DPA - Acordo de Processamento de Dados
ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS
Data Processing Agreement (DPA)
Instrumento celebrado em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).
1. Partes
1.1 CONTROLADOR
O cliente identificado no Contrato de Prestação de Serviços, que determina as finalidades e meios de tratamento dos dados pessoais, doravante denominado CONTROLADOR.
1.2 OPERADOR
OTH HOST, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 52.156.661/0001-04, com sede em Av. Paulista, 1636, Sala 1105/1042, São Paulo, SP, 01310-200, que realiza o tratamento de dados pessoais em nome do CONTROLADOR, doravante denominada OPERADOR.
2. Definições
Para fins deste Acordo, aplicam-se as definições da LGPD, destacando-se:
| Termo | Definição (Art. 5º, LGPD) |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável |
| Dado Pessoal Sensível | Dado sobre origem racial, convicção religiosa, opinião política, saúde, dado genético, biométrico, entre outros |
| Tratamento | Toda operação realizada com dados pessoais (coleta, armazenamento, uso, transmissão, eliminação, etc.) |
| Controlador | Pessoa que decide sobre o tratamento de dados pessoais |
| Operador | Pessoa que realiza o tratamento em nome do controlador |
| Encarregado (DPO) | Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD |
| ANPD | Autoridade Nacional de Proteção de Dados |
3. Objeto
3.1 Finalidade
Este Acordo estabelece as obrigações das partes quanto ao tratamento de dados pessoais realizado pelo OPERADOR em decorrência da prestação dos serviços de infraestrutura contratados pelo CONTROLADOR.
3.2 Natureza do Tratamento
O OPERADOR realiza o tratamento de dados pessoais exclusivamente para:
- Armazenamento de dados em servidores contratados
- Processamento computacional para funcionamento das aplicações
- Backup e recuperação de dados (quando contratado)
- Transmissão de dados através da rede
- Suporte técnico quando solicitado pelo CONTROLADOR
3.3 Categorias de Titulares
Os titulares cujos dados podem ser tratados incluem, conforme definido pelo CONTROLADOR:
- Clientes e usuários do CONTROLADOR
- Colaboradores do CONTROLADOR
- Fornecedores e parceiros
- Quaisquer outras categorias definidas pelo CONTROLADOR
3.4 Tipos de Dados
Os dados pessoais tratados podem incluir, conforme determinado pelo CONTROLADOR:
| Categoria | Exemplos |
|---|---|
| Dados cadastrais | Nome, CPF, RG, data de nascimento |
| Dados de contato | E-mail, telefone, endereço |
| Dados financeiros | Dados bancários, histórico de pagamentos |
| Dados de acesso | IP, logs, credenciais (criptografadas) |
| Dados sensíveis | Conforme aplicação do CONTROLADOR (saúde, biometria, etc.) |
4. Obrigações do OPERADOR
O OPERADOR compromete-se a:
4.1 Tratamento Conforme Instruções
- Tratar dados pessoais somente conforme instruções documentadas do CONTROLADOR
- Não utilizar os dados para finalidades próprias ou de terceiros
- Informar o CONTROLADOR caso instruções violem a legislação
4.2 Sigilo e Confidencialidade
- Garantir que pessoas autorizadas a tratar dados estejam comprometidas com sigilo
- Limitar o acesso aos dados ao mínimo necessário
- Não acessar, visualizar ou utilizar dados do CONTROLADOR, exceto quando expressamente autorizado
4.3 Medidas de Segurança
O OPERADOR implementa as seguintes medidas técnicas e administrativas:
| Categoria | Medidas Implementadas |
|---|---|
| Físicas | Datacenter com controle de acesso, vigilância 24/7, energia redundante |
| Lógicas | Firewall, IDS/IPS, criptografia em trânsito (TLS), isolamento de rede |
| Administrativas | Políticas de acesso, treinamento de equipe, contratos com colaboradores |
| Backup | Backups criptografados (quando contratado), armazenamento segregado |
| Monitoramento | Logs de acesso, alertas de segurança, análise de vulnerabilidades |
4.4 Suboperadores
O OPERADOR poderá utilizar suboperadores para auxílio na prestação de serviços:
- Datacenters e provedores de infraestrutura
- Fornecedores de conectividade
- Prestadores de serviços de segurança
O OPERADOR manterá lista atualizada de suboperadores mediante solicitação, garantindo que estes cumpram obrigações equivalentes às deste Acordo.
4.5 Transferência Internacional
Em caso de transferência internacional de dados:
- Será realizada apenas com autorização prévia do CONTROLADOR
- Respeitará as normas da LGPD (Art. 33)
- Preferencialmente para países com nível adequado de proteção
- Quando necessário, mediante cláusulas contratuais padrão
5. Obrigações do CONTROLADOR
O CONTROLADOR compromete-se a:
- Fornecer instruções claras e documentadas sobre o tratamento
- Garantir que possui base legal adequada para o tratamento
- Informar sobre dados sensíveis que serão armazenados
- Responder aos titulares sobre seus direitos
- Notificar o OPERADOR sobre alterações nas instruções
- Designar seu Encarregado (DPO) e informar ao OPERADOR
6. Direitos dos Titulares
6.1 Atendimento
O CONTROLADOR é o principal responsável por atender solicitações de titulares. O OPERADOR auxiliará o CONTROLADOR mediante:
- Fornecimento de informações técnicas necessárias
- Acesso aos dados quando solicitado
- Exclusão de dados conforme instruções
- Implementação de restrições de tratamento
6.2 Direitos (Art. 18, LGPD)
Os titulares têm direito a:
| Direito | Prazo de Atendimento |
|---|---|
| Confirmação de tratamento | Imediato |
| Acesso aos dados | 15 dias |
| Correção de dados | 15 dias |
| Anonimização/bloqueio/eliminação | 15 dias |
| Portabilidade | 15 dias |
| Revogação de consentimento | Imediato |
7. Incidentes de Segurança
7.1 Notificação
Em caso de incidente de segurança que envolva dados pessoais, o OPERADOR:
| Ação | Prazo |
|---|---|
| Identificação e contenção | Imediato |
| Notificação ao CONTROLADOR | Até 24 horas |
| Relatório preliminar | Até 48 horas |
| Relatório completo | Até 72 horas |
7.2 Conteúdo da Notificação
A notificação conterá, no mínimo:
- Descrição da natureza dos dados afetados
- Informações sobre os titulares afetados
- Medidas técnicas e de segurança utilizadas
- Riscos relacionados ao incidente
- Medidas adotadas para reverter ou mitigar os efeitos
7.3 Responsabilidade
O CONTROLADOR é responsável pela notificação à ANPD e aos titulares (Art. 48, LGPD). O OPERADOR auxiliará conforme necessário.
8. Auditoria
8.1 Direito de Auditoria
O CONTROLADOR ou auditor independente poderá realizar auditorias para verificar conformidade com este Acordo e a LGPD, mediante:
- Aviso prévio de 30 dias
- Acordo sobre escopo e cronograma
- Confidencialidade dos resultados
- Custeio pelo CONTROLADOR (exceto não-conformidades graves)
8.2 Relatórios e Certificações
O OPERADOR disponibiliza:
- Relatórios de conformidade mediante solicitação
- Evidências de implementação de medidas de segurança
- Certificações aplicáveis (ISO 27001, SOC 2, etc., quando disponíveis)
9. Retenção e Eliminação
9.1 Durante o Contrato
O OPERADOR manterá os dados pessoais pelo período necessário à prestação dos serviços, conforme instruções do CONTROLADOR.
9.2 Término do Contrato
Ao término do contrato principal:
| Prazo | Ação |
|---|---|
| Até 30 dias | CONTROLADOR pode solicitar cópia/exportação dos dados |
| Após 30 dias | Dados serão permanentemente eliminados |
| Mediante solicitação | Certificado de eliminação será fornecido |
9.3 Exceções
Dados poderão ser retidos além do período quando:
- Exigido por lei ou regulamentação
- Necessário para exercício de direitos em processos judiciais
- Mediante solicitação expressa do CONTROLADOR
10. Responsabilidades
10.1 Responsabilidade do OPERADOR
O OPERADOR responde por danos causados quando:
- Descumprir obrigações da LGPD específicas de operadores
- Descumprir instruções lícitas do CONTROLADOR
- Agir fora das instruções ou em desacordo com este Acordo
10.2 Responsabilidade do CONTROLADOR
O CONTROLADOR responde por:
- Licitude das bases legais utilizadas
- Adequação das instruções fornecidas
- Conteúdo dos dados armazenados
- Atendimento aos direitos dos titulares
10.3 Limitação
A responsabilidade de cada parte será limitada aos danos diretos comprovados, respeitando o limite estabelecido no Contrato de Prestação de Serviços.
11. Confidencialidade
- As informações trocadas entre as partes são confidenciais
- Prazo de confidencialidade: 5 anos após término do contrato
- Extensão a colaboradores, suboperadores e prestadores
12. Vigência
- Este Acordo entra em vigor na assinatura/aceite
- Permanece vigente enquanto durar o Contrato de Prestação de Serviços
- Obrigações de confidencialidade e eliminação subsistem após o término
13. Encarregados (DPO)
13.1 DPO do OPERADOR
Encarregado de Dados da OTH HOST
E-mail: [email protected]
Endereço: Av. Paulista, 1636, Sala 1105/1042, São Paulo, SP, 01310-200
13.2 DPO do CONTROLADOR
O CONTROLADOR informará os dados de contato de seu Encarregado através de comunicação formal ou cadastro em nosso painel.
14. Alterações
Este Acordo poderá ser alterado mediante:
- Comunicação prévia de 30 dias
- Aceite expresso para alterações materiais
- Publicação da versão atualizada
15. Legislação e Foro
- Legislação: Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
- Foro: Comarca de São Paulo/SP
Ao contratar nossos serviços e processar dados pessoais em nossa infraestrutura, o CONTROLADOR declara conhecer e aceitar os termos deste Acordo de Processamento de Dados.
Última atualização: Fevereiro de 2026
Versão: 1.0