DPA — Tratamento de Dados
1. Escopo e Partes 2. Papéis e Responsabilidades 3. Dados Tratados 4. Obrigações do Operador 5. Obrigações do Controlador 6. Suboperadores 7. Segurança 8. Incidentes 9. Direitos dos Titulares 10. Encerramento do Contrato 11. Auditoria e Evidências 12. Lei Aplicável

Aditivo de Tratamento de Dados

Data Processing Agreement (DPA) — LGPD, Art. 39
Última atualização: [DATA_VIGÊNCIA]  |  Versão 1.0
Este documento aplica-se principalmente ao Módulo BPO. Ele define as obrigações mútuas entre o escritório BPO (Controlador) e a FGTS Web (Operador) no tratamento de dados dos funcionários das empresas clientes gerenciadas pelo BPO.

1. Escopo e Partes

Este Aditivo de Tratamento de Dados ("DPA") complementa os Termos de Uso da plataforma FGTS Web e aplica-se a todo tratamento de dados pessoais realizado pela FGTS Web em nome do cliente ("Controlador") no contexto da prestação dos serviços contratados.

Partes:

Operador: [RAZÃO SOCIAL] — CNPJ [CNPJ] — operadora da plataforma FGTS Web.
Controlador: o cliente que contratou os serviços, responsável pelos dados pessoais dos funcionários e empresas inseridos na plataforma.
No contexto BPO — relação tripla:
• O escritório BPO é Operador perante as empresas clientes dele.
• A FGTS Web é Sub-operador perante o escritório BPO.
• Os dados pertencem aos funcionários das empresas clientes do BPO (Titulares).

2. Papéis e Responsabilidades

O Controlador é responsável por:

  • Garantir que possui base legal adequada (LGPD, Art. 7) para coletar e transferir os dados pessoais à FGTS Web.
  • Informar aos titulares (funcionários) sobre o tratamento realizado por meio da plataforma.
  • Assegurar a exatidão e atualização dos dados inseridos na plataforma.
  • Definir as finalidades e instrução de tratamento dos dados (o quê, como e por qual razão).

A FGTS Web (Operador) é responsável por:

  • Tratar os dados somente conforme as instruções documentadas do Controlador e nos termos deste DPA.
  • Adotar medidas de segurança adequadas para proteger os dados contra acessos não autorizados, perda ou divulgação.
  • Notificar o Controlador em caso de incidente de segurança que envolva seus dados.
  • Auxiliar o Controlador no atendimento às solicitações de direitos dos titulares, na medida do tecnicamente possível.

3. Dados Pessoais Tratados

No âmbito deste DPA, a FGTS Web trata as seguintes categorias de dados pessoais em nome do Controlador:

CategoriaExemplos de Dados
Dados de identificação do funcionário Nome completo, CPF, data de nascimento, PIS/PASEP
Dados de vínculo empregatício Data de admissão, data de demissão, tipo de contrato, cargo
Dados financeiros trabalhistas Salário base, verbas remuneratórias, depósitos FGTS, competências
Dados bancários (FGTS) Conta vinculada ao FGTS junto à Caixa Econômica Federal
Dados das empresas clientes Razão social, CNPJ, endereço, responsável legal

Finalidade do tratamento: exclusivamente para prestação dos serviços de gestão e cálculo de FGTS contratados, geração de relatórios, guias e exportação SEFIP.

Duração: pelo período de vigência do contrato de serviços com a FGTS Web, acrescido do prazo necessário para exclusão segura dos dados conforme previsto neste DPA.

4. Obrigações do Operador (FGTS Web)

  • Tratar os dados pessoais somente para as finalidades previstas neste DPA e conforme instruções documentadas do Controlador.
  • Garantir que os colaboradores internos com acesso aos dados estejam submetidos a sigilo e obrigações de confidencialidade.
  • Implementar e manter medidas técnicas e organizacionais adequadas de segurança (ver seção 7).
  • Auxiliar o Controlador no cumprimento das obrigações previstas nos Art. 46 a 49 da LGPD (segurança e boas práticas).
  • Não realizar transferência internacional dos dados sem prévia autorização do Controlador e garantia de proteção equivalente.
  • Permitir e contribuir com auditorias ou inspeções realizadas pelo Controlador ou por auditor por ele designado, mediante aviso prévio de 15 dias.
  • Excluir ou devolver os dados ao Controlador ao término da relação contratual (ver seção 10).

5. Obrigações do Controlador

  • Garantir que os dados pessoais transferidos à FGTS Web foram coletados com base legal adequada (Art. 7 ou Art. 11 da LGPD).
  • Informar os titulares (funcionários e empresas clientes) sobre o tratamento realizado por meio da plataforma, inclusive sobre a subcontratação de serviços de tecnologia.
  • Não instruir a FGTS Web a realizar processamentos ilegais ou incompatíveis com a LGPD.
  • Notificar prontamente a FGTS Web sobre qualquer reclamação ou solicitação de titular que exija ação por parte do Operador.
  • Manter a confidencialidade de suas credenciais de acesso à plataforma.

6. Suboperadores Autorizados

A FGTS Web autoriza o uso dos seguintes suboperadores para prestação dos serviços. O Controlador concorda com essa subcontratação ao aceitar estes termos:

SuboperadorFinalidadePaís dos Dados
Supabase / PostgreSQL Banco de dados relacional principal Brasil / EUA (com adequação contratual)
Coolify / Provedor de hospedagem Hospedagem da aplicação Brasil
Asaas Processamento de pagamentos Brasil

A FGTS Web notificará o Controlador com antecedência mínima de 30 dias sobre qualquer alteração nos suboperadores utilizados, oferecendo a possibilidade de oposição fundamentada.

7. Medidas de Segurança

A FGTS Web implementa e mantém as seguintes medidas técnicas e organizacionais para proteção dos dados:

  • Criptografia em trânsito: HTTPS/TLS para todas as comunicações entre cliente e servidor
  • Criptografia em repouso: dados em banco de dados com proteção em nível de infraestrutura
  • Controle de acesso: autenticação obrigatória, separação de ambientes por empresa, controles de permissão granulares
  • Armazenamento seguro de senhas: hash com algoritmos modernos (PBKDF2/bcrypt), sem armazenamento em texto plano
  • Logs de auditoria: registro de ações críticas (acesso, modificação, exclusão de dados)
  • Backups: cópias de segurança regulares com controle de acesso e testadas periodicamente
  • Monitoramento: alertas para comportamentos anômalos e tentativas de acesso não autorizado

8. Incidentes de Segurança

Em caso de incidente de segurança que envolva dados pessoais tratados em nome do Controlador, a FGTS Web:

  • Notificará o Controlador por e-mail cadastrado em até 72 horas após tomar conhecimento do incidente.
  • A notificação incluirá: natureza do incidente, categorias e volume aproximado de dados afetados, medidas adotadas e recomendadas.
  • Cooperará com o Controlador para contenção, investigação e comunicação à ANPD, quando aplicável.
  • Documentará o incidente e as medidas tomadas para fins de evidência e auditoria futura.

9. Atendimento a Direitos dos Titulares

Quando um titular (ex.: funcionário) solicitar o exercício de direitos previstos no Art. 18 da LGPD (acesso, correção, exclusão, portabilidade, etc.):

  • Se a solicitação chegar à FGTS Web, será encaminhada ao Controlador em até 5 dias úteis.
  • A FGTS Web auxiliará tecnicamente o Controlador no atendimento, fornecendo extratos, relatórios ou executando exclusões em acordo com as instruções do Controlador.
  • O Controlador é o responsável por responder oficialmente ao titular dentro do prazo legal de 15 dias úteis.

10. Encerramento do Contrato

Ao término da relação contratual (por cancelamento, inadimplência ou qualquer outra razão):

  • Os dados do Controlador ficam disponíveis para exportação por 30 dias corridos após o encerramento.
  • Decorrido este prazo, todos os dados pessoais serão excluídos definitivamente dos sistemas de produção da FGTS Web.
  • Dados em backups são excluídos no próximo ciclo de rotação dos backups, em até 90 dias.
  • Dados retidos por obrigação legal (ex.: dados fiscais) seguirão os prazos mínimos determinados em lei, após o que serão excluídos.
  • A FGTS Web pode emitir certificado de exclusão mediante solicitação expressa do Controlador.

11. Auditoria e Evidências

A FGTS Web manterá evidências documentadas das medidas de segurança e conformidade adotadas (Art. 37 da LGPD), incluindo registros de operações de tratamento, controles de acesso e logs de segurança.

O Controlador pode solicitar evidências de conformidade mediante comunicação prévia ao DPO. Auditorias in-loco requerem aviso de 15 dias e acordos de confidencialidade formalizados.

12. Lei Aplicável

Este DPA é regido pela legislação brasileira, especialmente pela LGPD (Lei 13.709/2018) e suas regulamentações pela ANPD. Fica eleito o foro de [CIDADE/UF] para dirimir eventuais litígios.

Este documento é parte integrante dos Termos de Uso da FGTS Web. Em caso de conflito, as disposições deste DPA prevalecem para matérias de proteção de dados.