Um Data Processing Agreement (DPA) é o adendo contratual que governa como um fornecedor (o processador) tratará dados pessoais em nome do cliente (o controlador). Exigido pelo Artigo 28 do GDPR, obrigações equivalentes sob a Lei de Proteção de Dados do Reino Unido, CCPA/CPRA, LGPD brasileira e a maioria dos regimes modernos de privacidade. O DPA raramente é o documento que as equipes de negócio se preocupam — mas é o documento que decide se os dados dos seus clientes ficam expostos em uma violação de fornecedor.
Quando você precisa de um DPA
Você precisa de um DPA de qualquer fornecedor que:
- Armazene dados pessoais em seu nome (CRM, central de suporte, automação de marketing, analytics)
- Processe dados pessoais em seu nome (fornecedores de enriquecimento, data brokers, serviços de AI)
- Tenha acesso a dados pessoais por meio de uma relação de subprocessador (infra cloud, sub-fornecedores)
Você não precisa de um DPA de fornecedores que não tocam em dados pessoais (a maioria dos fornecedores de ferramentas internas que processam apenas dados de funcionários/negócios próprios — embora dados de funcionários sejam em si dados pessoais, então a maioria dos fornecedores B2B acaba precisando de um).
Se um fornecedor oferece tanto um MSA padrão quanto um “DPA disponível mediante solicitação”, solicite-o. Se eles não têm um, isso é um sinal de alerta sobre sua maturidade em privacidade.
O checklist de 12 pontos do DPA
Todo DPA que você assina deve cobrir:
| # | Elemento | O que verificar |
|---|---|---|
| 1 | Objeto e duração | Dados pessoais processados apenas para o propósito do serviço, apenas pelo prazo do MSA |
| 2 | Natureza e finalidade do processamento | Descrição clara; não “qualquer propósito comercial” |
| 3 | Categorias de titulares de dados | Clientes, prospects, funcionários, etc. — enumerados |
| 4 | Categorias de dados pessoais | Quais campos são processados (sem categorias especiais sem provisão expressa) |
| 5 | Obrigações do controlador / processador | Lista do Artigo 28 — confidencialidade, segurança, subprocessadores, auditoria |
| 6 | Subprocessadores | Listados; aviso antecipado de mudanças; direito de objeção |
| 7 | Transferências internacionais | SCCs, decisões de adequação ou mecanismo de transferência equivalente |
| 8 | Assistência de direitos do titular dos dados | O fornecedor deve ajudar a responder a solicitações de acesso, exclusão, portabilidade |
| 9 | Notificação de violação | 24-72 horas; quais informações; qual canal |
| 10 | Retorno / exclusão de dados | Na rescisão; certificação; exceções de retenção documentadas |
| 11 | Direitos de auditoria | Razoável, com aviso; o SOC 2 / ISO 27001 mais recente do fornecedor tipicamente é suficiente |
| 12 | Responsabilidade e indenização | Alinhados com o MSA; não limitados abaixo da exposição a multas regulatórias |
Templates de fornecedores rotineiramente falham no aviso de subprocessador (sem aviso antecipado, sem direito de objeção), transferências internacionais (contando com mecanismos de transferência desatualizados) e notificação de violação (timing vago, canal vago).
Como operacionalizar
- Template de DPA padrão anexado a todo MSA. Não negocie a partir do DPA do fornecedor — empurre seu DPA padrão como default. A maioria dos fornecedores vai aceitar.
- Lista de subprocessadores mantida pelo fornecedor. Assine as notificações de mudança de subprocessador. Adicione ao calendário de gestão de fornecedores para revisão.
- Auditoria de transferência cross-border. Uma vez por ano, audite quais fornecedores processam dados pessoais da UE/Reino Unido fora do EEA e verifique se o mecanismo de transferência está atualizado (especialmente após mudanças do Schrems II / Data Privacy Framework).
- Drill de notificação de violação. Anualmente, simule uma notificação de violação de fornecedor e verifique o processo de resposta da sua equipe — quem notifica quem, em que prazo, com quais implicações regulatórias.
- Escrutínio do DPA de fornecedor de AI. Fornecedores de AI que treinam com dados de clientes são um caso especial — verifique se o DPA exclui explicitamente o uso para treinamento, ou se o modo de opt-out/sem-treinamento é garantido contratualmente.
Armadilhas comuns
- Aceitar o DPA do fornecedor sem negociação. DPAs de fornecedores são escritos em benefício do fornecedor; concessões padrão ao cliente se escondem no boilerplate.
- Ignorar o flow-down de subprocessador. Os subprocessadores do seu fornecedor processam seus dados — obrigações de flow-down importam.
- Mecanismos de transferência desatualizados. Standard Contractual Clauses revisadas em 2021; alguns DPAs legados ainda referenciam SCCs antigas que não são mais válidas.
- Linguagem de treinamento de AI. Muitos DPAs de fornecedores de AI têm como default “podemos usar dados do cliente para melhorar o serviço”. Negocie para sem-treinamento explícito, ou verifique se o tier enterprise sem-treinamento é o que está sendo adquirido.
- Sem log de auditoria dos DPAs assinados. Quando uma investigação regulatória pergunta “quais fornecedores processam as informações do titular de dados X”, você precisa responder em dias, não meses.
Relacionados
- Rubrica de redlining de MSA — o contrato pai ao qual o DPA se anexa
- Workflow de due diligence de fornecedor — o processo mais amplo de onboarding de fornecedor
- SOP de revisão de contratos — o processo que governa o tier de revisão do DPA