Acordo de Processamento de Dados (DPA)
Modelo para revisão jurídica: Este documento é um template estruturado conforme a LGPD e deve ser revisado por assessoria jurídica antes de formalização contratual.
Última atualização: 21 de fevereiro de 2026
Versão: DPA-v1.0
1. Partes e Definições
Este Acordo de Processamento de Dados ("DPA") é celebrado entre:
CONTROLADOR (Cliente)
A pessoa jurídica contratante dos serviços RISK.OS, responsável pelas decisões referentes ao tratamento de dados pessoais de seus colaboradores e demais titulares.
OPERADOR (RISK.OS)
GW Tecnologia e Consultoria, inscrita no CNPJ sob nº [a definir], com sede em Natal/RN, que realiza o tratamento de dados pessoais em nome do Controlador, conforme instruções documentadas.
Definições (LGPD, Art. 5º)
Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.
Dados Pessoais Sensíveis: Dados sobre saúde, vida sexual, dado genético ou biométrico, entre outros listados no Art. 5º, II.
Tratamento: Toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação etc.).
Pseudonimização: Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente.
Suboperador: Terceiro contratado pelo Operador para auxiliar no tratamento de dados pessoais.
2. Objeto e Finalidade do Tratamento
O Operador tratará dados pessoais exclusivamente para a prestação dos serviços contratados na plataforma RISK.OS, conforme descrito abaixo:
| Categoria de Dados | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome, e-mail, cargo | Autenticação e controle de acesso | Execução de contrato (Art. 7º, V) |
| Respostas de pesquisa (pseudonimizadas) | Avaliação de riscos psicossociais | Obrigação legal — NR-1 (Art. 7º, II) |
| Dados sociodemográficos (opcionais) | Segmentação estatística agregada | Consentimento (Art. 7º, I) |
| IP, navegador, logs de acesso | Segurança e auditoria | Interesse legítimo (Art. 7º, IX) |
3. Obrigações do Operador
3.1 Tratar os dados pessoais exclusivamente conforme as instruções documentadas do Controlador e para as finalidades descritas neste DPA.
3.2 Implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo: criptografia em trânsito (TLS), pseudonimização por HMAC-SHA256, controle de acesso baseado em roles (RBAC), autenticação multifator (2FA/TOTP), rate limiting, e logs de auditoria.
3.3 Não subcontratar outro operador sem autorização prévia, específica ou geral, por escrito, do Controlador. A lista atualizada de suboperadores está disponível em /suboperadores.
3.4 Auxiliar o Controlador no atendimento às solicitações dos titulares (acesso, correção, eliminação, portabilidade) no prazo máximo de 5 (cinco) dias úteis.
3.5 Notificar o Controlador sobre qualquer incidente de segurança envolvendo dados pessoais no prazo máximo de 48 (quarenta e oito) horas após a ciência do incidente, incluindo: natureza dos dados afetados, número aproximado de titulares, medidas adotadas e plano de mitigação.
3.6 Manter registro das atividades de tratamento realizadas em nome do Controlador, conforme Art. 37 da LGPD.
3.7 Ao término do contrato, eliminar ou devolver os dados pessoais ao Controlador, conforme instrução, no prazo de 30 (trinta) dias, salvo obrigação legal de retenção.
4. Obrigações do Controlador
4.1 Garantir que possui base legal adequada para o tratamento dos dados pessoais transferidos ao Operador.
4.2 Informar os titulares sobre o tratamento de seus dados, conforme Arts. 9º e 18 da LGPD.
4.3 Fornecer instruções lícitas e documentadas ao Operador sobre o tratamento dos dados.
4.4 Notificar o Operador sobre qualquer alteração nas instruções de tratamento ou sobre solicitações de titulares que impactem o tratamento.
5. Medidas Técnicas e Organizacionais
O Operador implementa as seguintes medidas de segurança, proporcionais ao risco do tratamento:
6. Suboperadores
O Controlador autoriza o Operador a utilizar os suboperadores listados em /suboperadores. O Operador notificará o Controlador com antecedência mínima de 15 (quinze) dias sobre qualquer adição ou substituição de suboperador, permitindo ao Controlador opor-se à alteração.
O Operador permanece integralmente responsável perante o Controlador pelo cumprimento das obrigações dos suboperadores.
7. Transferência Internacional de Dados
Alguns suboperadores podem processar dados fora do Brasil (ver lista em /suboperadores). Nestes casos, o Operador garante que a transferência ocorre com base em:
• País ou organismo internacional com nível adequado de proteção (Art. 33, I)
• Cláusulas contratuais padrão (Art. 33, II, b)
• Consentimento específico do titular, quando aplicável (Art. 33, VIII)
8. Retenção e Eliminação
| Categoria | Período de Retenção | Após Término |
|---|---|---|
| Dados de conta (nome, e-mail) | Vigência do contrato | Eliminação em 30 dias |
| Respostas pseudonimizadas | Vigência + obrigação legal | Mantidas de forma agregada |
| Logs de auditoria | 12 meses | Eliminação automática |
| Tokens de sessão | Até expiração | Eliminação automática |
9. Vigência e Rescisão
Este DPA entra em vigor na data de contratação dos serviços RISK.OS e permanece vigente enquanto o Operador tratar dados pessoais em nome do Controlador. As obrigações de confidencialidade e segurança sobrevivem ao término deste acordo.
10. Encarregado de Dados (DPO)
Nome: [A definir — revisão jurídica]
E-mail: [email protected]
Canal de atendimento: [email protected] | WhatsApp: +55 84 99197-2927