Cláusulas para contratos com operadores (Art. 39)
Quando uma empresa trata dados pessoais em nome da sua OSC, seguindo as instruções dela, essa empresa é um operador. Exemplos comuns numa OSC: a plataforma de e-mail marketing, a hospedagem do site, o serviço de formulários, a ferramenta de nuvem onde ficam planilhas com nomes e contatos, o sistema de doações.
A LGPD (Art. 39) determina que o operador trate os dados conforme as instruções do controlador (a sua OSC). Na prática, isso se materializa em cláusulas de proteção de dados no contrato (ou num aditivo, às vezes chamado de DPA — Data Processing Agreement).
💡 Por que isso importa
Se um fornecedor seu vazar ou usar indevidamente os dados que você confiou a ele, a sua OSC pode responder junto. Ter cláusulas claras distribui responsabilidades, obriga o fornecedor a um padrão mínimo de segurança e é uma evidência de que você agiu com diligência (accountability, Art. 6, X).
⚠️ Atenção
O texto abaixo é um modelo de partida para adaptar — não é um contrato pronto nem aconselhamento jurídico. Ajuste à sua realidade e ao serviço contratado, e submeta a um profissional jurídico antes de assinar. Veja o Aviso legal.
Quando você precisa disso
- Você contrata um serviço que armazena ou processa nomes, e-mails, telefones, CPF, dados de saúde, etc. dos seus titulares.
- O serviço acessa esses dados para prestar a você — não para os fins próprios dele.
Se o fornecedor usa os dados para finalidades próprias (ex.: decide sozinho como tratar), ele pode ser controlador conjunto, não operador — situação diferente, que pede análise específica.
Modelo de cláusulas (para adaptar)
A seguir, um conjunto mínimo. Numere e insira na sua minuta como uma seção “Proteção de Dados Pessoais”.
1. Objeto e papéis. As Partes reconhecem que, no âmbito deste contrato, a CONTRATANTE atua como controladora e a CONTRATADA como operadora de dados pessoais, nos termos da Lei nº 13.709/2018 (LGPD).
2. Tratamento conforme instruções. A CONTRATADA tratará os dados pessoais exclusivamente para executar o objeto deste contrato e segundo as instruções documentadas da CONTRATANTE, sendo vedado qualquer uso para finalidade própria.
3. Confidencialidade. A CONTRATADA garantirá que as pessoas autorizadas a tratar os dados estejam sujeitas a dever de confidencialidade.
4. Segurança. A CONTRATADA adotará medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações de destruição, perda, alteração ou vazamento (Art. 46 da LGPD).
5. Suboperadores. A CONTRATADA só subcontratará outro operador com anuência da CONTRATANTE, estendendo-lhe as mesmas obrigações deste contrato.
6. Apoio aos direitos do titular. A CONTRATADA auxiliará a CONTRATANTE a responder às solicitações dos titulares (acesso, correção, eliminação, portabilidade etc.) no prazo legal.
7. Incidentes. A CONTRATADA comunicará a CONTRATANTE sem demora (sugestão: em até 48 horas) ao tomar conhecimento de qualquer incidente de segurança envolvendo os dados, com as informações necessárias para a CONTRATANTE cumprir seus deveres.
8. Devolução ou eliminação. Ao término do contrato, a CONTRATADA devolverá ou eliminará os dados pessoais, conforme orientação da CONTRATANTE, salvo obrigação legal de retenção.
9. Comprovação. A CONTRATADA disponibilizará à CONTRATANTE as informações necessárias para demonstrar o cumprimento destas obrigações.
✅ Boas práticas
- Mantenha uma lista dos seus operadores (quem são, que dados acessam, para quê) — isso conversa direto com o seu Inventário (ROPA).
- Prefira fornecedores que já oferecem um DPA/aditivo de proteção de dados — muitos têm um pronto.
- Guarde o contrato/aditivo assinado: é a sua evidência de diligência.