Gestão de Fornecedores14 min de leitura

Como elaborar um DPA (Data Processing Agreement) que realmente proteja sua organização

Equipe Confidata·
Compartilhar

O Art. 39 da LGPD exige que o operador realize o tratamento de dados "segundo as instruções fornecidas pelo controlador". O instrumento que formaliza essas instruções — e que estabelece todas as obrigações de privacidade entre controlador e operador — é o DPA (Data Processing Agreement), ou Acordo de Processamento de Dados.

Apesar da exigência implícita na LGPD, muitas organizações chegam à auditoria ou à due diligence de um cliente com uma de duas situações: sem DPA algum com seus operadores, ou com um DPA genérico que não oferece proteção real. Este artigo explica o que diferencia um DPA eficaz de um documento meramente formal.

O que é o DPA e por que não é o contrato de serviços

O DPA não é o contrato de prestação de serviços. O contrato de serviços regula a relação comercial — escopo, preço, prazo, penalidades. O DPA regula a relação de proteção de dados — como os dados pessoais serão tratados, com quais controles, sob quais instruções e com quais obrigações de compliance.

Os dois documentos podem coexistir de formas diferentes:

  • DPA como documento separado: assinado paralelamente ao contrato de serviços, com referência cruzada entre os dois
  • DPA como anexo ao contrato de serviços: incorporado como addendum específico de proteção de dados
  • DPA embutido no contrato de serviços: cláusulas de proteção de dados integradas ao corpo principal do contrato (funciona, mas dificulta atualizações)

A opção mais prática para fornecedores com múltiplos clientes é o DPA como documento separado padronizado — que pode ser personalizado para cada relação específica.

O que a LGPD exige: a base legal do DPA

O Art. 39 da LGPD estabelece que o operador "deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria."

O Art. 46 exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas proporcionais ao risco.

O Art. 42, §1° estabelece a responsabilidade solidária do operador quando descumprir a legislação ou as instruções do controlador.

Esses dispositivos, combinados, criam a estrutura da relação entre controlador e operador — e o DPA é o instrumento que torna essa estrutura concreta e executável.

Importante: a LGPD não prescreve um formato específico de DPA. Diferentemente do GDPR europeu, que prevê Cláusulas Contratuais Padrão (SCCs) para transferências internacionais, a LGPD deixa as partes livres para estruturar o acordo — desde que cubra o conteúdo necessário.

Estrutura essencial do DPA: o que não pode faltar

1. Identificação das partes e dos papéis

Identificar claramente quem é o controlador e quem é o operador — com CNPJ, razão social e a declaração explícita do papel de cada parte conforme a LGPD. Se houver suboperadores (terceiros contratados pelo operador), devem ser mencionados.

2. Objeto do processamento

Descrever com precisão qual serviço/atividade envolve o tratamento de dados pessoais. Deve ser específico — não "suporte de TI" mas "hospedagem e manutenção do sistema de CRM que contém dados de clientes da empresa contratante."

3. Duração do processamento

Prazo de vigência do DPA, vinculado ao contrato de serviços principal. Deve incluir disposições sobre o que acontece com os dados após o término: devolução ao controlador ou destruição segura, com prazo definido.

4. Natureza, finalidade e categorias dos dados

Esta é uma das cláusulas mais negligenciadas — e a mais importante para conformidade.

Natureza: como o tratamento é realizado (armazenamento, processamento, análise, transmissão)

Finalidade: para que finalidade específica o operador está tratando os dados (apenas para prestar o serviço contratado — não para outras finalidades próprias do operador)

Categorias de dados pessoais: quais tipos de dados o operador terá acesso (nome, CPF, e-mail, dados financeiros, etc.)

Categorias de titulares: quem são os titulares dos dados (clientes da empresa, colaboradores, parceiros comerciais, etc.)

Volume estimado: número aproximado de titulares cujos dados o operador processará

5. Obrigações e direitos do controlador

  • Fornecer ao operador apenas os dados necessários para o serviço (princípio da minimização)
  • Garantir que a base legal do tratamento existe e está documentada
  • Fornecer instruções claras e lícitas ao operador
  • Verificar periodicamente o cumprimento das obrigações do operador
  • Notificar o operador sobre qualquer mudança nas instruções

6. Obrigações do operador

Esta é a seção mais extensa do DPA — e onde estão as proteções concretas para o controlador.

6.1 Processar apenas conforme instruções O operador só pode processar os dados pessoais conforme as instruções documentadas do controlador — nunca para finalidades próprias ou de terceiros. Inclui obrigação de notificar o controlador caso considere que alguma instrução viola a legislação.

6.2 Confidencialidade Garantir que as pessoas com acesso aos dados pessoais estejam sujeitas a obrigação de confidencialidade — seja contratual ou legal.

6.3 Medidas de segurança Implementar e manter medidas técnicas e administrativas de segurança apropriadas ao risco. O DPA deve ser específico sobre o nível mínimo exigido — não apenas "medidas adequadas" (frase vaga que não protege ninguém).

Exemplos de especificidade:

  • Criptografia de dados em repouso e em trânsito
  • Controle de acesso baseado em função (RBAC)
  • Autenticação multifator para acessos a sistemas com dados do controlador
  • Backup seguro com periodicidade definida
  • Política de gestão de patches

6.4 Suboperadores Condições para que o operador subcontrate terceiros com acesso aos dados:

  • Autorização prévia do controlador (específica ou geral com direito de objeção)
  • Imposição ao suboperador das mesmas obrigações do DPA
  • Responsabilidade do operador pelos atos do suboperador perante o controlador

6.5 Suporte aos direitos dos titulares O operador deve cooperar com o controlador no atendimento aos direitos dos titulares (acesso, correção, exclusão, portabilidade). Como o controlador é o responsável pela resposta aos titulares, o operador deve fornecer as informações e executar as ações técnicas necessárias dentro de prazo definido no DPA.

6.6 Cooperação com autoridade regulatória Se a ANPD realizar fiscalização ou solicitar informações relacionadas ao tratamento realizado pelo operador, este deve cooperar plenamente com o controlador para responder ao regulador.

6.7 Auditorias O controlador tem o direito de realizar (ou contratar terceiro para realizar) auditorias no operador para verificar o cumprimento do DPA. O DPA deve definir pré-aviso mínimo, frequência máxima e procedimento para condução das auditorias.

7. Notificação de incidentes de segurança

Esta cláusula é crítica e frequentemente mal redigida.

O DPA deve estabelecer:

  • Obrigação do operador de notificar o controlador sem demora indevida após tomar conhecimento de qualquer incidente de segurança que possa afetar os dados do controlador
  • Prazo máximo para a notificação (recomendado: 24 a 48 horas após o conhecimento — para dar tempo ao controlador de cumprir o prazo de 3 dias úteis da Resolução CD/ANPD nº 15/2024)
  • Conteúdo mínimo da notificação: natureza do incidente, dados e titulares afetados, medidas tomadas, contato do responsável do operador
  • Obrigação de cooperação na investigação e na elaboração do relatório para a ANPD

8. Transferência internacional de dados

Se o operador processar dados em outros países (servidores no exterior, suboperadores internacionais), o DPA deve endereçar:

  • Quais países estão envolvidos
  • As salvaguardas aplicadas (decisão de adequação da ANPD, cláusulas contratuais padrão, ou outros mecanismos do Art. 33 da LGPD)

9. Devolução e destruição de dados ao término

Ao término da relação contratual, o operador deve:

  • Devolver ao controlador todos os dados pessoais recebidos, ou
  • Destruir de forma segura todos os dados, com prazo definido (geralmente 30 a 60 dias após o término)
  • Fornecer ao controlador certificado ou declaração formal de destruição

10. Responsabilidade e indenização

Cláusula que define a responsabilidade do operador pelos danos decorrentes do descumprimento do DPA — e o procedimento de notificação e resolução de disputas. Deve ser consistente com o regime de responsabilidade solidária do Art. 42 da LGPD.

Erros comuns no DPA

Erro 1: DPA genérico sem especificação dos dados

O DPA que diz apenas "dados pessoais dos clientes" sem especificar categorias, volume ou finalidade é inútil para fins de conformidade. A ANPD — e qualquer auditor — precisará de especificidade.

Erro 2: Não incluir cláusula de suboperadores

Muitos fornecedores subcontratam partes do serviço — hospedagem em nuvem, suporte técnico, processamento de pagamentos. Sem cláusula de suboperadores, o controlador perde visibilidade sobre toda a cadeia de processamento dos dados.

Erro 3: Prazo de notificação de incidente incompatível com a lei

Um DPA que dá ao operador 10 dias para notificar o controlador sobre incidentes é inútil: o controlador tem 3 dias úteis para notificar a ANPD. O prazo do operador precisa ser significativamente menor que o do controlador.

Erro 4: Cláusula de auditoria sem mecanismo real

"O controlador tem o direito de realizar auditorias" — sem prazo de pré-aviso, sem definição de escopo, sem obrigação de cooperação do operador. Na prática, o operador pode inviabilizar qualquer auditoria sem descumprir formalmente o DPA.

Erro 5: Não ter DPA algum e incluir "cláusulas de privacidade" no contrato de serviços

Algumas organizações inserem um parágrafo de "proteção de dados" no contrato de serviços e consideram o requisito atendido. Esse parágrafo raramente cobre todos os elementos necessários e frequentemente não oferece proteção real.

Erro 6: Esquecer o DPA ao renovar o contrato

O DPA deve ser revisado quando o contrato é renovado — especialmente se o escopo do serviço mudou, se novas categorias de dados são compartilhadas ou se houve mudança regulatória relevante.

DPA no contexto do GDPR: quando seu fornecedor é europeu

Se sua organização contrata fornecedores europeus que processam dados de titulares brasileiros, ou se você é um fornecedor europeu prestando serviços a clientes brasileiros, a relação pode envolver tanto a LGPD quanto o GDPR.

O GDPR prevê explicitamente a exigência de DPA no Art. 28 — com conteúdo obrigatório muito similar ao que descrevemos acima. Para transferências de dados da UE para o Brasil, o GDPR exige salvaguardas específicas — como as Cláusulas Contratuais Padrão (SCCs) publicadas pela Comissão Europeia.

Ponto prático: quando o fornecedor é europeu e já tem seu modelo de DPA baseado no GDPR, esse documento geralmente atende também às exigências da LGPD — já que o GDPR é mais detalhado em vários aspectos. A revisão jurídica deve verificar os pontos específicos da LGPD que eventualmente não estejam cobertos.

Template vs. DPA personalizado: quando cada um faz sentido

Template padronizado faz sentido quando:

  • O volume de fornecedores é alto e o risco é homogêneo (fornecedores de software SaaS com baixo volume de dados)
  • A organização quer agilidade no onboarding de fornecedores de baixo risco

DPA personalizado é necessário quando:

  • O fornecedor processa dados sensíveis ou grande volume de dados pessoais
  • O processamento envolve transferência internacional de dados
  • O escopo do serviço é complexo e envolve múltiplas categorias de dados
  • O fornecedor tem uma posição de negociação forte e propõe seu próprio modelo de DPA

Na prática, a maioria das organizações adota um template base robusto que é personalizado conforme o perfil de risco do fornecedor — com a equipe jurídica envolvida nas negociações de alto risco.

Conclusão: o DPA que protege é o que é específico e executável

Um DPA eficaz não é aquele que cobre todos os tópicos com linguagem vaga — é aquele que especifica com clareza as obrigações do operador de forma que qualquer descumprimento seja identificável e acionável.

Para o DPO, o DPA é também a ferramenta que demonstra à ANPD que a organização cumpriu sua obrigação de verificar as instruções e controlar o tratamento realizado por terceiros. Sem DPAs adequados, a responsabilidade solidária do Art. 42 torna-se um risco real e imediato.

A documentação do programa de fornecedores — inventário, due diligence, DPAs — precisa estar organizada e acessível.

Baixe o eBook "Checklist de Documentação LGPD" e acesse o modelo de checklist para DPA e o inventário de fornecedores que estrutura o programa de gestão de terceiros do seu programa de privacidade.

Compartilhar
#DPA LGPD#data processing agreement#contrato processamento dados#operador controlador contrato#DPA modelo LGPD#acordo processamento dados

Artigos relacionados

Gestão de fornecedores à luz da LGPD: controladores, operadores e responsabilidadesGestão de Fornecedores · 13 minComo gerenciar fornecedores e operadores conforme a LGPDGestão de Fornecedores · 13 minCláusulas contratuais essenciais para conformidade LGPD em contratos com terceirosConformidade · 13 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista