Glossário
O que é DPA (Data Processing Agreement)?
Contrato entre controlador e operador (ou entre cocontroladores) que define responsabilidades, escopo, finalidade, segurança e deveres no tratamento de dados pessoais.
Definição completa
O DPA — em português Acordo de Tratamento de Dados ou Adendo de Proteção de Dados — é o instrumento jurídico que disciplina como dois agentes de tratamento (tipicamente controlador e operador) trocam dados pessoais. É exigido pela LGPD para enquadrar o operador (Art. 39) e por boas práticas internacionais.
Conteúdo mínimo: descrição do tratamento, finalidade, categorias de dados e titulares, prazo, medidas de segurança, sub-operadores, transferência internacional, auditoria, notificação de incidente, devolução/eliminação de dados após o término.
Em compliance trabalhista, qualquer fornecedor que toque em dados de empregados — folha terceirizada, plataforma de canal anônimo, ATS — deve ter DPA assinado. A ausência de DPA é considerada falha de governança em auditorias e pode agravar dosimetria de sanção.
Base legal
- Lei 13.709/2018 Art. 39
- ISO 27701
- GDPR Art. 28 (referência internacional)
Exemplos práticos
- DPA com plataforma de canal anônimo definindo k-anonimato e retenção
- DPA com folha terceirizada limitando uso de dados ao processamento da folha
- DPA com fornecedor de cloud (AWS, GCP) com cláusulas padrão de segurança
Como o Ethos cobre DPA (Data Processing Agreement)
A plataforma Ethos automatiza o cumprimento de obrigações relacionadas a DPA (Data Processing Agreement) via canal anônimo + IA + relatório PGR-ready.
Ver no softwarePerguntas frequentes
DPA é o mesmo que contrato comercial?
Não — é complementar. O contrato comercial trata de objeto, preço, prazo. O DPA trata especificamente do tratamento de dados pessoais. Pode ser anexo ao contrato principal ou documento autônomo.
Quem precisa assinar DPA?
Sempre que houver compartilhamento de dados pessoais entre dois agentes — controlador-operador, cocontroladores ou transferência internacional. Tratamentos puramente internos não exigem DPA, mas requerem políticas internas.