Cadência de revisão de DPA: prazos que não pode perder
Um Acordo de Tratamento de Dados não é um documento que se assina e esquece, embora suspeite que a maioria seja tratada dessa forma. Negoceiam-se os termos, assina-se, arquiva-se e toda a gente avança sentindo-se em conformidade. O problema é que um DPA normalmente obriga a revisões periódicas, confere direitos de auditoria com as suas próprias janelas temporais e vincula a sua conformidade a mecanismos de transferência de dados que podem mudar sem que esteja a prestar atenção. O acordo mantém-se válido apenas se alguém gerir o seu calendário. Na minha experiência, esse alguém raramente é designado, e o calendário raramente é cumprido.
Trata-se de orientação prática, não de aconselhamento jurídico.
No final deste guia, irá:
- Conhecer as datas recorrentes que um DPA típico realmente contém.
- Compreender por que razão estes prazos escapam mesmo a equipas bem organizadas.
- Ser capaz de construir uma cadência de revisão uma única vez e deixá-la funcionar autonomamente.
- Ver como transformar as cláusulas de um DPA num calendário de lembretes operacional.
As datas que um DPA realmente contém
Se ler um DPA procurando especificamente prazos, em vez de linguagem de responsabilidade e indemnização, surge um número surpreendente. Aqui estão os que vejo com mais frequência:
- Revisões de segurança periódicas. Muitos DPAs exigem que reveja as medidas técnicas e organizativas do subcontratante num ciclo definido, frequentemente anual. Parece texto-padrão, mas é uma obrigação, não uma sugestão, e "nunca nos chegámos a isso" não é uma resposta confortável numa auditoria.
- Janelas de alteração de subprocessadores. Quando um subcontratante propõe um novo subprocessador, geralmente tem uma janela fixa para se opor. Se a perder, aceitou a alteração por omissão.
- Janelas do direito de auditoria. O seu direito de auditar ou solicitar evidências frequentemente vem acompanhado de prazos de aviso prévio e limites de frequência. É muito melhor conhecê-los antes de precisar de exercer esse direito, e não no meio de um incidente.
- Revalidação do mecanismo de transferência. Se o acordo se baseia em Cláusulas Contratuais-Tipo, alterações no quadro jurídico podem exigir que reavalie se o mecanismo ainda cobre os seus fluxos de dados. O quadro muda, o seu contrato não, e a lacuna é da sua responsabilidade identificar.
- Prazos de rescisão e eliminação. Quando a relação termina, a eliminação ou devolução de dados geralmente tem de ocorrer dentro de um período definido, com certificação a pedido. Este costuma ser esquecido precisamente porque a atenção de todos já se voltou para o fornecedor substituto.
Apresentados em conjunto, o padrão torna-se mais claro:
| Tipo de prazo | Acionador típico | O que deve fazer |
|---|---|---|
| Revisão de segurança | Ciclo anual | Revisão documentada das medidas |
| Janela de subprocessador | Aviso do fornecedor | Uma decisão antes de a janela fechar |
| Direito de auditoria | Sua iniciativa | Conformidade com avisos prévios e limites de frequência |
| Revalidação da transferência | Alteração jurídica externa | Reavaliação do mecanismo de transferência |
| Eliminação / devolução | Fim da relação | Eliminação ou devolução dentro do período definido |
Por que isto falha
Nenhuma destas datas se anuncia por si própria, e esse é o cerne do problema. Uma revisão "devida anualmente" não tem nenhum acionador no calendário de ninguém. Um quadro de transferência que muda não envia um correio eletrónico à sua equipa jurídica a informar que as suas Cláusulas Contratuais-Tipo precisam de uma segunda análise. Um aviso de subprocessador chega à caixa de entrada entre centenas de outros e parece marketing.
Reconhecerá esta situação. As obrigações são genuinamente reais, e também o são as consequências: dados a fluir sob termos que nunca validou, uma constatação de auditoria que não consegue explicar, uma pergunta de um regulador à qual não tem uma resposta clara. O que falta normalmente não é vontade nem competência. É apenas um lembrete, disparado no momento certo, para o responsável certo. O trabalho é pequeno quando está agendado e enorme quando é descoberto tarde.
Serei honesto: este é um modo de falha familiar muito além da privacidade. A mesma dinâmica impulsiona muitos dos riscos na gestão de contratos em geral, onde o custo não está na cláusula em si, mas na data associada que ninguém acompanhou. Também aparece discretamente nos custos de gestão de contratos SaaS, onde janelas de revisão perdidas se transformam em renovações automáticas e obrigações que teria renegociado se as tivesse antecipado.
Construir a cadência uma única vez
A solução é mais aborrecida do que o problema, o que é geralmente o caso de uma boa higiene de conformidade. Extraia as datas de cada DPA quando o assinar e coloque-as num calendário com responsáveis claros: a revisão anual de segurança, a próxima janela de auditoria, a verificação do mecanismo de transferência e uma vigilância permanente dos avisos de subprocessadores. Faça isto uma vez por acordo, e a cadência funciona por si própria a partir daí.
O segredo está em manter essas datas junto do acordo de onde provêm, pesquisáveis, com responsável e monitorizadas, em vez de copiadas para uma folha de cálculo que fica desatualizada num trimestre. Um repositório de contratos adequado mantém o documento e as suas obrigações juntos, de modo que quando um lembrete dispara está a um clique da cláusula que o acionou. Essa continuidade em toda a sua carteira de fornecedores é o que a gestão de acordos de tratamento de dados foi criada para fornecer, e integra-se no nosso mais amplo software de conformidade com o RGPD para equipas que querem o panorama completo das obrigações num único lugar.
O que acho genuinamente satisfatório é que a cadência tem uma dupla utilidade. Assim que os prazos do seu DPA vivem num sistema, o acompanhamento de contratos fornece uma visão única do que está pendente em todos os acordos, e os relatórios transformam a pergunta "estamos a par dos nossos DPAs?" de uma suposição ansiosa num número que pode mostrar a um conselho de administração ou a um cliente. Se é a pessoa que realmente tem esta responsabilidade, o caso de utilização do responsável pela conformidade mostra como o dia a dia se encaixa.
Uma nota sobre confiança, uma vez que os DPAs dizem respeito à proteção de dados e seria estranho tratá-los mal em nome da sua gestão. O Contracko está alojado na UE, os seus contratos são encriptados, o acesso é baseado em funções e nunca utilizamos os seus contratos para treinar inteligência artificial. Pode consultar os detalhes na nossa página de segurança.
Duas formas de começar
Não precisa de configurar um programa completo para sentir o benefício. Há dois pontos de entrada simples para os quais o encaminharia primeiro.
Para transformar as cláusulas de um único DPA num calendário de lembretes, a ferramenta de lembrete de DPA lê as datas de revisão, janelas de subprocessadores, direitos de auditoria e obrigações de transferência, e depois propõe quando agir em cada uma. É a forma mais rápida de ver o que um único acordo tem efetivamente exigido de si. Por baixo do capô, esse mesmo poder de agendamento é o que a nossa funcionalidade de lembrete de expiração traz a todos os contratos que tem, não apenas aos DPAs.
E se precisar de calcular um prazo específico, um período de aviso prévio, uma janela de notificação de violação ou uma data de eliminação pós-rescisão, a calculadora de DPA faz as contas das datas por si, para que não esteja a contar dias úteis nos dedos na manhã em que um prazo começa a correr.
Próximos passos
Escolha um DPA, idealmente de um fornecedor que ficaria desconfortável em explicar a um regulador, e encontre todas as datas que contém. Coloque essas datas algures com um responsável e um lembrete associado. Esse exercício tende a ser o momento em que a ideia abstrata de "cadência de revisão" se torna algo concreto que realmente quer implementar em todos os seus outros acordos.
Quando estiver pronto para o tornar sistemático, é exatamente para isso que construímos o Contracko, com um período de avaliação gratuito para que possa testá-lo com os seus acordos reais e não com uma demonstração. Gostaria de saber quais destes prazos já o prejudicaram, porque as histórias são sempre específicas e sempre instrutivas. Não hesite em contactar se tiver dúvidas, respondo a todas as mensagens pessoalmente.
Comece com o Contracko
Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.