DPA (Data Processing Agreement)

DPA (Data Processing Agreement) é o contrato firmado entre uma empresa que processa dados pessoais e o fornecedor do serviço de IA, definindo o que pode ser feito com esses dados — guardar, usar pra treinamento, compartilhar com terceiros, reter por quanto tempo.

Pro escritório de advocacia ou clínica médica brasileira, DPA é o documento que separa uso legal de IA do tipo de violação que vira representação na OAB ou multa da ANPD.

Como funciona na prática

Sem DPA, você está confiando na política do site do fornecedor — que pode mudar a qualquer momento, em outra língua, com outro foro. Com DPA assinado, há base contratual entre as partes: você consegue auditar, exigir cumprimento, e responder a fiscalizações no Brasil.

Os 4 pontos que todo DPA decente cobre:

1. Não-treinamento: o fornecedor garante que seus dados não viram material de treino do modelo
2. Subprocessadores: lista nominal de quem mais toca seus dados
3. Retenção: por quantos dias os dados ficam armazenados após processamento
4. Localidade: em quais países os dados são processados (e se há transferência internacional)

OpenAI Enterprise, Anthropic Enterprise e Azure OpenAI Service oferecem DPA padrão. ChatGPT free e Claude free não oferecem.

Por que importa pro escritório de advocacia

Sigilo profissional do advogado é perene — sobrevive ao término do mandato (Código de Ética OAB). Se você cola peça processual no ChatGPT free, está transferindo dado de cliente pra um servidor sem base contratual. A Recomendação 001/2024 da OAB exige diligência na escolha do fornecedor — e essa diligência só se prova com DPA na mão.

A regra que segue daqui é a Crença #1 do programa: seus dados com você. DPA é a primeira camada de prova de que isso é real.

Erro comum: aceitar DPA padrão sem ler

O erro mais comum é confiar no DPA padrão da OpenAI/Anthropic/Google sem ler — ele protege o fornecedor mais do que você. Pontos onde geralmente há armadilha:

• “Subprocessadores podem ser adicionados sem aviso prévio” → você não sabe quem mais toca o dado
• “Retenção mínima de 30 dias para fins de abuso” → na prática há cópia residual por mais tempo
• “Foro nos Estados Unidos / Irlanda / Singapura” → você processa um gigante fora do Brasil

DPA bom é DPA negociado, com cláusulas extras pra casos sensíveis (dado de saúde, sigilo profissional). DPA é ponto de partida — não destino.

Como aplicar hoje

Três passos práticos pra escritório que tá começando:

1. Hoje: cancele uso de IA pública sem conta corporativa. Pause até resolver.
2. Esta semana: assine DPA da OpenAI Enterprise ou Anthropic Enterprise (ou ambos), com cláusulas extras de não-treinamento e retenção curta.
3. Próximas 2 semanas: monte gateway interno (LiteLLM ou similar) pra ter audit trail de toda chamada feita.

Se quer montar essa estrutura completa do zero em 14 dias — DPA assinado, gateway próprio, audit trail funcionando, anonimização local antes da chamada externa — é exatamente o que entregamos no Sprint IA de 14 dias. Quem precisa de agente pronto rodando em cima dessa infra, iAgentes entrega o pacote.

Termos relacionados

• Audit trail em IA — como provar quem chamou IA com qual dado
• BYOK (Bring Your Own Key) — modelo onde você traz sua subscription, mantém controle
• Sigilo profissional em IA — o limite específico pra advocacia
• Anonimização antes de LLM — camada extra antes da chamada API

Fontes

• Recomendação 001/2024 do CFOAB sobre IA generativa
• LGPD — Lei 13.709/2018