O que você vai ler

  1. Por que contrato escrito importa (mesmo com cliente que você confia)
  2. Os 3 documentos mínimos que toda prestadora precisa
  3. As 3 cláusulas que advogado generalista esquece
  4. Sinais de cliente-bandeira-vermelha
  5. O custo real de fazer direito
  6. O que vem depois do contrato

Antes de mais nada: eu não sou advogado. Esse artigo não substitui consulta jurídica. O que eu vou compartilhar é o caminho que percorri pra estruturar contratos da minha operação, depois de pesquisar muito e de levar a versão final pra um advogado especialista validar. Você pode (e deve) fazer parecido.

A premissa do artigo: se você presta serviço pra outras empresas, especialmente serviços que envolvem dados (marketing, CRM, IA, tecnologia, suporte, financeiro), você precisa de contrato escrito. Não é "se", é "como". E os contratos que circulam pela internet protegem menos do que parecem. Esse texto é pra você sair com lista clara do que pedir, do que evitar, e do que vale pagar a um especialista pra revisar.

Por que contrato escrito importa (mesmo com cliente que você confia)

Argumentos que escuto contra contratar formalmente:

  • "Esse cliente eu conheço há anos, não precisa"
  • "O projeto é pequeno, não vale o esforço"
  • "Vamos fazer no aperto de mão, se der problema a gente conversa"
  • "Contrato deixa o cliente desconfiado"

Os quatro têm o mesmo problema: assumem que NADA vai dar errado. Estatisticamente, em 100 projetos, em alguns vai dar. E quando dá, sem contrato você tem 3 cenários:

Cenário 1: cliente decide te culpar por algo que não foi sua culpa. Sem contrato, ele afirma "você prometeu X". Você afirma "nunca prometi X". Vira palavra contra palavra. Quem tem advogado mais caro ganha.

Cenário 2: você prestou o serviço, cliente parou de pagar. Sem contrato, cobrar judicialmente é mais lento, mais caro e com chance maior de você perder. Cliente sabendo disso pode usar como tática.

Cenário 3: dado pessoal vazou, cliente do cliente abriu processo contra todo mundo da cadeia. Sem DPA escrito, você é tratado como "controlador desconhecido" e a multa cai inteira em você, em vez de proporcional.

Custo de não ter contrato: pode ser zero (se nunca der problema) ou pode ser sua operação inteira (se der). Custo de ter contrato bem feito: 30 minutos pra preencher + R$ 800-2.000 uma vez com advogado pra validar template. Matematicamente, é decisão fácil.

A regra mental

Contrato não é desconfiança do cliente. É proteção mútua. Cliente bom AGRADECE quando você manda contrato bem estruturado: significa que você é profissional. Cliente que reluta a assinar é exatamente aquele com quem você mais precisa de contrato.

Os 3 documentos mínimos que toda prestadora precisa

Pra prestadora de serviço B2B, três documentos cobrem 95% das situações. Você não precisa contratar dezenas de instrumentos jurídicos. Precisa de três bem feitos.

1. Contrato de Prestação de Serviços

O documento principal. Define quem contrata, quem presta, escopo, valor, prazo, propriedade intelectual, confidencialidade, cancelamento.

Mínimo viável:

  • Partes: dados completos de quem assina, qualidade do representante
  • Objeto: o que será entregue, com anexo de escopo técnico
  • Valor e pagamento: quanto, quando, como, multa por atraso
  • Vigência: prazo determinado ou indeterminado, condições de rescisão, multa
  • Propriedade intelectual: quem fica com o quê ao final
  • Confidencialidade: prazo (geralmente 5 anos pós-término)
  • LGPD: cláusula remetendo ao DPA quando aplicável
  • Limitação de responsabilidade: teto (geralmente 12 mensalidades)
  • Foro: cidade onde eventual disputa será julgada

Tamanho típico: 4-6 páginas. Mais que isso vira intimidador sem necessariamente proteger mais.

2. DPA - Acordo de Tratamento de Dados Pessoais

Anexo ao contrato principal, ativado quando você trata dado pessoal de terceiros em nome do cliente.

O DPA define:

  • Você é operador, cliente é controlador (ou vice-versa)
  • Categorias de dados tratados (nome, email, telefone, etc) e de titulares (clientes finais, funcionários, etc)
  • Finalidade específica do tratamento
  • Duração e retenção
  • Medidas técnicas de segurança
  • Subprocessadores autorizados (ferramentas externas que você usa)
  • Procedimento de incidente (em quanto tempo você avisa o cliente)
  • Procedimento de devolução/exclusão ao término
  • Direitos do titular e como atender
  • Transferência internacional (quando aplicável)

Quando precisa: sempre que você tocar dado de terceiro. Se você só tem acesso a dado do próprio cliente (que ele te paga), não precisa de DPA, é coberto pelo contrato principal.

Quando NÃO precisa: consultoria sem acesso a base, treinamento sem dado real, projeto interno do cliente sem dado externo.

3. Lista de Subprocessadores

Documento público (geralmente página no site) listando todas as ferramentas e plataformas externas que você usa pra tratar dado pessoal a serviço de clientes.

Exemplo de subprocessadores comuns numa operação de IA: Anthropic, OpenAI, Supabase, Google Workspace, Cloudflare, Asaas, Hotmart, Meta. Cada um trata algum pedaço de dado a serviço seu.

A LGPD exige que o cliente saiba quem mais toca seus dados. Ter essa lista pública atualizada é proteção pra você (cumprimento da lei) e pro cliente (transparência).

Formato simples: tabela com nome, finalidade, país, link pro DPA do fornecedor. Atualiza conforme você troca ferramenta.

As 3 cláusulas que advogado generalista esquece

Aqui está o miolo. Advogado bom em direito empresarial geral não necessariamente conhece especificidades de operação de IA ou tecnologia. Três cláusulas que costumam faltar e são fundamentais hoje:

Cláusula 1: Uso para treinamento de modelo de IA

Texto sugerido:

"Os dados pessoais tratados pelo OPERADOR a serviço do CONTROLADOR NÃO serão utilizados para treinamento de modelos de inteligência artificial próprios ou de terceiros, exceto se expressamente autorizado por escrito pelo CONTROLADOR."

Por que importa: cliente sabe que conversa privada dele pode ir parar em treino de modelo se você não restringir. Mesmo que tecnicamente Anthropic/OpenAI não façam isso por padrão na API paga, o cliente quer ver no contrato. Sem essa cláusula, você está implicitamente autorizando uso futuro que pode causar processo.

Cláusula 2: Subprocessadores e mudança

Texto sugerido:

"O OPERADOR utiliza os subprocessadores listados em [URL pública] para tratamento dos dados. Qualquer alteração desta lista será comunicada ao CONTROLADOR com 30 (trinta) dias de antecedência, e o CONTROLADOR poderá objetar fundamentadamente."

Por que importa: se você decidir trocar Anthropic por outro fornecedor, ou adicionar nova ferramenta, cliente precisa saber ANTES, não depois. E precisa ter o direito de objetar (sem objeção razoável, cancela contrato).

Cláusula 3: Devolução e exclusão ao término

Texto sugerido:

"Ao término do contrato, o OPERADOR exportará ao CONTROLADOR todos os dados pessoais tratados em formato estruturado (CSV, JSON ou equivalente) e procederá à exclusão completa em até 30 (trinta) dias, exceto retenção legal obrigatória, com fornecimento de termo escrito de eliminação."

Por que importa: cliente que cancela quer levar dados embora (portabilidade) e quer garantia que você não fica com cópia indefinidamente. Sem essa cláusula, o que acontece com os dados pós-contrato vira zona cinzenta perigosa.

Implicação operacional

Essa cláusula força você a TER tecnicamente capacidade de exportar dados de cada cliente. Hoje você consegue? Se a resposta é não, comece a construir o botão "exportar dados do cliente" antes de assinar com cliente que vai cobrar isso.

Sinais de cliente-bandeira-vermelha

Cliente pode ser bandeira vermelha mesmo antes de assinar. Sinais durante negociação que devem te fazer recuar (ou subir muito o preço):

1. Quer remover limitação de responsabilidade

Você propõe teto de 12 mensalidades. Ele exige ilimitado. Significa que ele quer transferir risco que ele próprio cria. Operação de IA tem risco intrínseco (alucinação, vazamento via prompt injection, comportamento inesperado). Limitar é padrão internacional. Recusar limitação é tentar transferir custo de risco pro fornecedor.

2. Quer cláusula de exclusividade longa sem compensação

"Você não pode atender concorrentes nossos por 24 meses." Sem aumento proporcional no valor, isso é trava na sua operação. Aceite se cliente cobrir a perda de oportunidade (premium de 30-50%).

3. Multa contratual desproporcional contra você

Você prevê multa de 50% se ele cancelar antes do prazo. Ele prevê 200% pra você se atrasar entrega. Multa precisa ser simétrica ou justificada.

4. Pede pra começar antes da assinatura

"Começa o trabalho, contrato a gente assina semana que vem". Cliente que pede isso é cliente que vai resistir a assinar depois. Trabalho sem contrato = você sem proteção. Política firme: assina antes, começa depois.

5. Não tem CNPJ ou tem CNPJ recém-aberto sem operação

Pra cobrança e responsabilização, você precisa de cliente com existência jurídica real. Pessoa física pode contratar serviço, mas custos de execução de dívida são desproporcionalmente altos.

6. Insiste em foro distante sem motivo

Eleger foro do cliente é prática comum se ele é grande. Mas se ele é pequeno e ainda assim quer foro em outra cidade, suspeite: pode ser barreira pra cobrança futura.

7. Quer assinar com pessoa física dele em vez do CNPJ da empresa

Bandeira vermelha máxima. Significa que ele está separando responsabilidade pessoal de empresarial conscientemente. Você fica com proteção zero contra a empresa.

O custo real de fazer direito

Pra prestadora começando, montar a estrutura jurídica completa custa, hoje, aproximadamente:

  • Templates iniciais: gratuitos (este artigo te dá ponto de partida) ou R$ 200-500 se comprar de quem já fez
  • Revisão de advogado especializado em direito digital: R$ 800 a R$ 2.000 por consulta de 1-2 horas, dependendo da cidade
  • Templates revisados e personalizados: você sai da consulta com 3 documentos (contrato + DPA + procedimentos) prontos pra reusar por anos
  • Atualização anual: revisar uma vez por ano (LGPD evolui), R$ 500-1.000

Custo total ano 1: ~R$ 2.500 a R$ 3.000 pra ter estrutura jurídica decente.

Custo de NÃO ter: cliente abre processo de R$ 50 mil por algo que aconteceu durante a execução. Você gasta R$ 30 mil em defesa só pra descobrir que o contrato verbal não comprova nada. Multa LGPD por dado vazado sem DPA escrito: até 2% do faturamento, limitada a R$ 50 milhões por infração.

Comparação simples: gastar R$ 3 mil pra ter colchão jurídico OU torcer pra que nunca aconteça nada. Aposta clara.

Quer ter agentes de IA implantados com estrutura jurídica completa?

Team Studio implanta agentes de IA na sua empresa e entrega contrato, DPA, lista de subprocessadores e procedimentos LGPD prontos pra você usar. Sem improvisar quando vier auditoria ou cliente perguntar.

Conversar no WhatsApp

O que vem depois do contrato

Contrato bem feito é apenas a camada jurídica. Pra ele funcionar de verdade, você precisa também:

  1. Estrutura técnica que cumpra o que o contrato promete. Se DPA diz que você responde incidente em 24h, precisa ter monitoramento que detecta em 1h. Se diz que exporta dados em 30 dias, precisa ter botão de exportação.
  2. Procedimento de incidente escrito: o que fazer nas primeiras 72 horas após detectar vazamento. Próximo artigo do Aprenda.
  3. Procedimento de direitos do titular: como atender quando alguém pede "me esquece" via art. 18 LGPD. Idem.
  4. Rotina de revisão: contrato envelhece, fornecedores mudam, lei evolui. Revisar uma vez por ano.
  5. Treinamento da equipe (quando tiver): se você tem freelancers ou parceiros, eles precisam saber o básico de LGPD pra não fazer besteira que cai em você.

Tudo isso vem nas próximas semanas do Aprenda. Por enquanto, baixe os templates, mostre pro seu advogado, e pelo menos saia desse fim de semana com uma versão V1 dos seus contratos.

Perguntas frequentes

Preciso de contrato escrito com todo cliente?
Sim. Mesmo com cliente conhecido, mesmo em projeto pequeno. Contrato verbal vale juridicamente mas é impossível de provar. E LGPD exige contrato escrito quando você trata dado pessoal de terceiros (art. 39). O contrato custa 30 minutos pra preencher e protege anos de operação.
Posso usar template da internet ou preciso de advogado?
Use template como ponto de partida, valide com advogado especializado em direito digital uma vez. Custo: R$ 800 a R$ 2.000 por consulta. Você sai com versão final que reusa por anos em todos os clientes. ROI altíssimo. Sem revisão, template genérico tem chance de proteger menos do que parece.
Qual a diferença entre contrato de serviço e DPA?
Contrato de serviço cobre escopo, valor, prazo, propriedade intelectual, cancelamento. DPA (Data Processing Agreement, ou Acordo de Tratamento de Dados) é anexo específico que regula tratamento de dados pessoais quando você atua como operador. São complementares: contrato principal + DPA anexo. Cliente que não te entrega dado de terceiro não precisa de DPA.
Cliente quer remover cláusula de limitação de responsabilidade. Aceito?
Bandeira vermelha. Limitação de responsabilidade (geralmente 12 mensalidades como teto) é padrão de mercado em serviço de IA. Cliente exigir indenização ilimitada significa que ele quer transferir risco que ele próprio gera. Se aceitar, qualquer dano vira sua falência potencial. Recuse ou negocie em alternativa (seguro de responsabilidade civil profissional).
E se eu já tenho clientes ativos sem contrato? Como regularizo?
Faça assim: prepare a versão revisada do contrato. Combine com cada cliente um momento pra "formalizar a relação por escrito agora que a operação cresceu". Cliente bom não resiste; cliente que resiste te dá informação valiosa sobre como ele se vê. Regularize todos em 60-90 dias.