Aceite do DPA — Fluxo Operacional

Versão pública do DPA: signdocs.com.br/dpa.html. Este guia descreve como o aceite é capturado por plano e o que o Cliente Controlador precisa fazer.

Quando o DPA aplica

Aplica a qualquer Cliente B2B (PJ contratante) que use a Plataforma para tratar dados de Signatários ou outros Titulares em seu nome. Quando o Cliente é um Consumidor (PF assinando como pessoa física, não como representante de PJ), não há DPA — a relação é regida apenas pelos Termos de Uso + LGPD diretos.

Fluxo por plano

Iniciante e Avançado — click-through automático

O DPA é apresentado no fluxo de contratação do plano:

1. Cliente cria conta em app.signdocs.com.br e seleciona plano Iniciante ou Avançado.
2. No checkout, antes do pagamento, o painel mostra o DPA completo e exige duas ações:

• Caixa de aceite explícito: "Li e concordo com o Acordo de Tratamento de Dados (DPA)"
• Confirmação do CNPJ + razão social + nome/cargo do representante legal

1. Após o pagamento confirmar, o painel grava no perfil do tenant:

• dpa.acceptedAt: timestamp ISO 8601 (UTC)
• dpa.version: versão do DPA aceita (ex.: 1.0)
• dpa.acceptedBy: nome + e-mail + IP do representante
• dpa.documentSnapshot: hash SHA-256 do PDF do DPA aceito

1. Cópia em PDF assinada por certificado ICP-Brasil corporativo da SignDocs Brasil é gerada e disponibilizada em Painel → Documentos legais → DPA assinado.

Enterprise — assinatura manual

Para Enterprise, o DPA pode ser personalizado:

1. Solicitação inicial: enterprise@signdocs.com.br. Time comercial coleta requisitos (volume previsto, dados sensíveis tratados, requisitos setoriais como Banco Central/CVM/Saúde).
2. SignDocs Brasil prepara um Order Form que inclui o DPA padrão + Anexos negociados (sub-operadores adicionais excluídos, limites de retenção customizados, SLA específico, auditoria pré-aprovada).
3. Assinatura via plataforma SignDocs Brasil mesmo (BIOMETRIC_PLUS_OTP ou DIGITAL_CERTIFICATE), com signatários: representante legal do Cliente (CNPJ) e representante da SignDocs Brasil.
4. Cópia assinada fica em Painel → Documentos legais → DPA Enterprise + um PDF arquivado tanto pelo Cliente quanto pela SignDocs Brasil.

Recuperando a cópia assinada

Programaticamente:

curl -H "Authorization: Bearer $TOKEN" \
     https://api.signdocs.com.br/v1/admin/dpa

Resposta:

{
  "version": "1.0",
  "acceptedAt": "2026-04-28T14:23:45.123Z",
  "acceptedBy": {
    "name": "Maria Aparecida Silva",
    "email": "maria.silva@cliente.com.br",
    "ip": "200.123.45.67"
  },
  "documentHash": "sha256:a3f5b...",
  "downloadUrl": "https://signed.signdocs.com.br/dpa/<tenant>/dpa-1.0.p7m",
  "downloadExpiresAt": "2026-04-28T14:38:45.123Z"
}

O downloadUrl é uma URL pré-assinada válida por 15 minutos. O arquivo é um .p7m (PKCS#7 detached) contendo o DPA + assinatura ICP-Brasil + carimbo do tempo. Verifique pelo verificador público em verificador.signdocs.com.br.

Mudanças contratuais

Material change no DPA (nova versão por mudança regulatória, novo sub-operador material, mudança de mecanismo de transferência internacional) → notificação com pelo menos 15 dias de antecedência por e-mail e mensagem no painel. O Cliente:

• Pode aceitar tacitamente continuando a usar a Plataforma após o efeito.
• Pode aceitar explicitamente clicando no novo DPA no painel — recomendado para auditoria interna.
• Pode rescindir sem penalidade dentro da janela de 15 dias se discordar — janela de portabilidade aplicável (30/90 dias por plano).

Mudanças não-materiais (correção tipográfica, ajuste de redação sem efeito jurídico) são publicadas com aviso simples; não exigem novo aceite.

Sub-operadores

O Cliente Controlador autoriza, em caráter geral, a contratação dos sub-operadores listados em signdocs.com.br/sub-operadores.html. Mudanças materiais nessa lista são notificadas com 30 dias de antecedência conforme ANPD Res. 18/2024 e DPA §7.

Subscrição em avisos de mudança de sub-operadores: formulário no rodapé de signdocs.com.br/sub-operadores.html.

Auditoria documental (apenas Enterprise)

DPA §10 dá direito a auditoria documental anual com 30 dias de aviso prévio. Solicite por enterprise@signdocs.com.br. Disponibilizamos sob NDA:

• Sumário executivo do pentest anual
• Políticas e procedimentos relevantes
• Atestados de conformidade vigentes (SOC 2 quando aplicável, ISO 27001 quando aplicável)
• Relatório de segurança e privacidade

Acesso direto a ambientes produtivos é restrito e exige protocolo de "auditoria assistida" — combine com o time de segurança da SignDocs Brasil.

Direitos do Titular — encaminhamento

Quando o Titular pede direitos LGPD diretamente à SignDocs Brasil mas o tratamento é de dado em que você é Controlador, encaminhamos o pedido para você em até 5 dias úteis via e-mail ao endereço administrativo do tenant. Você tem o prazo padrão da LGPD (15 dias prorrogáveis) para responder ao Titular. A SignDocs Brasil oferece suporte técnico (extração, eliminação, anonimização) sob solicitação.

Devolução e eliminação no fim do contrato

Após rescisão:

• Janela de portabilidade: 30 dias (Iniciante/Avançado) ou 90 dias (Enterprise) para exportar documentos e Evidence Packs em formato aberto via API ou painel.
• Eliminação: hard delete em até 90 dias após o fim da janela, OU anonimização irreversível conforme LGPD art. 12.
• Exceções legais: documentos sob obrigação de retenção (Marco Civil, fiscal, judicial) e logs de auditoria são preservados por prazos da tabela de retenção.

Cross-references

• DPA público: signdocs.com.br/dpa.html
• Sub-operadores: signdocs.com.br/sub-operadores.html
• Tabela de retenção: signdocs.com.br/tabela-de-retencao.html
• AUP — integrador como Controlador: aup.md