Como criar um contrato de tratamento de dados: cláusulas,
Mais cedo ou mais tarde, o momento chega. Ou precisa de emitir um contrato de tratamento de dados a um parceiro, ou um fornecedor coloca um à sua frente e aguarda a sua assinatura. Já estive dos dois lados dessa troca e o trabalho resume-se sempre à mesma coisa: saber o que um bom contrato de tratamento de dados contém e reconhecer onde costumam esconder-se os pontos fracos.
Um contrato de tratamento de dados não é uma formalidade que assina para fazer o formulário de compras ficar verde. É o documento que define como outra pessoa trata os dados pessoais dos seus clientes e colaboradores, o que promete sobre a sua segurança e que recursos tem quando algo corre mal. Acerte e protegê-lo-á silenciosamente durante anos. Erre e descobrirá isso no pior momento possível.
Este guia percorre a anatomia de um contrato de tratamento de dados sólido, secção por secção, e depois fornece-lhe uma lista de verificação para executar antes de assinar ou enviar um.
Isto é orientação prática, não aconselhamento jurídico. Peça a um profissional qualificado que reveja qualquer acordo antes de o utilizar.
No final deste guia, irá:
- Compreender cada secção que um contrato de tratamento de dados ao abrigo do Artigo 28.º do RGPD deve conter
- Saber quando as Cláusulas Contratuais-Tipo entram em jogo
- Ser capaz de identificar os sinais de alerta no modelo "padrão" de um fornecedor
- Ter uma lista de verificação pré-assinatura que pode utilizar de imediato
A anatomia de um contrato de tratamento de dados
Um contrato de tratamento de dados elaborado ao abrigo do Artigo 28.º do RGPD cobre geralmente os seguintes aspetos. Acho útil ler qualquer acordo em função desta lista, porque as lacunas dizem tanto como o texto.
Âmbito e funções
Quem é o responsável pelo tratamento e quem é o subcontratante, mais o objeto e a duração do tratamento e a sua natureza e finalidade. Parece básico, e no entanto já vi acordos em que as funções estão confusas ou simplesmente assumidas. Errar aqui faz com que o resto do documento assente em areia.
Categorias de dados e titulares dos dados
Que tipos de dados pessoais são tratados e de quem: clientes, colaboradores, utilizadores finais. A especificidade aqui protege todos, porque limita o que o subcontratante está efetivamente autorizado a tratar.
Tratamento mediante instruções
O subcontratante atua apenas com base nas instruções documentadas do responsável pelo tratamento, e não por iniciativa própria. Esta é a cláusula que impede que os seus dados sejam silenciosamente reutilizados para outros fins.
Medidas de segurança
As medidas técnicas e organizativas necessárias: encriptação, controlos de acesso, resiliência, testes regulares. A palavra a observar é "adequado" sozinha. Medidas adequadas sem detalhe são uma promessa de decidir mais tarde, o que na prática significa muitas vezes uma promessa de fazer pouco. As boas cláusulas de segurança são específicas e devem corresponder ao tipo de protecções que esperaria de qualquer plataforma séria, o alojamento na UE, a encriptação e o acesso baseado em funções que sustentam a nossa própria abordagem de segurança.
Confidencialidade
Qualquer pessoa com acesso aos dados está obrigada a mantê-los confidenciais. Cláusula curta, consequências reais.
Subcontratantes
Se os subcontratantes são permitidos de todo, a obrigação de transmitir condições equivalentes para eles, e o seu direito de ser notificado de alterações e de se opor. Os dados pessoais raramente ficam numa única empresa nos dias de hoje. Movem-se numa cadeia, e esta cláusula é a forma de manter a visibilidade sobre essa cadeia.
Assistência
O subcontratante ajuda-o a responder a pedidos de exercício de direitos dos titulares dos dados e a cumprir as suas próprias obrigações de segurança, violação e avaliação de impacto. Quando um cliente exercer o seu direito ao apagamento, ficará satisfeito por isto estar escrito.
Notificação de violação
Um prazo claro e curto para o subcontratante o informar sobre uma violação de dados pessoais. "Sem demora injustificada" é o padrão que pretende. Qualquer coisa medida em semanas é um problema que vai herdar.
Transferências internacionais
Um mecanismo de transferência válido, como as Cláusulas Contratuais-Tipo, sempre que os dados saiam do EEE, juntamente com as avaliações relacionadas. Mais sobre isto abaixo, porque é a parte que mais frequentemente está em falta.
Eliminação ou devolução
O que acontece aos dados quando a relação termina: eliminação ou devolução, à sua escolha, com certificação mediante pedido. A retenção sem prazo definido é um dos riscos mais silenciosos num contrato de tratamento de dados fraco.
Auditorias
O seu direito de verificar que o subcontratante está efetivamente a fazer o que acordou. Direitos de auditoria reais, não um gesto de cortesia.
Cláusulas Contratuais-Tipo: quando as precisa
Se os dados pessoais forem tratados fora do EEE, ou por um subcontratante que o faça, o contrato de tratamento de dados normalmente precisa de incorporar as CCT e referenciar uma avaliação do impacto da transferência. Esta é uma das partes que mais frequentemente encontro em falta.
A armadilha é subtil. O contrato de tratamento de dados "padrão" de um fornecedor assume frequentemente o tratamento apenas na UE porque era assim quando o modelo foi escrito pela primeira vez, ou porque era simplesmente mais fácil de redigir dessa forma. Depois o fornecedor adiciona uma ferramenta de suporte com sede nos EUA ou um subcontratante de análise, e a realidade já não corresponde ao papel. Ninguém atualiza o contrato de tratamento de dados, porque ninguém está a analisá-lo. A transferência acontece na mesma, sem cobertura.
Por isso, quando rever um contrato de tratamento de dados, olhe para além de saber se as CCT são mencionadas. Verifique se os fluxos de dados que o contrato descreve correspondem efetivamente ao local onde o tratamento ocorre. O desfasamento é onde reside a exposição.
Sinais de alerta ao aceitar o contrato de tratamento de dados de um fornecedor
Quando o contrato de tratamento de dados de um fornecedor chega à sua frente, estes são os sinais de aviso que analiso primeiro:
- Janelas de notificação de violação medidas em semanas em vez de "sem demora injustificada"
- Direitos abrangentes de subcontratação sem qualquer mecanismo de notificação ou oposição
- Linguagem de segurança vaga sem medidas específicas nomeadas
- Condições de eliminação que permitem ao subcontratante manter os dados indefinidamente
- Nenhum mecanismo de transferência, apesar do tratamento que claramente sai do EEE
Qualquer um destes pontos vale uma conversa antes de assinar. Dois ou mais, e está a olhar para um modelo que foi escrito para proteger o fornecedor, não si.
Uma lista de verificação pré-assinatura
Antes de assinar, ou antes de enviar, percorra esta lista. Guardo uma versão dela perto sempre que um contrato de tratamento de dados passa pela minha secretária.
| Verificação | Confirme que |
|---|---|
| Funções | O responsável pelo tratamento e o subcontratante estão correctamente identificados |
| Segurança | As medidas são específicas, indo além de "adequado" |
| Subcontratantes | Existem direitos de notificação e oposição |
| Violação | A notificação é célere ("sem demora injustificada") |
| Transferências | Um mecanismo válido está em vigor se os dados saírem do EEE |
| Eliminação | As condições de fim de relação são claras |
| Auditorias | Os direitos de verificação são reais, não decorativos |
Se estiver a negociar estas condições regularmente como parte de compras ou de uma gestão de contratos com fornecedores mais abrangente, vale a pena padronizar esta lista de verificação para que cada acordo receba o mesmo escrutínio em vez de depender de quem por acaso o reviu.
O contrato de tratamento de dados não termina com a assinatura
Aqui está a parte que é esquecida. Uma vez assinado, um contrato de tratamento de dados torna-se uma obrigação contínua, não uma tarefa concluída. A lista de subcontratantes muda. A revisão anual chega. Um desenvolvimento jurídico significa que as CCT precisam de ser revalidadas. Nada disso se anuncia por si próprio.
Manter o contrato de tratamento de dados a par do contrato com o fornecedor, com as suas datas de revisão, condições dos subcontratantes e obrigações de transferência acompanhadas, é exatamente para isso que serve a gestão de contratos de tratamento de dados. Significa que o acordo que negociou com tanto cuidado não fica silenciosamente desactualizado numa pasta. Um repositório de contratos mantém o documento localizável, e os lembretes automáticos de expiração e renovação garantem que as datas de revisão realmente aparecem em vez de passarem despercebidas. Se quiser perceber como isso funciona sem se comprometer com nada, o nosso lembrete gratuito de contrato de tratamento de dados configura um em poucos minutos.
Rever um mais rapidamente
Se está a olhar agora para o contrato de tratamento de dados de um fornecedor e quer uma leitura rápida sobre se é sólido, o nosso analisador gratuito de acordos de partilha de dados extrai as condições de utilização permitida, segurança, retenção, notificação de violação e transferência e assinala onde parecem insuficientes. É uma primeira análise útil antes de uma revisão jurídica detalhada, o tipo de coisa que lhe diz num minuto se está a olhar para um acordo cuidadoso ou para um problema em espera. Se quiser ter uma perspetiva mais abrangente sobre como a IA está a mudar este tipo de trabalho, o nosso artigo sobre IA jurídica é uma boa leitura complementar.
Redigir e rever contratos de tratamento de dados é um trabalho genuinamente satisfatório quando se tem uma ideia clara do que é bom, e fico sempre satisfeito por ajudar alguém a chegar lá. Entre em contacto se tiver questões. Leio todas as mensagens pessoalmente e respondo-lhes de forma individual.
Comece com o Contracko
Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.