Acordo de Tratamento de Dados (DPA — Modelo)

Definições

• "Operador" — SSTSegura, prestadora do serviço SaaS de gestão de SST.
• "Controlador" — Cliente contratante, pessoa jurídica que utiliza o serviço.
• "Dados Pessoais" — toda informação relacionada a pessoa natural identificada ou identificável (LGPD art. 5º, I).
• "Dados Pessoais Sensíveis" — categorias do art. 5º, II da LGPD, especialmente dados de saúde tratados no PCMSO.
• "Sub-operador" — terceiro contratado pelo Operador para apoiar o tratamento (Supabase, Vercel, Stripe, etc.).
• "Incidente de Segurança" — evento que comprometa confidencialidade, integridade ou disponibilidade dos Dados Pessoais.

Cláusula 1ª — Objeto

O Operador realiza tratamento de Dados Pessoais por conta e em nome do Controlador, nos termos da plataforma SSTSegura, exclusivamente para os fins previstos no contrato principal de prestação de serviços (gestão de SST: PCMSO, PGR, eSocial, EPIs, treinamentos e demais módulos contratados).

Cláusula 2ª — Categorias de dados e titulares

• Categorias de titulares: trabalhadores do Controlador, gestores e usuários administrativos do Controlador, prestadores de SST cadastrados pelo Controlador.
• Categorias de dados: identificação, contato, dados profissionais, dados de saúde ocupacional (sensíveis), histórico de treinamentos e EPIs, registros de acidentes.
• O Controlador declara que possui base legal adequada para o tratamento dos dados que insere na plataforma.

Cláusula 3ª — Obrigações do Operador

• Tratar os Dados Pessoais apenas conforme instruções documentadas do Controlador.
• Garantir que pessoas autorizadas ao tratamento estão sob obrigação de confidencialidade.
• Adotar medidas técnicas e organizacionais de segurança apropriadas ao risco (cláusula 6ª).
• Auxiliar o Controlador no atendimento aos direitos dos titulares previstos no art. 18 da LGPD.
• Notificar o Controlador sobre Incidentes de Segurança em até 48 horas após ciência.
• Apresentar comprovação de conformidade mediante solicitação razoável do Controlador.
• Devolver ou eliminar Dados Pessoais ao final do contrato, conforme cláusula 9ª.

Cláusula 4ª — Sub-operadores

O Controlador autoriza o Operador a contratar Sub-operadores listados publicamente em /ripd seção 8. O Operador permanece integralmente responsável pelas atividades dos Sub-operadores. Alterações materiais na lista são comunicadas ao Controlador com antecedência mínima de 30 dias, oportunizando objeção fundamentada.

Cláusula 5ª — Transferência internacional

Caso ocorra transferência internacional para Sub-operadores fora do Brasil (ex.: Stripe-EUA, Vercel global), o Operador adota cláusulas-padrão contratuais e demais salvaguardas previstas nos arts. 33 e 34 da LGPD. Dados Pessoais Sensíveis (saúde ocupacional) permanecem em infraestrutura no Brasil (Supabase sa-east-1).

Cláusula 6ª — Medidas de segurança

• Criptografia em trânsito (TLS 1.2+) em todos os canais.
• Criptografia em repouso (AES-256) no banco de dados e backups.
• Isolamento multi-tenant via Row-Level Security (RLS) por company_id.
• Autenticação multi-fator (TOTP) disponível para todos os usuários, obrigatório para super_admin.
• Logs de auditoria com retenção mínima de 24 meses.
• Controle de acesso baseado em função (RBAC) com perfis admin / técnico / médico / viewer.
• Política de senhas (mínimo 6 caracteres, hash bcrypt, recuperação via magic link com expiração).
• Probes de uptime a cada 5 minutos com histórico publicado em /status.
• Avaliação de vulnerabilidades periódica (mínimo anual ou após mudança material em infra).

Cláusula 7ª — Notificação de incidentes

• Prazo: até 48 horas após ciência do Operador.
• Forma: email para administradores cadastrados pelo Controlador, complementado por contato direto se severidade alta.
• Conteúdo mínimo: natureza do incidente, dados envolvidos, número estimado de titulares afetados, medidas adotadas e a adotar, contato do Encarregado.
• O Controlador é responsável pela comunicação ao titular e à ANPD nos termos do art. 48 da LGPD, com auxílio do Operador conforme necessário.

Cláusula 8ª — Direitos dos titulares

Solicitações de titulares dirigidas diretamente ao Operador são encaminhadas ao Controlador em até 5 dias úteis para tratamento. O Operador disponibiliza recursos técnicos (exportação, anonimização, eliminação) para que o Controlador possa atender as solicitações nos prazos do art. 18 da LGPD.

Cláusula 9ª — Encerramento e devolução de dados

• Ao final do contrato, o Controlador tem 30 dias para solicitar exportação completa dos dados em formato estruturado (JSON/CSV).
• Após esse prazo, ou se solicitado pelo Controlador, os dados são eliminados, exceto: (a) dados retidos por obrigação legal (5 anos para dados trabalhistas/fiscais), (b) backups com retenção máxima de 30 dias.
• O Operador fornece comprovação de eliminação mediante solicitação.

Cláusula 10ª — Auditoria

O Controlador pode auditar o Operador uma vez por ano, mediante aviso prévio de 30 dias, em horário comercial, sem custo. Auditorias adicionais ou em decorrência de incidente comprovado seguem o mesmo formato. O Operador disponibiliza relatórios de conformidade (RIPD em /ripd, status page em /status, audit log do cliente quando habilitado) como alternativa à auditoria presencial quando aplicável.

Cláusula 11ª — Responsabilidade e indenização

Cada parte responde pelos danos causados pelo descumprimento de suas obrigações neste DPA. O Operador limita-se às obrigações expressamente assumidas como operador (LGPD art. 42). A responsabilidade total do Operador, em qualquer hipótese, observa os limites do contrato principal de prestação de serviços.

Cláusula 12ª — Vigência e foro

Este DPA vigora durante a vigência do contrato principal e pelo período adicional necessário para devolução/eliminação de dados. Foro: Comarca de São Paulo — SP. Lei aplicável: legislação brasileira, especialmente LGPD (Lei 13.709/2018).