Dados Pessoais estejam sujeitos a obrigações de confidencialidade — por cláusula contratual ou por lei — e receberam treinamento adequado sobre proteção de dados. O acesso será restrito àqueles que precisem das informações para desempenhar suas funções."

---

Cláusula 9: Transferências internacionais

Por que é essencial: Se o operador processar dados fora do Brasil, é necessário um mecanismo de transferência adequado (Art. 33 da LGPD, Res. 19/2024).

Linguagem sugerida:

"Qualquer transferência de Dados Pessoais para fora do território brasileiro será realizada somente quando houver mecanismo adequado previsto na legislação, incluindo: (i) transferência para país ou organismo internacional com decisão de adequação da ANPD; ou (ii) uso de Cláusulas Contratuais Padrão nos termos da Resolução CD/ANPD Nº 19/2024 ou mecanismo equivalente reconhecido pela ANPD. A Operadora informará previamente à Controladora os países destinatários e os mecanismos de transferência utilizados."

---

Cláusula 10: Direito de auditoria

Por que é essencial: O controlador precisa poder verificar que o operador está cumprindo as obrigações. Isso pode ser um questionário de auditoria, revisão de documentos ou auditoria in loco.

Linguagem sugerida:

"A Controladora, ou auditor por ela designado, poderá realizar auditorias ou solicitações de informação para verificar a conformidade da Operadora com as obrigações previstas neste instrumento, mediante aviso prévio de 30 (trinta) dias. A Operadora cooperará com as auditorias e fornecerá acesso a documentação, sistemas e pessoal necessários. A Operadora poderá, como alternativa, fornecer relatórios de auditoria realizados por terceiro independente (SOC 2, ISO 27001) realizados nos últimos 12 meses."

---

Cláusula 11: Prazo de retenção e eliminação dos dados

Por que é essencial: Dados não devem ser retidos além do necessário. Ao fim do contrato, os dados do controlador devem retornar ou ser eliminados.

Linguagem sugerida:

"A Operadora reterá os Dados Pessoais pelo prazo estritamente necessário à prestação dos serviços ou conforme exigido por obrigação legal aplicável. No prazo de 30 (trinta) dias contados do término do Contrato ou da solicitação da Controladora, a Operadora devolverá todos os Dados Pessoais à Controladora em formato utilizável e eliminará todas as cópias em seus sistemas, salvo quando a retenção for exigida por lei. A Operadora emitirá declaração por escrito confirmando a eliminação."

---

Cláusula 12: Responsabilidade e indenização

Por que é essencial: Em caso de incidente causado pelo operador, o controlador pode ser acionado pelo titular. A cláusula de indenização permite que o controlador busque ressarcimento do operador pelos prejuízos que sofrer em razão de falhas do operador.

Linguagem sugerida:

"A Operadora indenizará e isentará a Controladora de quaisquer perdas, danos, multas administrativas, custas judiciais e honorários advocatícios decorrentes de violação pela Operadora das obrigações previstas neste instrumento ou da legislação aplicável de proteção de dados, quando tais danos decorram exclusivamente de atos ou omissões da Operadora."

Limite de responsabilidade: É comum que fornecedores exijam limitação de responsabilidade ao valor anual do contrato. Avalie se isso é adequado ao risco — para dados altamente sensíveis, a limitação pode ser insuficiente.

---

Como revisar contratos existentes: o plano de regularização

Se sua organização tem contratos ativos com fornecedores que acessam dados pessoais mas não incluem cláusulas de proteção de dados adequadas, o caminho prático é:

1. Inventariar os contratos: Liste todos os contratos ativos com fornecedores que acessam dados pessoais (use o ROPA como referência de operadores).

2. Classificar por criticidade: Tier 1 (dados sensíveis, grande volume) → prioridade máxima; Tier 2 → prazo de 3 a 6 meses; Tier 3 → prazo de 6 a 12 meses.

3. Verificar o DPA disponível do fornecedor: Muitas plataformas já têm DPA disponível — revise se atende às obrigações da LGPD antes de redigir um novo.

4. Propor aditivo ou DPA: Para contratos existentes, um aditivo específico de proteção de dados é mais rápido que renegociar o contrato inteiro.

5. Documentar o processo: Registre quais fornecedores têm DPA assinado, quais estão em negociação e quais ainda não foram regularizados — para demonstrar diligência à ANPD se questionada.

---

Checklist de cláusulas

• Definição dos papéis (controlador e operador)?
• Finalidade e limitação do tratamento documentadas?
• Categorias de dados e titulares especificadas?
• Obrigações de segurança mínimas listadas?
• Restrição a sub-processadores (aprovação prévia ou lista)?
• Prazo de notificação de incidentes ≤ 48 horas?
• Cooperação no atendimento de direitos dos titulares?
• Confidencialidade de colaboradores exigida?
• Transferências internacionais cobertas?
• Direito de auditoria exercitável?
• Eliminação/devolução de dados ao término do contrato?
• Responsabilidade e indenização pelo operador?

---

Conclusão

Um contrato sem cláusulas de proteção de dados não é apenas uma irregularidade formal — é uma lacuna que, em caso de incidente, pode deixar o controlador sem defesa jurídica adequada e sem mecanismo para buscar ressarcimento do operador responsável. A regularização dos contratos é uma das ações de maior impacto no programa de conformidade LGPD, e pode ser feita progressivamente, priorizando os fornecedores de maior risco.

O trabalho não precisa ser feito do zero para cada contrato: um modelo de DPA bem redigido, adaptado para as categorias de fornecedores mais comuns na organização, permite escalar a regularização de forma eficiente.

---

O Confidata inclui módulo de gestão de fornecedores com rastreamento do status do DPA por fornecedor, indicador de regularização por tier de criticidade e modelos de cláusulas contratuais adaptáveis para os tipos mais comuns de fornecedores (SaaS, serviços profissionais, infraestrutura cloud).