DPA — Acordo de Processamento de Dados

O DPA (Data Processing Agreement / Acordo de Processamento de Dados) é o instrumento contratual que formaliza os papéis de Controlador (o Parceiro) e Operador (a Desio) para os tratamentos em que a Desio age em nome do Parceiro, conforme Arts. 39 e 41 da [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm).

A relação base entre Desio e Parceiro já está coberta pelos Termos para Parceiros e pela Política de Privacidade, que descrevem as obrigações de proteção de dados aplicáveis. O DPA é uma camada adicional com cláusulas específicas, comumente exigida em cenários de procurement enterprise ou contratos com o setor público.

O DPA é normalmente solicitado quando:

• O Parceiro é uma rede ou grupo empresarial com área de procurement / jurídico formal que exige DPA em todos os contratos de fornecedor
• Há contrato com órgão público ou licitação que demanda o instrumento
• Há certificações internas (ISO 27001, governança corporativa) que listam o DPA como pré-requisito de uso de fornecedor
• O volume de dados pessoais tratados é significativamente acima da operação típica de um restaurante (ex.: redes com programa de fidelidade próprio e milhões de titulares)

Para a operação padrão de um restaurante individual ou pequena rede, os Termos para Parceiros e a Política de Privacidade já são suficientes do ponto de vista da LGPD — o DPA pode ser solicitado, mas não é obrigatório.

Em caso de dúvida, escreva para privacidade@desio.app descrevendo o contexto da necessidade.

Canal Solicite o DPA por e-mail para privacidade@desio.app%20para%20o%20seguinte%20Parceiro%3A%0A%0A%E2%80%A2%20Raz%C3%A3o%20social%3A%0A%E2%80%A2%20CNPJ%3A%0A%E2%80%A2%20Nome%20do%20contato%3A%0A%E2%80%A2%20Cargo%3A%0A%E2%80%A2%20Contexto%20da%20necessidade%20(procurement%2C%20contrato%20p%C3%BAblico%2C%20exig%C3%AAncia%20interna%2C%20etc.)%3A%0A%0AAguardo%20retorno.) informando:

• Razão social e CNPJ do Parceiro
• Nome e cargo do contato responsável
• Contexto da necessidade (procurement enterprise, contrato público, exigência interna, etc.)

Prazo de resposta A Desio retorna com a minuta do DPA em até 5 dias úteis a partir do recebimento. Caso o Parceiro queira propor redlines sobre o template, os ajustes são revisados em até 10 dias úteis adicionais.

Formato A minuta é encaminhada em PDF, assinada eletronicamente após acordo entre as partes (ex.: Clicksign, DocuSign — sob acordo com o Parceiro).

O template padrão de DPA da Desio cobre:

• Definições: alinhamento de termos com a LGPD (Titular, Tratamento, Controlador, Operador, Dado Pessoal, Encarregado, Incidente etc.)
• Objeto e finalidade: descrição das atividades em que a Desio atua como Operadora em nome do Parceiro (gestão de CRM, envio de campanhas, operação de vouchers/reservas, atendimento ao cliente, etc.)
• Instruções documentadas de tratamento: limites do que a Desio pode fazer com os dados em nome do Parceiro
• Sub-processadores: vinculação à lista pública e regras para inclusão/notificação de novos sub-processadores
• Medidas técnicas e organizacionais de segurança: criptografia, controle de acesso, gestão de mudanças, retenção (veja Confiança e Segurança)
• Direitos dos Titulares: como a Desio coopera com o Parceiro no atendimento a pedidos de acesso, correção, eliminação e portabilidade
• Notificação de incidente: prazo de comunicação ao Parceiro (até 24 horas após confirmação) e suporte na notificação à ANPD e Titulares quando aplicável
• Auditoria: direito do Parceiro de solicitar relatórios e evidências razoáveis sobre as medidas implementadas
• Transferências internacionais: cláusulas sobre sub-processadores localizados fora do Brasil (com referência aos sub-processadores listados)
• Vigência e término: prazo, eliminação ou devolução de dados ao fim do contrato
• Foro e lei aplicável: Brasil; foro de Curitiba/PR salvo eleição diversa em contrato principal

Ajustes pontuais são possíveis dentro dos limites operacionais da plataforma e do que é razoável para uma operação de SaaS multi-tenant.

Solicitações, dúvidas e redlines sobre o DPA:

• E-mail: privacidade@desio.app%20para%20o%20seguinte%20Parceiro%3A%0A%0A%E2%80%A2%20Raz%C3%A3o%20social%3A%0A%E2%80%A2%20CNPJ%3A%0A%E2%80%A2%20Nome%20do%20contato%3A%0A%E2%80%A2%20Cargo%3A%0A%E2%80%A2%20Contexto%20da%20necessidade%20(procurement%2C%20contrato%20p%C3%BAblico%2C%20exig%C3%AAncia%20interna%2C%20etc.)%3A%0A%0AAguardo%20retorno.)
• Encarregado pelo Tratamento de Dados Pessoais (DPO): no corpo da Política de Privacidade e da página de Confiança e Segurança

Esta página é uma orientação prática, não substitui o instrumento contratual.