Todo contrato com fornecedor de TI que processa dados pessoais por conta da sua empresa precisa de um DPA (Data Processing Agreement / Acordo de Processamento de Dados). Sem ele, a responsabilidade pelo operador recai sobre o controlador.
Por ALC Consultoria · Atualizado abr/2026
O art. 37 da LGPD exige que o controlador e o operador mantenham registros de suas atividades de tratamento. O art. 39 determina que o operador realize o tratamento conforme as instruções do controlador. O DPA é o instrumento que formaliza essas instruções e aloca responsabilidades.
Sem DPA, o controlador (sua empresa) é responsável por violações que ocorram no operador (o fornecedor) — inclusive em processos administrativos da ANPD.
1. Identificação das partes e papéis
Definir quem é controlador e quem é operador. Em alguns contratos (ex: plataformas SaaS que usam dados para próprias finalidades), ambas as partes podem ser controladores — o que muda completamente a responsabilidade.
2. Finalidade, bases legais e categorias de dados
Especificar exatamente quais dados o operador processará, para qual finalidade específica e qual a base legal. O operador não pode usar os dados para finalidade diferente da contratada.
3. Medidas técnicas e organizacionais de segurança
O DPA deve especificar quais medidas mínimas o operador deve manter: criptografia, controle de acesso, logs de auditoria, backup, gestão de vulnerabilidades. Não basta "adotar medidas adequadas" sem especificá-las.
4. Notificação de incidentes
O operador deve notificar o controlador em prazo definido após a ciência de qualquer incidente de segurança envolvendo dados do controlador — geralmente 24 a 48h. O controlador precisa desse tempo para cumprir o prazo de 72h com a ANPD.
5. Suboperadores e transferência internacional
O operador pode contratar suboperadores (infraestrutura em nuvem, ferramentas de análise)? Se sim, quais são e quais garantias eles oferecem? Transferências internacionais devem seguir o art. 33 da LGPD.
6. Direitos dos titulares
O operador deve cooperar com o controlador para atender solicitações de titulares (acesso, exclusão, portabilidade). Definir o prazo para o operador responder ao controlador (normalmente 5 a 10 dias).
7. Eliminação ou devolução de dados ao término
Ao término do contrato, o operador deve eliminar os dados (com comprovação) ou devolvê-los ao controlador, no prazo de 30 a 60 dias. Dados que permanecem no operador após o término são uma violação em potencial.
8. Rescisão por violação
O controlador deve ter direito de rescindir o contrato sem multa em caso de violação grave do DPA pelo operador — especialmente em caso de incidente de segurança causado por negligência do operador.
Incluso no pack de templates SLA + DPA + NDA — estrutura completa adequada à LGPD.
Baixar templates gratuitos →Neste site
Site relacionado
calculadora-lgpd.com.br
Calcule a faixa de multa LGPD por operador sem DPA
Acessar →Por Anderson Chipak — auditor de sistemas críticos · ALC
