Acordo de Processamento de Dados (DPA)
Última atualização: 17 de março de 2026
Versão: DPA-v3.0
1. Partes e Definições
Este Acordo de Processamento de Dados ("DPA") é celebrado entre:
CONTROLADOR (Cliente)
A pessoa jurídica contratante dos serviços RISK.OS, responsável pelas decisões referentes ao tratamento de dados pessoais de seus colaboradores e demais titulares.
OPERADOR (RISK.OS)
Serviços GW Treinamentos LTDA., inscrita no CNPJ sob nº 58.526.869/0001-54, com sede em Natal/RN, que realiza o tratamento de dados pessoais em nome do Controlador, conforme instruções documentadas.
Definições (LGPD, Art. 5º)
Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.
Dados Pessoais Sensíveis: Dados sobre saúde, vida sexual, dado genético ou biométrico, entre outros listados no Art. 5º, II.
Tratamento: Toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação etc.).
Pseudonimização: Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente.
Suboperador: Terceiro contratado pelo Operador para auxiliar no tratamento de dados pessoais.
Incidente de Segurança: Qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais.
2. Objeto e Finalidade do Tratamento
O Operador tratará dados pessoais exclusivamente para a prestação dos serviços contratados na plataforma RISK.OS, conforme descrito abaixo:
| Categoria de Dados | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome, e-mail, cargo | Autenticação e controle de acesso | Execução de contrato (Art. 7º, V) |
| Respostas de pesquisa (pseudonimizadas) | Avaliação de riscos psicossociais via HSE-It validado e instrumentos proprietários | Obrigação legal — NR-1 (Art. 7º, II / Art. 11, II, "a") |
| Dados sensíveis de saúde ocupacional | Avaliação HSE-It (OGL v3.0), Avaliação Aprofundada e NR-37 | Tutela da saúde (Art. 11, II, "b") |
| Dados sociodemográficos (opcionais) | Segmentação estatística agregada | Consentimento (Art. 7º, I / Art. 11, I) |
| IP, navegador, logs de acesso | Segurança e auditoria | Interesse legítimo (Art. 7º, IX) |
3. Obrigações do Operador
3.1 Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador e para as finalidades descritas neste DPA.
3.2 Implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, conforme detalhado na Cláusula 5.
3.3 Não subcontratar outro operador sem autorização prévia, específica ou geral, por escrito, do Controlador. A lista atualizada de suboperadores está disponível em /suboperadores.
3.4 Auxiliar o Controlador no atendimento às solicitações dos titulares (acesso, correção, eliminação, portabilidade) no prazo máximo de 5 (cinco) dias úteis.
3.5 Notificar o Controlador sobre qualquer incidente de segurança envolvendo dados pessoais no prazo máximo de 48 (quarenta e oito) horas após a ciência do incidente, incluindo: natureza dos dados afetados, número aproximado de titulares, medidas adotadas e plano de mitigação.
3.6 Manter registro das atividades de tratamento realizadas em nome do Controlador, conforme Art. 37 da LGPD.
3.7 Ao término do contrato, disponibilizar os dados pessoais ao Controlador para exportação pelo prazo de 45 (quarenta e cinco) dias corridos, em formato estruturado (JSON/CSV). Após esse prazo, os dados serão eliminados, salvo obrigação legal de retenção.
3.8 Garantir que seus colaboradores e prepostos que tenham acesso a dados pessoais estejam sujeitos a obrigações de confidencialidade.
4. Obrigações do Controlador
4.1 Garantir que possui base legal adequada para o tratamento dos dados pessoais transferidos ao Operador.
4.2 Informar os titulares sobre o tratamento de seus dados, conforme Arts. 9º e 18 da LGPD.
4.3 Fornecer instruções lícitas e documentadas ao Operador sobre o tratamento dos dados.
4.4 Notificar o Operador sobre qualquer alteração nas instruções de tratamento ou sobre solicitações de titulares que impactem o tratamento.
4.5 Garantir que os dados pessoais inseridos na Plataforma foram coletados de forma lícita e com base legal adequada.
5. Medidas Técnicas e Organizacionais
O Operador implementa as seguintes medidas de segurança, proporcionais ao risco do tratamento:
6. Suboperadores
O Controlador autoriza o Operador a utilizar os suboperadores listados em /suboperadores. O Operador notificará o Controlador com antecedência mínima de 30 (trinta) dias sobre a adição ou substituição de suboperadores.
O Controlador poderá se opor à adição de novo suboperador no prazo de 15 (quinze) dias após a notificação. Em caso de objeção fundamentada, as partes buscarão solução alternativa. Persistindo a divergência, o Controlador poderá rescindir o contrato sem multa, com direito à portabilidade dos dados.
O Operador permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações dos suboperadores. Cada suboperador é obrigado contratualmente a manter nível de proteção equivalente ao previsto neste DPA.
7. Transferência Internacional de Dados
Alguns suboperadores processam dados fora do Brasil (ver lista em /suboperadores). A transferência internacional de dados é realizada em conformidade com o Art. 33 da LGPD e com a Resolução CD/ANPD nº 19/2024 (Regulamento de Transferências Internacionais), com base nos seguintes mecanismos:
• Cláusulas-padrão contratuais (Art. 33, II, "b" LGPD / Art. 4º Res. 19/2024) — celebradas com cada suboperador internacional.
• Normas corporativas globais — quando o suboperador possui binding corporate rules aprovadas por autoridade competente.
• Certificações reconhecidas — suboperadores com certificações de proteção de dados aceitas pela ANPD.
Os Estados Unidos não possuem, até a presente data, decisão de adequação pela ANPD. Para suboperadores sediados nos EUA (Stripe, AWS), utilizamos cláusulas-padrão contratuais como mecanismo de transferência, conforme Art. 4º da Resolução CD/ANPD nº 19/2024.
8. Direito de Auditoria
8.1 O Controlador terá o direito de auditar o cumprimento deste DPA pelo Operador, mediante solicitação por escrito com antecedência mínima de 30 (trinta) dias.
8.2 A auditoria poderá ser realizada pelo Controlador ou por auditor independente designado por ele, sujeito a acordo de confidencialidade, e será conduzida em horário comercial, sem interferir nas operações normais do Operador.
8.3 O Operador disponibilizará ao Controlador, mediante solicitação, relatórios de conformidade, certificações de segurança e registros de atividades de tratamento, como alternativa ou complemento à auditoria presencial.
8.4 O Controlador terá direito a 1 (uma) auditoria por ano, salvo em caso de incidente de segurança, quando poderá solicitar auditoria adicional imediata.
8.5 Os custos da auditoria serão suportados pelo Controlador, exceto quando a auditoria revelar não conformidade material do Operador, caso em que os custos serão de responsabilidade do Operador.
9. Retenção e Eliminação
| Categoria | Período de Retenção | Após Término |
|---|---|---|
| Dados de conta (nome, e-mail) | Vigência do contrato | Portabilidade 45 dias, depois eliminação |
| Respostas pseudonimizadas | Vigência + obrigação legal | Mantidas de forma agregada e anonimizada |
| Logs de auditoria | 12 meses | Eliminação automática |
| Tokens de sessão | Até expiração | Eliminação automática |
| Dados de pagamento (IDs Stripe) | 5 anos (obrigação fiscal) | Eliminação após prazo legal |
10. Responsabilidade e Indenização
10.1 O Operador indenizará o Controlador por danos diretos comprovados decorrentes de violação deste DPA por culpa ou dolo do Operador, limitada a indenização ao valor pago pelo Controlador nos últimos 12 (doze) meses.
10.2 A limitação acima não se aplica a danos decorrentes de: (a) dolo ou culpa grave; (b) violação de obrigações de proteção de dados pessoais (LGPD); (c) violação de obrigações de confidencialidade.
10.3 O Controlador indenizará o Operador por danos decorrentes de instruções ilícitas fornecidas pelo Controlador, desde que o Operador tenha alertado previamente sobre a ilicitude.
11. Vigência
Este DPA entra em vigor na data de contratação dos serviços RISK.OS e permanece vigente enquanto o Operador tratar dados pessoais em nome do Controlador. As obrigações de confidencialidade, segurança e indenização sobrevivem ao término deste acordo pelo prazo de 5 (cinco) anos.
12. Encarregado de Dados (DPO)
Serviços GW Treinamentos LTDA.
CNPJ: 58.526.869/0001-54
Encarregado (DPO): Gabriel da Câmara Weydt
E-mail DPO: [email protected]
Canal de atendimento: [email protected] | WhatsApp: +55 84 99197-2927
Documentos Relacionados
© 2026 RISK.OS — Serviços GW Treinamentos LTDA. Todos os direitos reservados.