Acordo de Processamento de Dados
Data Processing Agreement (DPA)
Versão 2026-05-05.v1 · Vigência a partir de 05/05/2026
Este DPA é parte integrante dos Termos de Uso
O presente Acordo é celebrado automaticamente no momento do aceite dos Termos de Uso e rege o tratamento de dados pessoais de terceiros (clientes e partes processuais do Escritório) realizados pela Omni na qualidade de Operadora, nos termos da LGPD arts. 37–40.
1. Partes e Definições
Controlador: o Escritório de advocacia (pessoa física ou jurídica) que contrata a Plataforma Omni e determina as finalidades e os meios do tratamento dos dados pessoais de seus clientes e partes processuais (LGPD art. 5°, VI).
Operadora: a Omni Advocacia, mantenedora da Plataforma, que realiza o tratamento em nome do Controlador conforme as instruções recebidas (LGPD art. 5°, VII).
Dados do Controlador: dados pessoais de clientes, partes processuais, testemunhas e demais terceiros inseridos pelo Escritório na Plataforma.
LGPD: Lei n° 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).
2. Objeto e Finalidade do Tratamento
A Omni tratará os Dados do Controlador exclusivamente para prestar os serviços descritos nos Termos de Uso: gestão de processos, prazos, documentos, financeiro, emissão de NFS-e, assinatura eletrônica, portal do cliente e sincronização com DataJud/CNJ.
É vedado à Omni utilizar os Dados do Controlador para finalidade diversa das instruções recebidas, inclusive para fins de publicidade, analytics de mercado ou compartilhamento com terceiros não autorizados (LGPD art. 39).
3. Categorias de Dados e Titulares
| Categoria | Exemplos | Titulares |
|---|---|---|
| Identificação | Nome, CPF/CNPJ, RG, data de nascimento | Clientes e partes |
| Contato | E-mail, telefone, endereço | Clientes e partes |
| Dados processuais | Número CNJ, comarca, tribunal, movimentações | Clientes e partes |
| Dados financeiros | Honorários, NFS-e, acordos | Clientes |
| Dados potencialmente sensíveis (LGPD art. 11) | Saúde, orientação, convicções (conforme causa) | Clientes e partes |
| Documentos | Contratos, petições, procurações | Clientes e partes |
O Controlador é o único responsável por definir quais dados inserir e por possuir base legal adequada para o tratamento, especialmente quanto a dados sensíveis (LGPD art. 11).
4. Obrigações da Omni (Operadora)
- Tratar os Dados do Controlador apenas conforme as instruções documentadas neste DPA e nos Termos de Uso, salvo obrigação legal diversa;
- Garantir confidencialidade — colaboradores com acesso aos dados são vinculados por obrigação de sigilo;
- Implementar as medidas de segurança descritas na Política de Privacidade (RLS, TLS 1.2+, RBAC, JWT, audit log, PITR — LGPD art. 46);
- Notificar o Controlador em até 48 horas sobre incidente de segurança que possa afetar os Dados do Controlador (LGPD art. 48);
- Auxiliar o Controlador no atendimento de requisições de titulares (LGPD art. 18) dentro de prazo razoável, limitado às funcionalidades da Plataforma;
- Não subcontratar novo Suboperador sem comunicação prévia ao Controlador (ver Cláusula 6);
- Após encerramento do contrato, excluir ou devolver os Dados do Controlador conforme Cláusula 8;
- Disponibilizar informações necessárias a auditorias e inspeções do Controlador ou da ANPD, mediante solicitação razoável e com prazo de 15 dias úteis;
- Manter registro das atividades de tratamento realizadas em nome do Controlador (LGPD art. 37).
5. Obrigações do Controlador (Escritório)
- Inserir na Plataforma apenas dados sobre os quais possua base legal válida (LGPD art. 7° ou art. 11 para dados sensíveis);
- Informar e, quando aplicável, obter consentimento dos titulares para o tratamento de seus dados no contexto do serviço jurídico prestado;
- Atender diretamente as requisições de titulares relativas aos Dados do Controlador, acionando a Omni quando necessário;
- Notificar a Omni imediatamente em caso de suspeita de comprometimento das credenciais de acesso;
- Manter dados cadastrais e de contato atualizados para fins de notificação de incidentes;
- Garantir que membros da equipe com acesso à Plataforma estejam cientes das obrigações de sigilo profissional (EOAB art. 34 e Código de Ética OAB).
6. Suboperadores (Subprocessadores)
O Controlador autoriza expressamente o uso dos seguintes Suboperadores para prestação dos serviços. A Omni celebrou ou celebrará com cada um DPA ou cláusulas contratuais equivalentes:
| Suboperador | Finalidade | País | DPA/Política |
|---|---|---|---|
| Supabase / AWS | Banco de dados e autenticação | EUA (us-east-1) | supabase.com/privacy |
| Vercel | Hospedagem da Plataforma | EUA | vercel.com/legal/dpa |
| Resend | E-mail transacional (alertas e prazos) | EUA | resend.com/legal/privacy-policy |
| Sentry | Monitoramento de erros (logs anonimizados) | EUA | sentry.io/privacy |
| Asaas | Processamento de pagamentos (SaaS e honorários) | Brasil | asaas.com/politica-de-privacidade |
| DataJud/CNJ | Consulta de movimentações processuais públicas | Brasil | Dados públicos — CNJ |
| ZapSign | Assinatura eletrônica de documentos (se utilizado) | Brasil | zapsign.com.br/termos |
| Notaas | Emissão de NFS-e (se utilizado) | Brasil | notaas.com.br/privacidade |
A inclusão de novo Suboperador será comunicada ao Controlador com antecedência mínima de 15 dias, podendo o Controlador objetar por escrito. Na ausência de objeção, a inclusão será considerada autorizada (LGPD art. 40, I).
7. Transferência Internacional
As transferências aos Suboperadores nos EUA (Supabase/AWS, Vercel, Resend, Sentry) são realizadas com base em Cláusulas Contratuais Padrão (Standard Contractual Clauses), garantindo proteção equivalente à exigida pela LGPD (art. 33, II). A Omni disponibilizará cópia dessas cláusulas mediante solicitação ao DPO.
8. Retenção e Devolução ou Exclusão
Após o encerramento do contrato, o Controlador tem 30 dias para exportar seus dados em CSV/PDF (funcionalidade disponível na Plataforma). Após esse prazo, a Omni procederá à exclusão lógica, com exclusão definitiva em até 90 dias.
Exceções ao prazo de exclusão (dados mantidos por obrigação legal):
- Registros de auditoria: 5 anos (CC art. 206, §3°, V);
- Dados de cobrança e NFS-e: 5 anos (CTN art. 174);
- Logs técnicos: 90 dias.
9. Resposta a Requisições de Titulares
Quando o titular de dados exercer direito previsto no art. 18 da LGPD em face do Controlador, este deverá acionar a Omni se precisar de apoio técnico (ex.: exportação de dados, anonimização). A Omni responderá à solicitação do Controlador em até 10 dias úteis.
Requisições de titulares enviadas diretamente à Omni (confundindo Controlador e Operadora) serão redirecionadas ao Controlador no prazo de 5 dias úteis.
10. Incidentes de Segurança (LGPD art. 48)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos Dados do Controlador, a Omni notificará o Controlador em até 48 horas via e-mail cadastrado, com informações sobre: natureza do incidente, dados afetados, medidas adotadas e ponto de contato para esclarecimentos.
A notificação à ANPD será feita pela Omni quando a Operadora tiver ciência do incidente e este atingir dados tratados sob múltiplos Controladores, ou conjuntamente com o Controlador quando os dados forem exclusivos de um único Escritório.
11. Auditoria e Registros
A Omni mantém registro das atividades de tratamento realizadas em nome do Controlador (LGPD art. 37), disponível para consulta mediante solicitação ao DPO com prazo de 15 dias úteis.
O Controlador pode solicitar relatório de conformidade anual, sem custo adicional. Auditorias técnicas in loco poderão ser realizadas com aviso prévio de 30 dias, limitadas a horário comercial e sem acesso a dados de outros Controladores.
12. Vigência e Rescisão
Este DPA tem vigência por toda a duração do contrato de uso da Plataforma e se extingue automaticamente com o encerramento definitivo deste, respeitados os prazos de retenção legais da Cláusula 8.
Em caso de conflito entre este DPA e os Termos de Uso, prevalecerá o DPA no que diz respeito ao tratamento de dados pessoais de terceiros.
13. Contato e DPO
Para exercer direitos, reportar incidentes ou solicitar informações sobre este DPA:
Encarregado de Dados (DPO): privacidade@omniadvocacia.com.br
Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd