Modelo Jurídico
Modelo de DPA — Data Processing Agreement com Fornecedor
Acordo de tratamento de dados (DPA) com fornecedor que processa dados de empregado.
Baixar modelo .docxSobre este modelo
Modelo de Data Processing Agreement (DPA) — acordo de tratamento de dados — para celebração entre a [EMPRESA] (controladora) e fornecedor (operador) que processa dados pessoais de colaboradores em razão de serviço contratado. Compatível com LGPD e referência GDPR.
Aplicável a fornecedores de canal de denúncia, EAP, plataforma de folha, plano de saúde, ferramenta de avaliação de candidatos, ATS, sistema de ponto, BPO de RH, entre outros. Documento crítico para defesa em incidente de segurança envolvendo dados compartilhados.
Personalize [EMPRESA], [FORNECEDOR], escopo do tratamento e quadro de medidas de segurança. Recomendado anexar como apêndice obrigatório do contrato comercial.
Aplicabilidade legal
- LGPD — Art. 39 (operador) e Art. 42 (responsabilidade)
- Resolução ANPD 4/2023 — sanções por descumprimento
- GDPR Art. 28 (referência internacional)
Estrutura do documento
- 1. Identificação das Partes
- 2. Objeto e Escopo do Tratamento
- 3. Obrigações do Operador
- 4. Subcontratação
- 5. Medidas de Segurança Mínimas
- 6. Notificação de Incidentes
- 7. Responsabilidade e Indenização
- 8. Vigência e Encerramento
- 9. Disposições Finais
Aviso jurídico: Este é um modelo base preparado por especialistas em compliance para acelerar a implementação. Adapte conforme a realidade da sua empresa e revise com seu departamento jurídico ou advogado trabalhista antes de adotar formalmente.
FAQ
Fornecedor de canal de denúncia anônimo precisa de DPA?
Sim. Mesmo que o canal não colete IP/identificação do denunciante, o conteúdo do relato e a metadata operacional (datas, áreas, classificações) são dados pessoais sob LGPD. Sem DPA, em incidente, a empresa fica exposta — o Art. 42 da LGPD exige relação formal entre controlador e operador.
Posso usar DPA padrão americano (US standard)?
Não recomendamos. DPAs anglo-saxões (especialmente sob CCPA) divergem da LGPD em pontos sensíveis: nomenclatura (controller/processor vs. controlador/operador), bases legais admitidas, prazos de notificação. Use modelo brasileiro (este, p.ex.) ou GDPR adaptado — mais alinhado à LGPD, que se inspirou no GDPR.