Jurídico · Plataforma

Acordo de Tratamento de Dados (DPA)

O acordo, sob a LGPD, entre a Deppes (operadora) e a empresa-cliente (controladora) sobre o tratamento dos dados dos colaboradores: obrigações, subprocessadores, incidentes e direitos dos titulares.

Última atualização: 17 de julho de 2026 · Versão 1.0

Este Acordo de Tratamento de Dados Pessoais ("Acordo" ou "DPA") disciplina o tratamento de dados pessoais realizado pela DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ nº 50.630.412/0001-83, com sede na Rua da Paisagem, 220, Bairro Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059 ("Deppes" ou "Operadora"), em favor da pessoa jurídica Contratante ("Controladora"), no âmbito da plataforma Deppes ("Plataforma"), em conformidade com a Lei nº 13.709/2018 (LGPD).

Este Acordo integra e complementa os Termos de Uso e a Política de Privacidade. Em caso de conflito sobre o tratamento de dados pessoais dos Colaboradores, prevalece este Acordo.

1. Definições

Aplicam-se as definições do art. 5º da LGPD, em especial: dado pessoal, dado pessoal sensível, tratamento, controlador, operador, titular, anonimização, encarregado, eliminação e transferência internacional. Além destas:

  • Subprocessador: terceiro contratado pela Operadora para tratar dados pessoais em nome da Controladora.
  • Incidente de segurança: evento que possa acarretar acesso não autorizado, perda, alteração, destruição ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais.

2. Papéis das partes

2.1. A Controladora (Contratante) é a responsável pelas decisões sobre o tratamento dos dados pessoais dos Colaboradores e demais titulares por ela inseridos na Plataforma, cabendo-lhe definir as finalidades e as bases legais.

2.2. A Operadora (Deppes) trata os dados pessoais em nome e sob as instruções da Controladora, exclusivamente para viabilizar a prestação do serviço contratado.

2.3. Em relação aos dados dos Usuários da conta e de navegação, a Deppes atua como Controladora, conforme a Política de Privacidade; tal tratamento não é objeto deste Acordo.

3. Objeto e escopo do tratamento

A natureza, a finalidade, a duração, os tipos de dados e as categorias de titulares do tratamento estão descritos no Anexo I. A Operadora tratará os dados somente na medida necessária à execução do serviço e conforme as instruções documentadas da Controladora, incluindo estes documentos, as configurações da Plataforma e eventuais instruções escritas adicionais.

4. Obrigações da Operadora (Deppes)

A Operadora obriga-se a, nos termos do art. 39 da LGPD:

  • a) Tratar os dados pessoais apenas conforme as instruções documentadas da Controladora, salvo obrigação legal, hipótese em que informará a Controladora, quando permitido;
  • b) Adotar as medidas de segurança, técnicas e administrativas descritas no Anexo II, aptas a proteger os dados de acessos não autorizados e de situações de destruição, perda, alteração ou difusão indevidas;
  • c) Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a dever de confidencialidade;
  • d) Assegurar o isolamento lógico dos dados de cada Controladora (arquitetura multi-tenant);
  • e) Auxiliar a Controladora no atendimento às requisições dos titulares (art. 18) e no cumprimento das obrigações dos arts. 48 e 50 da LGPD, na medida do tecnicamente possível;
  • f) Contratar subprocessadores apenas nas condições da Seção 7;
  • g) Comunicar à Controladora os incidentes de segurança, conforme a Seção 9;
  • h) Eliminar ou devolver os dados ao término do tratamento, conforme a Seção 11;
  • i) Disponibilizar à Controladora informações necessárias para demonstrar o cumprimento das obrigações deste Acordo, nos termos da Seção 10;
  • j) Manter registro das operações de tratamento que realizar.

5. Obrigações da Controladora (Contratante)

A Controladora obriga-se a:

  • a) Possuir e manter base legal adequada para o tratamento dos dados que inserir na Plataforma, inclusive dados sensíveis, e, quando aplicável, obter e gerir o consentimento dos titulares;
  • b) Fornecer aos titulares as informações de transparência exigidas pela LGPD, inclusive quanto ao tratamento realizado por meio da Plataforma e de seus subprocessadores;
  • c) Assegurar a veracidade, exatidão e atualização dos dados inseridos;
  • d) Gerir os acessos de seus Usuários (perfis, permissões e revogações), zelando pelo sigilo das credenciais;
  • e) Transmitir instruções à Operadora de forma lícita e compatível com a finalidade contratada;
  • f) Atuar como ponto de contato primário dos seus titulares (Colaboradores) para o exercício de direitos.

6. Dados sensíveis e pesquisas

6.1. Determinados dados podem ser sensíveis (art. 11 da LGPD), por exemplo, declaração de raça/cor, identidade de gênero, filiação sindical e dados de saúde (Pesquisa NR-1). A base legal e a responsabilidade por esse tratamento são da Controladora.

6.2. As pesquisas anônimas (Clima, NR-1, eNPS, Desligamento) operam com anonimato por regra de sistema (k-anonimato, mascaramento de recortes e bloqueio de leitura individual). Na NR-1, o anonimato é estrutural: a resposta é gravada sem vínculo com o respondente, de modo que nem a Operadora nem a Controladora conseguem reidentificá-la.

7. Subprocessadores

7.1. A Controladora autoriza, de forma geral, a contratação dos subprocessadores necessários à prestação do serviço, listados no Anexo III.

7.2. A Operadora garante contratualmente que os subprocessadores estejam sujeitos a obrigações de proteção de dados equivalentes às deste Acordo e tratem os dados apenas conforme as instruções da Operadora.

7.3. A Operadora informará a Controladora sobre alterações relevantes no quadro de subprocessadores, permitindo eventual oposição fundamentada. A Operadora permanece responsável perante a Controladora pelas obrigações dos subprocessadores.

8. Transferência internacional

O banco de dados de produção reside no Brasil. Há transferência internacional apenas para backups e armazenamento de documentos (AWS, EUA) e para provedores de IA (EUA, China, Singapura), conforme o Anexo III. Tais transferências observam as salvaguardas do art. 33 da LGPD, em especial cláusulas contratuais padrão e acordos de tratamento firmados com os provedores.

9. Incidentes de segurança

9.1. A Operadora comunicará a Controladora sem demora injustificada ao tomar conhecimento de incidente de segurança que envolva dados pessoais tratados em favor dela, fornecendo as informações disponíveis (natureza, categorias e volume aproximado de dados e titulares, possíveis consequências e medidas adotadas ou propostas).

9.2. Cabe à Controladora, na qualidade de responsável perante os titulares, avaliar a comunicação à ANPD e aos titulares (art. 48 da LGPD). A Operadora prestará o apoio razoável para tanto. O Encarregado (DPO) da Deppes conduz internamente a avaliação e classificação do incidente.

10. Demonstração de conformidade e auditoria

10.1. A Operadora disponibilizará à Controladora informações razoáveis para demonstrar o cumprimento deste Acordo, incluindo sua Política de Segurança da Informação, a Política de Gestão de Mudanças e o relatório de due diligence de Segurança da Informação (alinhado à ISO/IEC 27001).

10.2. Artefatos que contenham informações sensíveis de infraestrutura (inventário de ativos/CMDB e diagramas de arquitetura e topologia) são confidenciais e podem ser disponibilizados para verificação mediante acordo de confidencialidade (NDA).

11. Término, devolução e eliminação

11.1. Encerrado o contrato, a Controladora poderá, em prazo razoável, exportar os dados por ela inseridos.

11.2. Após esse prazo, a Operadora procederá à eliminação ou anonimização dos dados, ressalvadas as hipóteses de guarda obrigatória por lei (por exemplo, registros de acesso por 12 meses, nos termos do Marco Civil da Internet) e a subsistência temporária em backups, os quais são sobrescritos conforme a política de retenção GFS.

12. Responsabilidade

A responsabilidade de cada parte observa a LGPD e os limites do contrato de prestação de serviços. A Operadora responde pelos danos decorrentes do tratamento quando descumprir as obrigações legais que lhe cabem ou não seguir as instruções lícitas da Controladora (art. 42 da LGPD). A Controladora responde pela licitude do tratamento que determinar, pela existência de base legal e pela gestão dos direitos de seus titulares.

13. Vigência

Este Acordo vigora enquanto durar o tratamento de dados pessoais decorrente da prestação do serviço e permanece eficaz, no que couber, após o término, quanto às obrigações de confidencialidade, eliminação e responsabilidade.

14. Disposições gerais e foro

Aplicam-se as disposições gerais dos Termos de Uso. Este Acordo é regido pela legislação brasileira, elegendo-se o foro da Comarca de Nova Lima/MG para dirimir controvérsias, salvo competência diversa prevista em lei.


Anexo I — Descrição do tratamento

  • Natureza e finalidade: prestação de serviço de gestão de pessoas (colaboradores, cargos, salários, desempenho, metas, carreira, pesquisas, benchmark e analytics), no modelo SaaS.
  • Duração: enquanto vigente o contrato, observados os prazos de retenção legais.
  • Categorias de titulares: colaboradores da Controladora (empregados, prestadores e similares) e Usuários da conta.
  • Categorias de dados pessoais: identificação e cadastrais; documentos (CPF, RG, CNH, PIS, CTPS, título de eleitor, reservista); dados bancários; endereço; dados contratuais e profissionais (cargo, vínculo, salário e histórico, benefícios, admissão/desligamento); desenvolvimento e carreira; desempenho (avaliações, Nine Box, PDI, metas); respostas de pesquisas; documentos anexados; campos personalizados definidos pela Controladora; registros de acesso.
  • Categorias de dados sensíveis: declaração de raça/cor, identidade de gênero, filiação sindical e dados de saúde (Pesquisa NR-1, riscos psicossociais, de forma anônima).

Anexo II — Medidas de segurança

Conforme a Política de Segurança da Informação da Deppes:

  • Controle de acesso individual e por perfis/permissões (ACL), sob menor privilégio; sem contas compartilhadas;
  • Autenticação multifator (OTP via SMS e e-mail) e limitação de tentativas de acesso (rate limiting/bloqueio);
  • Isolamento lógico multi-tenant por identificador de cliente, aplicado automaticamente em todas as operações;
  • Criptografia em trânsito (TLS, WebSocket seguro, VPN administrativa); senhas com hash e credenciais de integração cifradas; backups criptografados;
  • Segregação de redes, firewall com exposição mínima e proteção de borda (DDoS/WAF);
  • Trilha de auditoria imutável (usuário, dado, IP, data/hora), retida por 12 meses;
  • Backups automatizados (3× ao dia) com retenção GFS e restauração testada;
  • Monitoramento contínuo com alertas; gestão de mudanças com aprovação formal e rollback automático;
  • Acionamento do Encarregado (DPO) na gestão de incidentes.

Anexo III — Subprocessadores

SubprocessadorFinalidadeLocalização
HostingerHospedagem do processamento primário e do banco de produçãoBrasil (São Paulo)
Amazon Web Services (AWS)Backups (S3), object storage de documentos, imagens de container (ECR), e-mail (SES)EUA (us-east-1)
CloudflareDNS, CDN, proteção de borda (DDoS/WAF)Global
Google (Workspace / Drive)E-mail corporativo e documentos internos da DeppesGlobal
Google (Gemini)Recursos de inteligência artificialEUA
DeepSeekRecursos de inteligência artificial (redundância)China
Xiaomi (MiMo)Recursos de inteligência artificial (redundância)Singapura
ViaCEPConsulta pública de endereço a partir do CEPBrasil
Sistemas de folha/ERP da ContratanteOrigem de dados importados por integração, quando contratadaConforme o fornecedor

DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ 50.630.412/0001-83.
Encarregado (DPO): Mateus Eustáquio Vieira de Carvalho, dpo@deppes.com.br · Contato: contato@deppes.com.br