# Gerir um acordo de tratamento ao abrigo do RGPD

Source: https://contracko.com/pt/blog/verwerkersovereenkomst-beheren

[Blog](https://contracko.com/pt/blog)

[Gerir um acordo de tratamento ao abrigo do RGPD](https://contracko.com/pt/blog/verwerkersovereenkomst-beheren)

# Gerir um acordo de tratamento ao abrigo do RGPD

Budi Voogt 25/05/2026

Copiar para LLM

Provavelmente reconhece esta situação. Integra um novo fornecedor, alguém envia-lhe um acordo de tratamento de dados por email, lê-o por alto, assina-o e coloca o ficheiro numa pasta que depois nunca mais abre. Nesse momento, parece que o trabalho está feito. E é precisamente aí que começa o problema, porque assinar é a parte fácil. O verdadeiro trabalho começa depois: manter esse acordo atualizado enquanto os subcontratantes mudam, as revisões são adiadas e a base jurídica para transferências de dados se altera debaixo dos seus pés.

Vejo frequentemente equipas tratarem os seus acordos de tratamento de dados como um ponto de verificação, em vez de um dossiê vivo. É compreensível, porque ninguém coloca na agenda uma tarefa para, daqui a catorze meses, voltar a avaliar o anexo de segurança de um fornecedor de alojamento. Neste guia, explico-lhe o que é exatamente um acordo de tratamento de dados, o que deve acompanhar por acordo, por que motivo estes acordos envelhecem silenciosamente e como transformar tudo num conjunto claro e gerível.

> Esta é uma explicação prática, não aconselhamento jurídico. Submeta a sua situação específica a um profissional de privacidade qualificado.

Depois de ler este guia, saberá:

- O que é um acordo de tratamento de dados (DPA) e quando o RGPD exige um.
- Que informações deve acompanhar por acordo para continuar a demonstrar conformidade.
- Por que motivo os acordos de tratamento de dados envelhecem na prática sem que ninguém repare.
- Como criar uma única fonte de verdade pesquisável e colocar as datas importantes num calendário.

## O que é um acordo de tratamento de dados

Um acordo de tratamento de dados, muitas vezes abreviado como DPA a partir da expressão inglesa data processing agreement, estabelece como um subcontratante (o fornecedor) trata dados pessoais em seu nome, enquanto responsável pelo tratamento. Pense no seu CRM, na sua ferramenta de email, no seu software de salários ou no seu fornecedor de alojamento. Assim que uma entidade deste tipo trata dados pessoais por sua conta, o RGPD (artigo 28.º) exige que isso seja regulado por escrito.

A razão é simples. O utilizador determina as finalidades e os meios do tratamento, pelo que continua a ser responsável, mesmo quando outra entidade gere efetivamente os dados. Sem um acordo, ambas as partes correm riscos: o utilizador não consegue demonstrar que o fornecedor está vinculado a compromissos claros, e o fornecedor não sabe onde terminam as suas obrigações. O acordo define, entre outros aspetos, que dados são tratados, com que finalidade, que medidas de segurança se aplicam e o que acontece quando a colaboração termina.

Até aqui, a teoria. Na prática, um acordo assinado é apenas o ponto de partida, e é aí que quero concentrar a maior parte da atenção.

## O que deve acompanhar por DPA

A maioria dos problemas não surge no momento da assinatura, mas meses mais tarde. Um acordo de tratamento de dados contém muitas obrigações que só se tornam relevantes no futuro e que não se anunciam sozinhas. Recomendo que registe o mesmo conjunto de informações para cada acordo, para que a sua carteira continue comparável internamente.

| O que acompanha | Por que motivo é importante |
| --- | --- |
| O fornecedor e o contrato principal | Assim liga o DPA ao serviço a que diz respeito e evita que fique desligado do seu contexto. |
| Data de revisão | Indica quando deve voltar a avaliar as medidas de segurança, antes de ficarem discretamente desatualizadas. |
| Lista de subcontratantes e prazo de oposição | Mostra quem está autorizado e quantos dias tem para se opor a uma nova adição. |
| Direitos de auditoria | Mostra a que tem direito e com que frequência pode exercer esse direito. |
| Mecanismo de transferência | Indica em que se baseia a transferência para fora do EEE (por exemplo, cláusulas contratuais-tipo) e se isso ainda cobre os seus fluxos reais de dados. |
| Prazos de rescisão e eliminação | Define o que acontece aos dados quando a colaboração termina e em que prazo. |

A vantagem destes campos é que são todos concretos e verificáveis. Não precisa de ser jurista para acompanhar a aproximação de uma data de revisão ou o fecho iminente de um prazo de oposição. Só precisa de garantir que a informação está algures onde a consegue encontrar, e não enterrada na página onze de um PDF.

## Por que motivo os acordos de tratamento de dados expiram

Chamo-lhe expirar, embora normalmente não exista uma data de fim. O que acontece é mais subtil: o acordo continua formalmente válido, mas já não reflete a realidade. Isto acontece de algumas formas previsíveis.

### Os subcontratantes mudam

Quase todos os fornecedores recorrem, por sua vez, a outras entidades, e essa lista muda. Se receber uma notificação de que será acrescentado um subcontratante e deixar passar o prazo de oposição, aceita essa entidade tacitamente. Por vezes, isso não é um problema, mas terá admitido uma nova entidade aos seus dados sem uma decisão consciente.

### As revisões são adiadas

Uma avaliação periódica das medidas de segurança parece evidente, até perceber que ninguém a calendariza. É exatamente o tipo de tarefa que fica por fazer porque não pertence pessoalmente a ninguém. Um ano depois, já não sabe se os compromissos continuam alinhados com a forma como o fornecedor trabalha hoje.

### A base de transferência envelhece

A base jurídica para transferências para fora do Espaço Económico Europeu mudou repetidamente nos últimos anos. Um mecanismo que antes estava bem documentado pode, entretanto, ter ficado desatualizado sem que nada tenha acontecido do seu lado. Este é um dos riscos mais silenciosos, porque ocorre completamente fora do seu campo de visão.

Se quiser aprofundar este tipo de obrigações latentes, escrevi anteriormente sobre os [riscos ocultos na gestão de contratos](https://contracko.com/nl/blog/risicos-in-contractbeheer), onde está presente grande parte da mesma dinâmica.

## Crie uma única fonte de verdade

A solução é menos complicada do que o problema. O essencial é que cada acordo de tratamento de dados esteja num único local, pesquisável, ligado ao fornecedor certo, com as datas mais importantes extraídas em vez de escondidas num documento. Se uma autoridade de supervisão ou um cliente pedir o seu DPA com a parte X e quiser ver se está atualizado, a resposta deve estar a uma pesquisa de distância, em vez de exigir meia tarde de procura.

Foi para isso que a [gestão de acordos de tratamento de dados](https://contracko.com/nl/oplossingen/verwerkersovereenkomst-beheer) da Contracko foi criada. Guarda cada DPA junto do contrato a que diz respeito, com datas de revisão, condições relativas a subcontratantes e obrigações de transferência em campos estruturados. A Contracko funciona em infraestrutura da UE, com encriptação e acesso baseado em funções, e os fornecedores de IA que executam a análise não treinam os seus modelos com os seus contratos. Para um dossiê de privacidade, considero isto uma condição, não um detalhe.

O que me agrada nesta abordagem é que o trabalho que já tem de fazer, ou seja, ler a informação de um acordo, deixa de se perder assim que fecha o ficheiro. A análise contratual com IA extrai os campos relevantes e coloca-os no seu repositório, para que todo o conjunto de fornecedores caiba numa única visão geral. Explico como este tipo de IA funciona na prática no meu artigo sobre [legal AI](https://contracko.com/nl/blog/legal-ai).

## Coloque as datas num calendário

Uma fonte de verdade só ajuda realmente quando lhe diz quando deve agir. Todos os momentos de expiração que referi acima são, na prática, datas: prazos de revisão, janelas de oposição para subcontratantes, ciclos de auditoria e revalidação do mecanismo de transferência. Cada um deles deve gerar um lembrete para o responsável certo, com antecedência suficiente para permitir uma ação concreta.

Se quiser ver isto funcionar num único acordo antes de abordar toda a sua carteira, a [ferramenta de lembretes de DPA](https://contracko.com/nl/contract-herinneringen-tools/data-processing-agreement-reminder) é um bom ponto de partida. Carrega um acordo de tratamento de dados, a IA extrai as datas de revisão, as janelas de subcontratantes e os direitos de auditoria, e recebe uma proposta de calendário de lembretes. Em todo o seu conjunto de fornecedores, é exatamente esta disciplina, cada data acompanhada e cada responsável avisado a tempo, que mantém uma carteira conforme, em vez de apenas assinada.

Configurar isto não é um grande projeto. Com o repositório de contratos, a extração automática de dados, lembretes, relatórios e integração com calendário, a base fica pronta rapidamente, e pode experimentá-la com calma durante o período experimental gratuito. Para o quadro mais amplo da [conformidade com o RGPD](https://contracko.com/nl/oplossingen/avg-compliance-software), a gestão de DPA encaixa na mesma abordagem: visibilidade e ação atempada em vez de uma pilha de ficheiros assinados.

## Como isto difere por setor

Nem todos os conjuntos de fornecedores têm o mesmo aspeto. Um prestador de cuidados de saúde trata categorias especiais de dados pessoais e, por isso, precisa de compromissos mais rigorosos e revisões mais apertadas; escrevi separadamente sobre isso em [gestão de contratos para prestadores de cuidados de saúde](https://contracko.com/nl/blog/contractbeheer-voor-zorgaanbieders). Uma empresa de software em rápido crescimento, por outro lado, tem muitos mais fornecedores e, portanto, muitos mais subcontratantes para acompanhar. O método continua a ser o mesmo, mas o volume e a sensibilidade determinam quanta estrutura é realmente necessária.

Nessa avaliação, o lado dos custos também conta. Vale a pena analisar antecipadamente quanto custa uma ferramenta em comparação com o trabalho manual que ela elimina, e apresentei anteriormente uma visão geral em [gestão de contratos SaaS e custos](https://contracko.com/nl/blog/saas-contractbeheer-kosten).

## Começar

Se quiser fazer hoje apenas uma coisa, comece pequeno: escolha os três fornecedores que tratam os dados mais sensíveis, encontre o acordo de tratamento de dados de cada um e registe, para cada caso, a data de revisão, a política de subcontratantes e o mecanismo de transferência. Vai perceber que, para pelo menos um deles, não tem uma resposta atualizada, e é precisamente por isso que este trabalho vale a pena.

Depois, pode alargar a abordagem através das [soluções da Contracko](https://contracko.com/nl/oplossingen) e mapear o resto da sua carteira da mesma forma. Terei todo o gosto em ajudar. Envie-me uma mensagem se ficar bloqueado ou quiser discutir como configurar isto para a sua situação; leio e respondo pessoalmente a esses emails.

## Comece com o Contracko

Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.

[Iniciar período de experiência gratuito de 7 dias](https://app.contracko.com/register?appLanguage=pt)

Marcar demonstração
