DPA — Data Processing Agreement

Português: Acordo de Processamento de Dados (ou Contrato de Tratamento de Dados)

Um DPA (Data Processing Agreement) é um contrato que define como dados pessoais serão coletados, processados, armazenados, protegidos e compartilhados entre as partes envolvidas.

É um documento fundamental para conformidade com regulamentações de privacidade como:

• LGPD (Brasil)
• GDPR (União Europeia)
• CCPA (Califórnia/EUA)

Papéis normalmente definidos no DPA

Medidas de segurança aplicadas

Regras para subcontratação de terceiros (subprocessors)

• Transferência internacional de dados
• Direitos dos titulares
• Retenção e exclusão dos dados
• Notificação de incidentes de segurança
• Auditorias e conformidade

Exemplos em provedores de IA

Quando uma empresa utiliza APIs de IA, normalmente assina o DPA do fornecedor:

• OpenAI DPA
• Anthropic Trust Center
• Google Cloud Data Processing Terms
• Microsoft Data Protection Addendum

Como o termo aparece em contratos

"Customer and Provider shall enter into a Data Processing Agreement (DPA) governing the processing of Personal Data under applicable privacy laws."

Tradução:

"Cliente e Fornecedor celebrarão um Acordo de Processamento de Dados (DPA) regulando o tratamento de Dados Pessoais de acordo com a legislação aplicável de privacidade."

Termos relacionados

Em negociações com fornecedores de IA, SaaS e nuvem, o DPA costuma ser um dos principais documentos jurídicos analisados junto com os termos de serviço, políticas de privacidade, medidas de segurança, certificações (SOC 2, ISO 27001) e regras de transferência internacional de dados.