Modelo Jurídico
Modelo de DPA — Data Processing Agreement com Fornecedor
Acordo de tratamento de dados (DPA) com fornecedor que processa dados de empregado.
Baixar modelo .docxSobre este modelo
Modelo de Data Processing Agreement (DPA) — acordo de tratamento de dados — para celebração entre a [EMPRESA] (controladora) e fornecedor (operador) que processa dados pessoais de colaboradores em razão de serviço contratado. Compatível com LGPD e referência GDPR.
Aplicável a fornecedores de canal de denúncia, EAP, plataforma de folha, plano de saúde, ferramenta de avaliação de candidatos, ATS, sistema de ponto, BPO de RH, entre outros. Documento crítico para defesa em incidente de segurança envolvendo dados compartilhados.
Personalize [EMPRESA], [FORNECEDOR], escopo do tratamento e quadro de medidas de segurança. Recomendado anexar como apêndice obrigatório do contrato comercial.
Aplicabilidade legal
- LGPD — Art. 39 (operador) e Art. 42 (responsabilidade)
- Resolução ANPD 4/2023 — sanções por descumprimento
- GDPR Art. 28 (referência internacional)
Estrutura do documento
- 1. Identificação das Partes
- 2. Objeto e Escopo do Tratamento
- 3. Obrigações do Operador
- 4. Subcontratação
- 5. Medidas de Segurança Mínimas
- 6. Notificação de Incidentes
- 7. Responsabilidade e Indenização
- 8. Vigência e Encerramento
- 9. Disposições Finais
Aviso jurídico: Este é um modelo base preparado por especialistas em compliance para acelerar a implementação. Adapte conforme a realidade da sua empresa e revise com seu departamento jurídico ou advogado trabalhista antes de adotar formalmente.
FAQ
Fornecedor de canal de denúncia anônimo precisa de DPA?
Sim. Mesmo que o canal não colete IP/identificação do denunciante, o conteúdo do relato e a metadata operacional (datas, áreas, classificações) são dados pessoais sob LGPD. Sem DPA, em incidente, a empresa fica exposta — o Art. 42 da LGPD exige relação formal entre controlador e operador.
Posso usar DPA padrão americano (US standard)?
Não recomendamos. DPAs anglo-saxões (especialmente sob CCPA) divergem da LGPD em pontos sensíveis: nomenclatura (controller/processor vs. controlador/operador), bases legais admitidas, prazos de notificação. Use modelo brasileiro (este, p.ex.) ou GDPR adaptado — mais alinhado à LGPD, que se inspirou no GDPR.
Termos do glossário relacionados
LGPD (Lei Geral de Proteção de Dados)
Lei 13.709/2018 que regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas no Brasil, com fiscalização da ANPD e sanções de até R$ 50 milhões por infração.
DPA (Data Processing Agreement)
Contrato entre controlador e operador (ou entre cocontroladores) que define responsabilidades, escopo, finalidade, segurança e deveres no tratamento de dados pessoais.
Setores que usam este modelo
Construção Civil
Indústria com alta rotatividade, múltiplos vínculos terceirizados, hierarquia rígida de obra e exposição combinada de riscos físicos, ergonômicos e psicossociais.
Saúde Hospitalar
Hospitais e clínicas concentram demanda emocional alta (contato com sofrimento), turnos extensos, hierarquia médica rígida e risco biológico — combinação clássica de adoecimento mental.
Indústria Farmacêutica
A indústria farmacêutica brasileira combina linhas de produção altamente regulamentadas (ANVISA, GMP), pressão por compliance regulatório, salas limpas com biossegurança e jornadas de turnos rotativos. P&D e área comercial sofrem pressão por metas de lançamento e visitação médica, enquanto a fábrica enfrenta exigências contínuas de qualidade que restringem autonomia. A combinação de procedimentos rígidos, auditorias frequentes e responsabilidade civil/sanitária cria carga mental constante. Operadores de produção, analistas de QC, propagandistas e área de pesquisa apresentam perfis distintos de adoecimento — o que torna a segmentação por vínculo e função essencial no inventário NR-1.
Tecnologia e Software
Empresas de software, SaaS e desenvolvimento sob demanda combinam jornadas mentalmente intensas, prazos curtos de sprint, on-call 24/7 e cultura informal que muitas vezes mascara assédio moral velado. O trabalho remoto e híbrido amplifica conflito trabalho-família e isolamento social. Squads enxutas concentram alta responsabilidade em poucas pessoas, com pressão por entrega contínua, code review público e métricas individuais de produtividade. Em escalas pequenas (startups), há também insegurança ligada a runway e captação. Em grandes techs, a hierarquia matricial com múltiplos stakeholders gera conflito de papéis e ambiguidade — fator psicossocial expresso da NR-1.
Varejo
O varejo brasileiro concentra alta rotatividade (~60% ao ano em algumas redes), jornadas em escala 6×1 e turnos com pico de demanda (Black Friday, Natal). Operadores de caixa, repositores e vendedores comissionados sofrem pressão por metas, exposição a clientes hostis (rage de consumo) e baixa autonomia sobre o próprio ritmo. Lojas de shopping têm jornada extensa com domingos e feriados, gerando conflito trabalho-família. A hierarquia de loja (gerente → subgerente → fiscal → operador) costuma reproduzir padrões de humilhação pública, especialmente em reuniões de meta. O isolamento de unidades em redes capilarizadas dificulta canais corporativos chegarem ao varejista de campo.
Supermercados
Supermercados operam com grande contingente de empregados de baixa qualificação, jornadas em escalas variadas, exposição a temperaturas (câmaras frias, açougue), peso (reposição) e contato direto com cliente — combinação ergonômica e psicossocial intensa. Áreas de açougue, peixaria e padaria têm risco físico somado a hierarquias rígidas. Operadores de caixa concentram tarefas repetitivas, sentar-prolongado e atrito com cliente. A cultura de 'cliente sempre tem razão' empurra colaboradores a tolerar agressões verbais. Redes regionais costumam ter rotatividade alta e pouca estrutura de SST, tornando o inventário psicossocial particularmente necessário.