Regula o tratamento de dados entre controlador e operador — arts. 39 e ss. da LGPD.
O acordo de tratamento de dados (DPA) regula como o operador trata dados por conta do controlador, com medidas de segurança e regras de subcontratação, conforme os arts. 39 e seguintes da LGPD.
É usado entre empresas e fornecedores que acessam dados. Sem o DPA, faltam garantias de segurança e responsabilização, e ambas as partes ficam expostas a sanções por incidentes.
Este modelo possui 8 campos distribuídos em 2 etapas.