Data Processing Agreement (DPA)
PostAutomator — Minuta para revisão com assessoria jurídica — Maio de 2026
⚠️ Importante: Este documento é uma minuta (template) para análise com seu advogado. Não constitui aconselhamento jurídico. As cláusulas devem ser adaptadas à realidade contratual de cada operador (Google, Meta, Mercado Pago) e revisadas por profissional habilitado antes da assinatura.
1. Partes
Controlador: PostAutomator (CNPJ: [inserir]), doravante "Controlador".
Operador: [Nome do Operador], doravante "Operador".
2. Escopo
Este DPA estabelece os termos e condições para o tratamento de dados pessoais pelo Operador em nome do Controlador, no âmbito dos serviços contratados, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
3. Descrição do Tratamento
| Campo | Descrição |
|---|
| Finalidade do tratamento | [Finalidade do serviço prestado pelo Operador] |
| Categorias de titulares | Usuários da plataforma PostAutomator |
| Categorias de dados pessoais | [Listar: nome, e-mail, dados de pagamento, conteúdo de posts, etc.] |
| Dados sensíveis (Art. 11 LGPD) | [Sim/Não — Se sim, especificar] |
| Volume estimado de titulares | [Número ou faixa] |
| Período de retenção | Conforme política de privacidade do Controlador |
4. Obrigações do Operador
O Operador se compromete a:
- Instruções: tratar dados pessoais apenas conforme instruções documentadas do Controlador, salvo obrigação legal em contrário (Art. 39, §2º LGPD).
- Confidencialidade: garantir que todas as pessoas autorizadas a tratar os dados pessoais assumam compromisso de confidencialidade (Art. 46, §1º LGPD).
- Medidas de segurança: implementar medidas técnicas e administrativas aptas a proteger os dados (Art. 46 LGPD), incluindo criptografia em trânsito (TLS 1.2+) e em repouso, controle de acesso baseado em função (RBAC), logging de acesso, MFA para administradores.
- Suboperadores: não contratar suboperadores sem autorização prévia do Controlador; comunicar qualquer alteração com 30 dias de antecedência (Art. 39, §6º LGPD).
- Incidentes: notificar o Controlador em até 24 horas da ciência de qualquer incidente de segurança que envolva dados pessoais tratados sob este DPA (Art. 48 LGPD).
- Direitos dos titulares: auxiliar o Controlador no atendimento aos direitos previstos no Art. 18 da LGPD (confirmação, acesso, correção, exclusão, portabilidade).
- DPIA: fornecer informações necessárias para a elaboração de Relatórios de Impacto à Proteção de Dados (Art. 38 LGPD), quando aplicável.
- Eliminação: ao término do contrato, eliminar ou devolver todos os dados pessoais conforme instrução do Controlador, salvo obrigação legal de retenção.
5. Obrigações do Controlador
- Garantir que o tratamento de dados pessoais solicitado ao Operador possui base legal adequada (Art. 7º ou 11 LGPD).
- Fornecer instruções claras e documentadas ao Operador.
- Manter registro das operações de tratamento (Art. 37 LGPD).
- Notificar o Operador sobre eventuais alterações na finalidade ou nas categorias de dados.
6. Suboperação
O Operador poderá contratar suboperadores mediante autorização prévia do Controlador.
Suboperadores autorizados:
| Operador | Suboperador | Serviço |
|---|
| Google LLC | Google Cloud Platform | Infraestrutura de nuvem (se aplicável) |
| Meta Platforms Inc. | N/A | API Instagram Graph |
| Mercado Pago S.A. | N/A | Processamento de pagamentos |
7. Transferência Internacional
Se o Operador estiver localizado fora do Brasil ou transferir dados para fora do país, deverá garantir mecanismos adequados de proteção nos termos do Art. 33 da LGPD, incluindo Cláusulas Contratuais Padrão (SCCs) aprovadas pela ANPD.
8. Responsabilidade
O Operador será responsável perante o Controlador por danos decorrentes do tratamento de dados pessoais sempre que:
- Não cumprir as obrigações da LGPD especificamente direcionadas aos operadores; ou
- Agir em desconformidade com as instruções lícitas do Controlador (Art. 42, §1º LGPD).
9. Auditoria
O Controlador poderá auditar o Operador, mediante aviso prévio de 15 dias, para verificar o cumprimento das obrigações deste DPA, limitado a uma auditoria por ano, salvo em caso de incidente ou determinação da ANPD.
10. Vigência e Término
Este DPA vigorará enquanto perdurarem os serviços contratados entre Controlador e Operador. Ao término, o Operador deve eliminar ou devolver todos os dados pessoais em até 30 dias, salvo obrigação legal de retenção.
11. Foro
Fica eleito o foro da Comarca de São Paulo — SP para dirimir quaisquer controvérsias oriundas deste DPA.
Nota: Este é um template informativo. Cada DPA deve ser personalizado conforme o operador específico (Google, Meta, Mercado Pago) e revisado por advogado. Consulte os DPAs oficiais de cada plataforma:
Google DPA,
Meta DPA,
Mercado Pago.
← Voltar