O que é um acordo de tratamento de dados (DPA)?
Reconhece esta situação: uma nova ferramenta chega, a equipa adora-a e, em algum ponto do processo de registo, há uma caixa de verificação que diz que concorda com os termos de tratamento de dados. Assinala-a, claro que sim, e segue em frente. Meses depois, alguém do departamento jurídico pede "o DPA com aquele fornecedor" e ninguém tem bem a certeza do que foi acordado ou onde está guardado. Já vi isto acontecer em empresas de todas as dimensões, e quase nunca se trata de descuido. É que os DPAs são alguns dos documentos mais assinados e menos lidos em qualquer organização.
Este guia existe para resolver isso. Vou explicar o que é de facto um acordo de tratamento de dados, quando o RGPD o exige e quais as cláusulas que têm o verdadeiro peso, para que da próxima vez que lhe perguntarem sobre um DPA possa responder com confiança em vez de uma sensação de afundamento.
Isto é orientação prática, não aconselhamento jurídico. Para a sua situação específica, fale com um profissional qualificado em proteção de dados.
No final deste guia, vai:
- Compreender o que é um DPA e os papéis de responsável e subcontratante que formaliza
- Saber quando o RGPD o obriga a ter um em vigor
- Reconhecer as cláusulas que mais importam quando o lê ou negoceia
- Identificar os dois erros que vejo as organizações cometerem repetidamente
- Ter um primeiro passo simples para qualquer DPA que esteja agora na sua secretária
O que é de facto um DPA
Um acordo de tratamento de dados (DPA), por vezes chamado adenda de tratamento de dados, é um contrato entre um responsável pelo tratamento e um subcontratante. O responsável pelo tratamento é a sua organização, que decide porquê e como os dados pessoais são tratados. O subcontratante é o fornecedor que trata esses dados segundo as suas instruções. O DPA estabelece as regras entre ambos: o que o fornecedor pode fazer com os dados, como tem de os proteger e o que acontece quando algo corre mal ou a relação termina.
Acho que a forma mais fácil de visualizá-lo é como um conjunto de barreiras de proteção. Está a entregar dados pessoais (dos seus clientes, dos seus colaboradores, dos seus fornecedores) a outra pessoa para fazer um trabalho por si. O DPA é a promessa escrita de que essa pessoa só fará esse trabalho, apenas da forma que acordaram, e que devolverá os dados ou os destruirá quando o trabalho estiver concluído.
Ao abrigo do RGPD, isto não é uma opção. O artigo 28.º exige um contrato escrito sempre que um subcontratante trata dados pessoais em nome de um responsável pelo tratamento. Sem ele, ambas as partes ficam expostas: o responsável pelo tratamento por não ter vinculado adequadamente o seu subcontratante, e o subcontratante por tratar dados sem uma instrução lícita. Por isso, o DPA protege todos os envolvidos, o que é parte da razão pela qual as autoridades de supervisão levam a sua ausência tão a sério.
Responsável ou subcontratante: por que os papéis importam
Todo o acordo depende de quem decide o que acontece aos dados. Se o seu fornecedor apenas age segundo as suas instruções, é um subcontratante e precisa de um DPA. Se o fornecedor decide, para os seus próprios fins, o que fazer com os dados, então é um responsável pelo tratamento por direito próprio e a relação é regida de forma diferente. Esclarecer esta distinção cedo poupa muita confusão mais tarde, porque determina quais as obrigações que cabem a cada um.
Na prática, a maioria dos arranjos em que "o fornecedor faz algo com os nossos dados para podermos gerir o nosso negócio" são relações responsável-subcontratante, e é aí que o DPA faz o seu trabalho. Se gere a conformidade em toda uma cadeia de fornecedores, as nossas notas para o caso de utilização do responsável de conformidade explicam como estes papéis se manifestam no dia a dia.
Quando precisa de um
Precisa de um DPA sempre que outra organização trate dados pessoais por si. Os gatilhos comuns são mais fáceis de reconhecer do que as definições legais, por isso eis onde costumam surgir:
- Ferramentas SaaS que armazenam dados de clientes ou colaboradores, como o seu CRM, plataforma de apoio ao cliente, sistema de RH ou plataforma de análise
- Fornecedores de infraestrutura em nuvem e alojamento
- Serviços de pagamento, processamento de salários e contabilidade
- Plataformas de marketing e envio de e-mail
- Qualquer prestador ou agência que trate dados pessoais dos seus clientes ou colaboradores
O padrão é simples quando o percebe. Se um fornecedor toca em dados pessoais em seu nome, quase certamente precisa de um DPA com ele. Tendo em conta o número de ferramentas de que uma equipa moderna depende, isso acumula rapidamente, o que é uma das razões pelas quais as obrigações de DPA se multiplicam numa organização antes de alguém dar conta. Se gere especificamente fornecedores de software, a abordagem de gestão de contratos SaaS combina naturalmente com manter os DPAs em ordem.
As cláusulas que importam
Um DPA pode ter muitas páginas, e a maioria dessas páginas são texto padrão que raramente muda. Algumas disposições, porém, carregam a maior parte do peso, e são essas que leio primeiro sempre que um DPA aterra à minha frente.
| Cláusula | O que regula | Por que importa |
|---|---|---|
| Objeto e duração | O que é tratado, porquê, durante quanto tempo e quais as categorias de dados e titulares de dados envolvidos | Define o âmbito de tudo o resto; se for vago, o resto é difícil de executar |
| Tratamento com base em instruções documentadas | O subcontratante age segundo as suas instruções, não por iniciativa própria | Mantém o fornecedor dentro das barreiras de proteção que definiu |
| Medidas de segurança | Medidas técnicas e organizacionais adequadas, como encriptação e controlo de acesso | É aqui que as violações são evitadas ou convidadas |
| Confidencialidade | Todos os que têm acesso estão vinculados a manter a confidencialidade dos dados | Estende a sua proteção até aos colaboradores individuais |
| Subcontratantes | Se e como o fornecedor recorre aos seus próprios subcontratantes, e o seu direito de ser informado e de se opor | Novas partes podem entrar silenciosamente na cadeia que trata os seus dados |
| Assistência | O subcontratante ajuda-o a responder a pedidos dos titulares de dados e a cumprir as suas obrigações | Mantém-no capaz de honrar pedidos de exercício de direitos a tempo |
| Notificação de violação | O subcontratante informa-o, sem demora injustificada, quando ocorre uma violação | O seu próprio prazo de comunicação muitas vezes depende do dele |
| Eliminação ou devolução | No fim do contrato, os dados são eliminados ou devolvidos segundo a sua instrução | Evita que os dados permaneçam algures fora do seu controlo |
| Auditorias | Pode verificar a conformidade através de auditorias, inspeções ou evidências | Transforma as promessas acima em algo que pode verificar |
| Transferências internacionais | Se os dados saírem do EEE, existe um mecanismo de transferência válido em vigor | Um mecanismo em falta ou desatualizado torna a transferência ilícita |
Se não ler mais nada, leia atentamente as cláusulas de segurança, subcontratantes, notificação de violação e transferências internacionais. Na minha experiência, essas quatro são aquelas em que os modelos dos fornecedores mais diferem, e onde uma fraqueza silenciosa pode custar-lhe caro mais tarde. Quando usa um DPA numa ferramenta como a análise de contratos por IA, estas são exatamente as disposições que vale a pena destacar primeiro.
Uma nota sobre transferências internacionais
De todas as cláusulas, esta é a que parece menos estável. A base jurídica para transferir dados pessoais além-fronteiras mudou mais de uma vez nos últimos anos, e um DPA que associou a conformidade a um mecanismo específico pode ficar desatualizado sem que ninguém tenha editado uma única palavra. Se o seu fornecedor trata dados fora do EEE, verifique se o mecanismo de transferência em que se baseia (frequentemente as Cláusulas Contratuais-Tipo) ainda cobre os seus fluxos de dados reais. Manter isso sob análise faz parte de uma higiene mais ampla do software de conformidade com o RGPD, e não de uma verificação pontual.
Erros comuns
Dois falhanços surgem muito mais do que quaisquer outros, e ambos parecem completamente compreensíveis no momento.
O primeiro é assinar o DPA do fornecedor sem o ler. O modelo chega, parece padrão e, sob pressão de prazo, é aprovado. O problema é que os modelos "padrão" favorecem silenciosamente a parte que os redigiu, pelo que pode acabar por aceitar termos de segurança fracos, direitos amplos sobre subcontratantes ou um prazo de notificação de violação medido em semanas em vez de dias. Alguns minutos de leitura poupam muito arrependimento.
O segundo é assinar uma vez e esquecer. Um DPA é uma obrigação viva, não uma assinatura única. Os subcontratantes mudam, as regras de transferência alteram-se, as revisões anuais vencem e nada disso lhe envia um lembrete. O acordo deteriora-se silenciosamente enquanto toda a gente assume que está tudo bem. Isto está intimamente relacionado com os riscos mais amplos na gestão de contratos que surgem sempre que as obrigações sobrevivem à atenção que lhes é dedicada.
Armazenar cada DPA junto ao contrato do fornecedor a que pertence, com as suas datas de revisão e termos de subcontratantes acompanhados, é o que transforma um PDF arquivado em conformidade real. É exatamente isso para que a gestão de acordos de tratamento de dados no Contracko foi criada, e assenta sobre um repositório de contratos para que o DPA e o acordo que regula nunca se separem.
Um primeiro passo rápido
Se tem um DPA à sua frente agora, a forma mais rápida de o compreender é executá-lo através de um analisador de acordos de partilha de dados. Ele destaca os termos de utilização permitida, as obrigações de segurança, os períodos de retenção, os prazos de notificação de violação e as disposições relevantes para o RGPD em segundos, para que saiba o que está a assinar antes de assinar. É gratuito para experimentar e dá-lhe uma leitura clara das cláusulas que mencionei acima sem ter de percorrer todas as páginas.
A partir daí, o próximo passo natural é manter essa compreensão atualizada em vez de a deixar desvanecer. Acho que a forma mais tranquila de o fazer é dar um lugar a cada DPA, extrair as suas datas-chave e deixar o sistema lembrá-lo quando algo precisa de atenção. É essa a diferença entre um DPA que o protege e um que simplesmente fica numa pasta.
O Contracko é uma plataforma alojada na UE, os seus dados ficam encriptados com acesso baseado em funções e os fornecedores de IA que utilizamos não treinam os seus modelos com os seus contratos, por isso ler e armazenar acordos sensíveis não cria uma nova exposição por si só. Se quiser ver como se encaixa na sua infraestrutura, a visão geral de soluções completa é um bom ponto de partida, e há uma versão de avaliação gratuita quando estiver pronto.
Não hesite em contactar-nos se tiver dúvidas. Leio pessoalmente todos os e-mails e fico sempre satisfeito em ajudá-lo a compreender um DPA complicado.
Comece com o Contracko
Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.