ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA)
Versão: v0.1 (template inicial — sem revisão jurídica formal) Data: [DATA DA ASSINATURA] Documento de referência: Lei 13.709/2018 (LGPD), Resolução CD/ANPD 19/2024
⚠️ AVISO: Este template foi redigido com base em legislação pública e práticas de mercado, sem revisão por advogado especializado em healthtech LGPD. Antes de qualquer execução comercial, submeter ao checklist de revisão jurídica. Cláusulas marcadas com
[ATENÇÃO ADVOGADO]exigem validação prioritária.
QUALIFICAÇÃO DAS PARTES
OPERADORA DE TRATAMENTO DE DADOS: OLYMPOS GROUP SAS, sociedade por ações simplificada constituída segundo as leis da República Oriental do Uruguai, inscrita no Registro Único Tributário (RUT) da Direção Geral Impositiva (DGI) sob o nº 220801580010, com domicílio fiscal em [ENDEREÇO FISCAL DA OPERADORA — preenchido na assinatura], Montevideo, Uruguai, operadora do produto Lastreo (https://lastreo.com), neste ato representada por seu Administrador Único, Sr. Leonardo de Abreu Santos, doravante denominada simplesmente "LASTREO" ou "OPERADORA".
CONTROLADORA DE TRATAMENTO DE DADOS: [RAZÃO SOCIAL DO CLIENTE], pessoa jurídica de direito privado, inscrita no CNPJ sob o nº [CNPJ DO CLIENTE], com sede em [ENDEREÇO DO CLIENTE], neste ato representada na forma de seu contrato social, doravante denominada simplesmente "CLIENTE" ou "CONTROLADORA".
LASTREO e CLIENTE são denominados em conjunto "Partes" e individualmente "Parte".
Nota sobre transferência internacional: A OPERADORA é sociedade uruguaia. O tratamento de Dados Pessoais por entidade estrangeira sujeita-se à Resolução CD/ANPD nº 19/2024 (Cláusulas-Padrão Contratuais), conforme detalhado no Anexo V deste DPA.
CONSIDERANDOS
CONSIDERANDO que o CLIENTE contratou da LASTREO os serviços de infraestrutura tecnológica clínica conforme Contrato de Prestação de Serviços celebrado entre as Partes (doravante "Contrato Principal"), do qual este Acordo constitui parte integrante e indissociável;
CONSIDERANDO que, em razão da prestação dos referidos serviços, a LASTREO realizará o tratamento de dados pessoais de titulares vinculados ao CLIENTE, incluindo dados pessoais sensíveis relativos à saúde, conforme definidos no Art. 5º, II, da Lei 13.709/2018 (Lei Geral de Proteção de Dados — "LGPD");
CONSIDERANDO que o CLIENTE atua na qualidade de controlador dos dados pessoais, conforme Art. 5º, VI, da LGPD, sendo responsável pela definição das finalidades e meios essenciais de tratamento;
CONSIDERANDO que a LASTREO atua na qualidade de operadora dos dados pessoais, conforme Art. 5º, VII, da LGPD, processando dados em nome e segundo instruções do CLIENTE;
CONSIDERANDO o disposto na LGPD, especialmente os artigos 37 a 42 (relativos aos agentes de tratamento), e na Resolução CD/ANPD nº 19/2024 (transferência internacional de dados);
As Partes celebram o presente Acordo de Tratamento de Dados Pessoais (doravante "Acordo" ou "DPA"), que se regerá pelas cláusulas e condições a seguir.
CLÁUSULA 1ª — DEFINIÇÕES
1.1. Para os fins deste Acordo, adotam-se as definições estabelecidas no Art. 5º da LGPD. Adicionalmente:
- Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável, conforme Art. 5º, I, da LGPD;
- Dados Pessoais Sensíveis: dados referentes a saúde, conforme Art. 5º, II, da LGPD, e demais categorias listadas no mesmo dispositivo;
- Titular: pessoa natural a quem se referem os Dados Pessoais (Art. 5º, V, LGPD);
- Controlador: o CLIENTE (Art. 5º, VI, LGPD);
- Operador: a LASTREO (Art. 5º, VII, LGPD);
- Sub-operador: terceiro contratado pela LASTREO para realizar parte do tratamento, conforme listado no Anexo IV;
- Encarregado (DPO): pessoa indicada pelo Controlador conforme Art. 41 da LGPD;
- Incidente de Segurança: ocorrência que possa acarretar risco ou dano relevante aos titulares, conforme Art. 48 da LGPD;
- ANPD: Autoridade Nacional de Proteção de Dados;
- Serviços: os serviços prestados pela LASTREO ao CLIENTE conforme o Contrato Principal.
CLÁUSULA 2ª — OBJETO
2.1. Este Acordo regula o tratamento de Dados Pessoais realizado pela LASTREO, na qualidade de operadora, em nome e por conta do CLIENTE, na qualidade de controlador, no contexto da execução do Contrato Principal.
2.2. As categorias de Dados Pessoais tratados, os titulares afetados, as finalidades do tratamento, a base legal aplicável e o prazo de retenção estão detalhados nos Anexos I e II deste Acordo.
2.3. Em caso de conflito entre disposições deste Acordo e do Contrato Principal, prevalecerão as disposições deste Acordo no que se refere exclusivamente à proteção de Dados Pessoais.
CLÁUSULA 3ª — DIVISÃO DE RESPONSABILIDADES
3.1. Obrigações do CLIENTE (Controlador)
Compete exclusivamente ao CLIENTE, na qualidade de controlador:
a) Definir as finalidades e os meios essenciais do tratamento dos Dados Pessoais, observada a lista do Anexo II;
b) Garantir base legal válida para o tratamento, nos termos dos Arts. 7º e 11 da LGPD, incluindo, quando aplicável, a obtenção do consentimento livre, informado e inequívoco do titular;
c) Atender às solicitações dos titulares quanto ao exercício de seus direitos (Art. 18 da LGPD), podendo solicitar à LASTREO o apoio operacional conforme Cláusula 6ª;
d) Indicar e manter um Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme Art. 41 da LGPD, informando seus contatos à LASTREO;
e) Elaborar, quando aplicável, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme Art. 38 da LGPD;
f) Comunicar à ANPD os incidentes de segurança relevantes, conforme Art. 48 da LGPD, com base nas informações fornecidas pela LASTREO;
g) Comunicar aos titulares os incidentes de segurança, quando aplicável;
h) Cumprir as demais obrigações legais aplicáveis ao controlador, incluindo normas setoriais como, mas não se limitando a, a Resolução CFM nº 2.314/2022 (telemedicina), regulamentações da ANS, e demais resoluções do CFM e CRMs relativas ao exercício da medicina por seus profissionais usuários da plataforma.
3.2. Obrigações da LASTREO (Operadora)
Compete à LASTREO, na qualidade de operadora:
a) Realizar o tratamento exclusivamente nos limites e finalidades definidos pelo CLIENTE, conforme Art. 39 da LGPD;
b) Não tratar Dados Pessoais para finalidades distintas das estabelecidas neste Acordo e seus Anexos;
c) Adotar medidas de segurança técnicas e organizacionais adequadas, conforme Anexo III;
d) Comunicar ao CLIENTE qualquer incidente de segurança que afete os Dados Pessoais tratados em seu nome, conforme Cláusula 7ª;
e) Auxiliar o CLIENTE no atendimento aos direitos dos titulares (Cláusula 6ª);
f) Manter registro das operações de tratamento de Dados Pessoais (audit log imutável conforme Anexo III);
g) Notificar previamente o CLIENTE sobre alterações na lista de Sub-operadores, conforme Cláusula 5ª;
h) Devolver ou eliminar os Dados Pessoais ao término da prestação dos Serviços, conforme Cláusula 11ª.
CLÁUSULA 4ª — INSTRUÇÕES DE TRATAMENTO
4.1. A LASTREO realizará o tratamento de Dados Pessoais exclusivamente conforme as instruções documentadas pelo CLIENTE, materializadas neste Acordo, em seus Anexos, e nas configurações da plataforma definidas pelo CLIENTE via API ou painel administrativo.
4.2. Quando a LASTREO entender que uma instrução do CLIENTE viola a LGPD ou qualquer outra norma de proteção de dados aplicável, deverá imediatamente informar o CLIENTE por escrito, podendo, em casos extremos de manifesta ilicitude, suspender o cumprimento da instrução até esclarecimento.
4.3. Eventuais instruções adicionais ou modificações nas instruções existentes deverão ser formalizadas por aditivo a este Acordo ou por solicitação escrita do CLIENTE encaminhada ao Encarregado da LASTREO.
CLÁUSULA 5ª — SUB-OPERADORES
5.1. O CLIENTE autoriza, por meio deste Acordo, a contratação dos Sub-operadores listados no Anexo IV, os quais auxiliam a LASTREO na prestação dos Serviços e estão sujeitos a obrigações contratuais de proteção de Dados Pessoais equivalentes ou superiores às previstas neste Acordo.
5.2. A LASTREO permanece integralmente responsável perante o CLIENTE pelos atos e omissões de seus Sub-operadores, conforme determinação do Art. 39 da LGPD.
5.3. A LASTREO se compromete a:
a) Notificar previamente o CLIENTE sobre a intenção de incluir, substituir ou alterar materialmente as obrigações de qualquer Sub-operador, com antecedência mínima de 30 (trinta) dias [ATENÇÃO ADVOGADO: prazo a validar — mercado típico é 30-60 dias];
b) Fornecer informações ao CLIENTE sobre as medidas de segurança adotadas por novo Sub-operador, quando solicitado por escrito;
c) Garantir que o novo Sub-operador esteja vinculado contratualmente a obrigações equivalentes às deste Acordo no que se refere a proteção de Dados Pessoais.
5.4. O CLIENTE poderá, em até 30 (trinta) dias após a notificação prevista no item 5.3(a), manifestar objeção fundamentada à inclusão de novo Sub-operador. Na hipótese de objeção, as Partes se esforçarão de boa-fé para encontrar solução adequada; persistindo o impasse, o CLIENTE poderá rescindir o Contrato Principal sem ônus, observado o prazo razoável para transição.
5.5. A lista atualizada de Sub-operadores está disponível publicamente em https://lastreo.com/api/v1/subprocessors e em URL equivalente que venha a substituí-la.
CLÁUSULA 6ª — DIREITOS DOS TITULARES
6.1. A LASTREO disponibiliza ao CLIENTE, sem custo adicional, mecanismos técnicos para o atendimento das solicitações dos titulares previstas no Art. 18 e no Art. 20 da LGPD, incluindo:
a) Confirmação da existência de tratamento (Art. 18, I); b) Acesso aos dados (Art. 18, II); c) Correção de dados (Art. 18, III); d) Anonimização ou eliminação de dados desnecessários (Art. 18, IV); e) Portabilidade dos dados (Art. 18, V), em formato estruturado padrão FHIR R4; f) Eliminação dos dados tratados com consentimento (Art. 18, VI); g) Informação sobre sub-operadores (Art. 18, VII); h) Revogação do consentimento (Art. 18, IX); i) Revisão de decisões automatizadas (Art. 20).
6.2. Esses mecanismos são acessíveis via endpoints documentados em
docs/lastreoAPIdocs.md e pela interface administrativa
da plataforma.
6.3. Quando uma solicitação for recebida diretamente pela LASTREO, esta a encaminhará ao CLIENTE em até 5 (cinco) dias úteis [ATENÇÃO ADVOGADO: prazo a validar], cabendo ao CLIENTE a decisão final sobre o atendimento.
6.4. A LASTREO não responderá diretamente ao titular sem autorização escrita do CLIENTE, salvo quando legalmente obrigada.
CLÁUSULA 7ª — COMUNICAÇÃO DE INCIDENTES
7.1. A LASTREO comunicará ao CLIENTE, por escrito (email ao Encarregado indicado), qualquer Incidente de Segurança que afete os Dados Pessoais tratados em seu nome, em prazo razoável após ciência efetiva do evento, observando-se a obrigação do controlador de notificar a ANPD em até 3 (três) dias úteis conforme Resolução CD/ANPD nº 15/2024.
7.2. A LASTREO se compromete a fornecer ao CLIENTE, na comunicação, no mínimo:
a) Descrição do incidente, suas causas (quando conhecidas) e suas consequências aparentes; b) Categorias e número aproximado de titulares afetados; c) Categorias e volume de Dados Pessoais afetados; d) Medidas técnicas e administrativas adotadas pela LASTREO para mitigação; e) Informações de contato para esclarecimentos adicionais.
7.3. A LASTREO cooperará de boa-fé com o CLIENTE na investigação do incidente e na produção de informações adicionais necessárias para o cumprimento das obrigações regulatórias do CLIENTE.
7.4. A obrigação de comunicar incidente à ANPD e aos titulares afetados é exclusiva do CLIENTE (controlador), conforme Art. 48 da LGPD.
7.5. Quando solicitado, a LASTREO emitirá relatório formal do incidente com informações suficientes para o controlador instruir o procedimento perante a ANPD.
CLÁUSULA 8ª — MEDIDAS DE SEGURANÇA
8.1. A LASTREO adota as medidas técnicas e organizacionais descritas no Anexo III, dimensionadas conforme a natureza dos Dados Pessoais tratados (incluindo dados sensíveis de saúde) e o estado da arte tecnológico.
8.2. A LASTREO compromete-se a manter as medidas do Anexo III atualizadas e adequadas, comunicando ao CLIENTE quaisquer mudanças materiais.
8.3. As medidas incluem, sem se limitar a:
- Criptografia em trânsito (TLS 1.2+) para toda comunicação externa;
- Controle de acesso baseado em função (RBAC) e princípio do menor privilégio;
- Registro auditável imutável das ações sensíveis (audit log com trigger PostgreSQL append-only);
- Procedimentos de backup periódico;
- Segregação entre ambientes (produção, desenvolvimento, sandbox);
- Verificação periódica de vulnerabilidades;
- Treinamento da equipe quanto a proteção de dados.
8.4. Detalhamento completo no Anexo III.
CLÁUSULA 9ª — TRANSFERÊNCIA INTERNACIONAL DE DADOS
9.1. As Partes reconhecem que parte dos Sub-operadores listados no Anexo IV está sediada fora do território nacional brasileiro (notadamente fornecedores globais de inteligência artificial e mensageria), o que caracteriza transferência internacional de Dados Pessoais nos termos do Capítulo V da LGPD.
9.2. Para tais transferências, as Partes adotam as Cláusulas-Padrão Contratuais Brasileiras publicadas pela ANPD por meio da Resolução CD/ANPD nº 19/2024, conforme texto integrante do Anexo V deste Acordo.
9.3. A LASTREO declara que verificou a aderência dos referidos Sub-operadores às garantias mínimas de proteção de Dados Pessoais previstas na LGPD e nas Cláusulas-Padrão Contratuais.
9.4. Mudanças em país de processamento de Sub-operador material serão comunicadas conforme Cláusula 5ª.
CLÁUSULA 10ª — AUDITORIA
10.1. O CLIENTE poderá, mediante aviso prévio escrito de 30 (trinta) dias [ATENÇÃO ADVOGADO: prazo a validar — pode ser objeto de negociação enterprise], auditar a conformidade da LASTREO com este Acordo, no máximo uma vez a cada 12 (doze) meses [ATENÇÃO ADVOGADO: limite a validar], salvo em caso de incidente de segurança documentado.
10.2. A auditoria observará:
a) Confidencialidade rigorosa das informações acessadas pelo auditor; b) Não-disrupção das operações da LASTREO; c) Restrição ao escopo dos Dados Pessoais tratados em nome do CLIENTE; d) Acordo de Confidencialidade (NDA) celebrado entre a LASTREO e o auditor.
10.3. Custos da auditoria correm por conta do CLIENTE, exceto quando a auditoria identificar incumprimento material atribuível à LASTREO, hipótese em que esta arcará com os custos razoáveis comprovados.
10.4. Alternativamente, a LASTREO poderá fornecer ao CLIENTE relatórios de auditoria por terceiros independentes (por exemplo, SOC 2 Type II ou ISO 27001, quando obtidos), os quais substituirão o direito de auditoria direta do item 10.1 enquanto válidos.
CLÁUSULA 11ª — TÉRMINO E EFEITOS
11.1. Este Acordo vigorará enquanto vigente o Contrato Principal.
11.2. Em caso de término do Contrato Principal por qualquer motivo, a LASTREO, mediante solicitação escrita do CLIENTE recebida em até 30 (trinta) dias após o término:
a) Devolverá ao CLIENTE os Dados Pessoais em formato estruturado interoperável (FHIR R4 + arquivos auxiliares); ou
b) Eliminará definitivamente os Dados Pessoais, exceto aqueles cuja retenção seja legalmente exigida (por exemplo, registros médicos cujo prazo de guarda mínima seja estabelecido pelo CFM ou pelo Marco Civil da Saúde).
11.3. Decorridos 30 (trinta) dias do término sem solicitação do CLIENTE, a LASTREO procederá à eliminação dos Dados Pessoais por padrão, observada a exceção do item 11.2(b).
11.4. A LASTREO emitirá ao CLIENTE certificado escrito da eliminação, contendo data, escopo e procedimento adotado, no prazo de até 15 (quinze) dias úteis após a conclusão da eliminação. Sem custo adicional ao CLIENTE para volumes compatíveis com seu plano contratado. Eliminações que exijam extração custom, formato proprietário do CLIENTE ou volume superior a 10× a média mensal podem ser cobradas em valor a ser informado em orçamento antes da execução.
11.5. As obrigações de confidencialidade (Cláusula 12ª) e proteção dos Dados Pessoais persistirão após o término deste Acordo enquanto a LASTREO tiver em sua posse Dados Pessoais relacionados ao CLIENTE.
CLÁUSULA 12ª — CONFIDENCIALIDADE
12.1. A LASTREO garante que todos os seus colaboradores que tenham acesso aos Dados Pessoais estão sujeitos a obrigação contratual de confidencialidade equivalente ou superior à prevista neste Acordo.
12.2. A LASTREO mantém política interna de acesso mínimo necessário (princípio do menor privilégio), garantindo que apenas colaboradores com necessidade operacional comprovada tenham acesso aos Dados Pessoais.
12.3. A obrigação de confidencialidade persiste por prazo indeterminado após o término deste Acordo [ATENÇÃO ADVOGADO: padrão de mercado é prazo indeterminado para dados sensíveis; validar].
CLÁUSULA 13ª — RESPONSABILIDADE E LIMITAÇÃO
⚠️ [ATENÇÃO ADVOGADO] Esta cláusula tem implicações financeiras diretas. Cláusulas de limitação de responsabilidade em DPAs brasileiros têm enforceability variável dependendo de jurisprudência e tipo de dano. Revisão prioritária.
13.1. Cada Parte é responsável pelas obrigações que lhe são atribuídas neste Acordo e pela observância das disposições aplicáveis da LGPD e demais normas de proteção de Dados Pessoais.
13.2. A LASTREO responderá perante o CLIENTE pelos danos diretos efetivamente comprovados que decorram exclusivamente de descumprimento deste Acordo por sua parte ou por seus Sub-operadores, observados os limites previstos no Contrato Principal.
13.3. A LASTREO não responderá:
a) Por danos decorrentes de instruções do CLIENTE em desconformidade com a LGPD, salvo quando a LASTREO tivesse a obrigação de identificar e advertir, conforme Cláusula 4.2; b) Por danos decorrentes de uso da plataforma pelo CLIENTE ou seus usuários em desconformidade com as finalidades autorizadas (Anexo II); c) Por sanções aplicadas pela ANPD ao CLIENTE quando o fato gerador for atribuível ao próprio CLIENTE ou a falhas em obrigações de responsabilidade exclusiva deste (por exemplo, ausência de base legal, falha de RIPD, falha em comunicar ANPD em prazo).
13.4. [ATENÇÃO ADVOGADO] A limitação de responsabilidade prevista no Contrato Principal aplica-se também ao presente Acordo, observado que sanções regulatórias de proteção de dados eventualmente aplicadas diretamente à LASTREO permanecem de sua exclusiva responsabilidade.
CLÁUSULA 14ª — ENCARREGADO (DPO)
14.1. A LASTREO indica como Encarregada pelo Tratamento de Dados Pessoais a pessoa abaixo qualificada [ATENÇÃO ADVOGADO: nomeação formal de DPO é obrigação legal — formalizar pessoa específica ou contratar DPO terceirizado]:
- Nome: [NOME DO DPO LASTREO]
- Email: [[email protected]]
- Endereço para correspondência: [ENDEREÇO]
14.2. O CLIENTE indica seu Encarregado:
- Nome: [NOME DO DPO DO CLIENTE]
- Email: [EMAIL DO DPO DO CLIENTE]
CLÁUSULA 15ª — DISPOSIÇÕES GERAIS
15.1. Aditamentos: Modificações neste Acordo somente serão válidas se formalizadas por escrito e assinadas por ambas as Partes.
15.2. Cessão: Nenhuma das Partes poderá ceder direitos ou obrigações decorrentes deste Acordo sem prévio consentimento escrito da outra Parte, salvo nas hipóteses de reorganização societária.
15.3. Independência das cláusulas: A invalidade de qualquer cláusula deste Acordo não afetará a validade das demais.
15.4. Lei aplicável: Este Acordo será regido pela legislação da República Federativa do Brasil, especialmente pela LGPD e regulamentações da ANPD.
15.5. Foro: [ATENÇÃO ADVOGADO — escolher uma das opções:]
(Opção A — judicial) Para dirimir quaisquer controvérsias decorrentes deste Acordo, fica eleito o foro da Comarca de São Paulo/SP, com renúncia expressa a qualquer outro, por mais privilegiado que seja.
(Opção B — arbitragem) As Partes se obrigam a resolver, por meio de arbitragem, qualquer controvérsia decorrente deste Acordo. A arbitragem será administrada pela Câmara de Comércio Internacional (CCI), conforme seu regulamento de arbitragem, em São Paulo/SP, na língua portuguesa, por um árbitro único.
ASSINATURAS
E, por estarem assim justas e contratadas, as Partes assinam o presente Acordo de Tratamento de Dados Pessoais em [QTD] vias de igual teor e forma, para que produza seus efeitos jurídicos.
[CIDADE], [DATA].
LASTREO [RAZÃO SOCIAL]
Nome: [NOME DO REPRESENTANTE] Cargo: [CARGO]
[RAZÃO SOCIAL DO CLIENTE]
Nome: [NOME DO REPRESENTANTE] Cargo: [CARGO]
Testemunhas:
-
Nome: [NOME] CPF: [CPF]
-
Nome: [NOME] CPF: [CPF]
REGISTRO TÉCNICO
Hash SHA-256 do conteúdo deste documento (excluindo esta seção e a seção
de assinaturas): a ser preenchido no momento da assinatura, conforme padrão
implementado em consent_documents.content_hash (v1.37+).
Versão consolidada cadastrada como ConsentDocument tipo data_processing
versão v0.1 após assinatura.