DPA · Art. 39 LGPD
Adendo de Tratamento de Dados (DPA) — LGPD
Contrato de tratamento de dados entre o Usuário (Controlador) e a Contablyo (Operadora), para processamento de CPF, dados de funcionários, folha de pagamento, salários e documentos correlatos.
Última atualização: 6 de junho de 2026 · Versão 2026-06-06-v1
1. Partes, objeto e vigência
Este Adendo de Tratamento de Dados ("DPA", "Anexo LGPD" ou "Contrato de Processamento") complementa os Termos de Serviço e a Política de Privacidade entre: • CONTROLADOR: Usuário cadastrado — escritório contábil, contador ou pessoa jurídica que determina finalidades e meios relativos a dados de seus clientes e funcionários; • OPERADORA: Contablyo, que trata dados pessoais em nome do Controlador, exclusivamente para prestação do SaaS contratado. Este DPA entra em vigor na data de aceite eletrônico (cadastro ou uso continuado) e permanece vigente enquanto houver tratamento de dados pessoais pela Operadora em nome do Controlador.
2. Categorias de titulares e dados tratados
Titulares: usuários da conta; representantes de clientes; funcionários, estagiários, prestadores e demais pessoas cadastradas pelo Controlador. Categorias de dados pessoais tratados pela Operadora, conforme instruções do Controlador: • Identificação: nome, CPF, PIS/NIS, RG (quando informado), e-mail, telefone, endereço; • Dados laborais e financeiros: cargo, salário, rubricas, horas, dependentes IRRF, dados bancários, PIX, histórico de folha, holerites; • Documentos: contratos, comprovantes, notas, arquivos de coletas e drive; • Dados técnicos vinculados ao tratamento: logs de acesso, metadados de upload, timestamps. Dados sensíveis: o Controlador deve evitar inserir categorias especiais salvo quando estritamente necessário e amparado por base legal; a Operadora tratará apenas o estritamente necessário ao serviço solicitado.
3. Finalidades e instruções documentadas
A Operadora tratará dados exclusivamente para: hospedar, processar, calcular, exibir, exportar, transmitir notificações configuradas e armazenar informações inseridas pelo Controlador no escopo da folha de pagamento, gestão documental e funcionalidades contratadas. A Operadora não determina finalidades autônomas sobre dados de funcionários de clientes. Instruções documentadas consistem neste DPA, Termos, Política de Privacidade e configurações aplicadas pelo Controlador na Plataforma. O Controlador é o único responsável por revisar, validar e transmitir obrigações legais, fiscais, trabalhistas e previdenciárias derivadas dos dados tratados.
4. Obrigações da Operadora (Art. 39 LGPD)
A Operadora compromete-se a: (a) tratar dados apenas conforme instruções documentadas do Controlador, salvo exigência legal; (b) garantir confidencialidade de pessoas autorizadas a tratar dados; (c) adotar medidas de segurança técnicas e administrativas proporcionais ao risco; (d) notificar o Controlador sobre incidentes de segurança relevantes em prazo razoável, com informações disponíveis para cumprimento de obrigações do Controlador perante ANPD e titulares; (e) auxiliar o Controlador, na medida razoável, no atendimento a direitos de titulares; (f) ao término do contrato, eliminar ou devolver dados conforme cláusula de retenção, salvo retenção legal; (g) manter registro das operações de tratamento na medida exigida pela LGPD; (h) disponibilizar informações necessárias para demonstrar conformidade, mediante solicitação razoável.
5. Obrigações do Controlador
O Controlador declara e garante que: (a) possui base legal válida (contrato, obrigação legal, legítimo interesse, consentimento etc.) para inserir e instruir tratamento de dados de titulares; (b) cumpriu deveres de transparência e informou titulares quando exigido; (c) os dados são precisos e limitados ao necessário; (d) é exclusivamente responsável pela revisão, validação e transmissão de obrigações legais, fiscais, trabalhistas e previdenciárias; (e) indenizará a Operadora por reclamações de titulares ou autoridades decorrentes de instruções ilícitas ou ausência de base legal.
6. Suboperadores (subprocessadores)
O Controlador autoriza a Operadora a contratar suboperadores para infraestrutura, e-mail, armazenamento e monitoramento. Lista atualizada disponível mediante solicitação em contato@contablyo.com.br. A Operadora impõe a suboperadores obrigações de proteção equivalentes às deste DPA. Alterações materiais de suboperadores poderão ser comunicadas com antecedência razoável; o Controlador poderá opor-se por motivos fundados de conformidade, podendo resultar em limitação de funcionalidades.
7. Transferências internacionais
Transferências fora do Brasil ocorrerão apenas com garantias previstas na LGPD (cláusulas-padrão, certificações, consentimento específico ou outro mecanismo válido), conforme Política de Privacidade.
8. Retenção, devolução e eliminação (purge)
Ao encerramento da conta ou término do DPA, a Operadora eliminará ou anonimizará dados pessoais do Controlador em prazo comercialmente razoável, ressalvada retenção exigida por lei, backup temporário ou resolução de disputas. O Controlador deve exportar dados antes do encerramento. Durante Open Beta, prazos de exportação pós-encerramento podem ser limitados. A Operadora reserva-se o direito de purge irreversível conforme Termos de Serviço.
9. Incidentes de segurança
A Operadora notificará o Controlador sem demora injustificada após tomar ciência de incidente que possa acarretar risco ou dano relevante aos titulares, fornecendo descrição inicial, categorias afetadas e medidas adotadas, na medida disponível.
10. Auditoria
Mediante solicitação prévia e razoável, a Operadora disponibilizará informações ou resumos de certificações/controles para demonstrar conformidade, sem divulgar segredos comerciais ou dados de outros clientes. Auditorias presenciais somente mediante acordo escrito e escopo limitado.
11. Responsabilidade e indenização
Cada parte responde por violações imputáveis à sua esfera de controle. Limitações de responsabilidade dos Termos de Serviço aplicam-se à Operadora. O Controlador responde perante titulares e ANPD por determinações de tratamento e base legal.
12. Prevalência e contato
Em caso de conflito entre este DPA e Termos quanto a tratamento de dados pessoais de titulares do Controlador, prevalece este DPA. Demais matérias comerciais regem-se pelos Termos. Contato DPA / privacidade: contato@contablyo.com.br
Dúvidas? contato@contablyo.com.br · Voltar ao início