Um guia prático de acordo de processamento de dados

Um acordo de processamento de dados, geralmente denominado DPA, é o contrato que rege como um fornecedor processa dados pessoais em nome de um cliente. Se o seu site, produto SaaS, CRM, ferramenta de análise, plataforma de e-mail, provedor de nuvem ou suporte técnico abordar dados pessoais, você precisará saber se um DPA é necessário.

De acordo com o GDPR, a regra principal está no Artigo 28: o processamento por um processador deve ser regido por um contrato ou outro ato jurídico que vincule o processador ao controlador e estabeleça detalhes importantes sobre o processamento (Artigo 28 do GDPR).

Controlador, processador ou terceiro?

A primeira etapa é o mapeamento de funções.

Controlador: Decide por que e como os dados pessoais são processados. Uma empresa que administra um site e escolhe um provedor de análise geralmente é a controladora da análise de visitantes.

Processador: Processa dados pessoais em nome do controlador e sob suas instruções. Um provedor de análise que prioriza a privacidade, uma ferramenta de entrega de e-mail ou um host em nuvem pode ser um processador quando usa dados apenas para fornecer o serviço contratado.

Controlador independente: Decide seus próprios fins. Algumas plataformas de publicidade e acordos de partilha de dados podem envolver funções de controlador independentes, em vez de puro processamento.

Os rótulos das funções devem corresponder à realidade e não à linguagem de marketing. Se um fornecedor usar dados de clientes para sua própria publicidade, enriquecimento ou criação de perfil entre clientes, um processador padrão DPA poderá não descrever o relacionamento com precisão.

O que um GDPR DPA deve cobrir

O Artigo 28 exige que o contrato aborde:

• Assunto e duração do processamento.
• Natureza e finalidade do tratamento.
• Tipo de dados pessoais.
• Categorias de titulares de dados.
• Obrigações e direitos do controlador.
• Processamento apenas de acordo com instruções documentadas.
• Compromissos de confidencialidade.
• Medidas de segurança.
• Regras do subprocessador.
• Assistência com direitos do titular dos dados.
• Assistência com obrigações de segurança, violação, DPIA e consulta.
• Eliminação ou devolução de dados pessoais no final dos serviços.
• Informações necessárias para demonstrar conformidade.
• Direitos de auditoria e inspeção.

Em termos práticos, o DPA deve permitir responder: quais dados o fornecedor recebe, por que, onde estão armazenados, quem mais os toca, como são protegidos e o que acontece quando o contrato termina?

Por que os fornecedores de análise precisam de revisão

Os fornecedores de análise podem processar dados pessoais mesmo quando os relatórios são agregados. Os dados podem incluir endereços IP, IDs de cookies, informações do dispositivo, caminhos URL, referenciadores, parâmetros de campanha, localização aproximada e eventos vinculados à conta.

Para cada ferramenta analítica, pergunte:

• O fornecedor é um processador, provedor de serviços ou controlador independente?
• O fornecedor combina dados de clientes?
• São utilizados cookies ou identificadores persistentes?
• Os dados são utilizados para publicidade ou melhoria de produtos além do serviço contratado?
• Onde os dados estão hospedados?
• Quais subprocessadores estão envolvidos?
• Os dados brutos podem ser excluídos?
• Quais configurações de retenção estão disponíveis?
• O fornecedor fornece um DPA?

A análise que prioriza a privacidade reduz o volume de dados, mas um DPA ainda pode ser necessário se algum dado pessoal for processado.

Subprocessadores e transferências internacionais

A maioria dos fornecedores de SaaS depende de subprocessadores: hosts em nuvem, provedores de e-mail, ferramentas de suporte, serviços de monitoramento e sistemas de pagamento. Um DPA deve informar se subprocessadores são permitidos, como os clientes são notificados sobre alterações e como funcionam as objeções.

As transferências internacionais necessitam de atenção especial. Se os dados pessoais forem transferidos para fora do EEE ou Reino Unido, as equipes poderão precisar de cláusulas contratuais padrão, avaliações de risco de transferência, medidas suplementares ou outro mecanismo de transferência válido. O DPA nem sempre é suficiente por si só.

Uma lista de verificação de revisão do fornecedor

Antes de aprovar uma ferramenta:

1. Identifique quais dados pessoais a ferramenta recebe.
2. Confirme a função do fornecedor.
3. Revise o DPA e os subprocessadores.
4. Verifique a região de hospedagem e o mecanismo de transferência.
5. Revise a documentação de segurança.
6. Estabeleça limites de retenção.
7. Desative o compartilhamento desnecessário de dados.
8. Confirme a exclusão/exportação dos fluxos de trabalho.
9. Documente o objetivo comercial.
10. Adicione a ferramenta ao aviso de privacidade, se necessário.

Erros comuns do DPA

• Assinar um DPA mas nunca configurar o produto com segurança.
• Ignorar propriedades de eventos e parâmetros URL que contêm dados pessoais.
• Supondo que o DPA de um fornecedor dos EUA resolva o risco de transferência UE automaticamente.
• Falha na revisão dos subprocessadores.
• Manter dados analíticos brutos para sempre.
• Permitir que as agências adicionem ferramentas fora das compras.
• Tratar todos os fornecedores como processadores quando alguns são controladores independentes.

Um DPA não é uma papelada para arquivar. É o manual de operação para um relacionamento de dados. Quanto mais privacidade for sua pilha, mais fácil será explicar, proteger e terminar de forma limpa esse relacionamento.

Como revisar uma análise DPA

Para fornecedores de análise, compare o DPA com a carga útil do evento real. Um contrato pode indicar que o processador segue as instruções, mas a implementação ainda pode enviar URLs completos, identificadores, endereços IP, termos de pesquisa ou IDs de clique em anúncios. Os [requisitos de processador do Artigo 28] do GDPR (https://gdpr-info.eu/art-28-gdpr/) são a base: instruções documentadas, confidencialidade, segurança, controles de subprocessadores, assistência com direitos, exclusão ou devolução, auditorias e limites claros de responsabilidade.

Faça cinco perguntas práticas. O fornecedor pode usar dados para seu próprio produto, benchmarking, publicidade ou treinamento AI? Onde os dados estão hospedados e quais subprocessadores podem acessá-los? Com que rapidez os dados podem ser excluídos após a rescisão? Os registros de suporte e engenharia são cobertos pelos mesmos termos? O DPA corresponde ao aviso público de privacidade e à página de segurança? Se a resposta depender de uma promessa de venda, coloque-a no contrato ou reduza os dados enviados. Um fornecedor de análise que prioriza a privacidade deve tornar essa revisão mais curta porque o serviço é construído em torno de dados limitados e específicos para uma finalidade, em vez de perfis comportamentais amplos.

Lista de verificação de revisão DPA

Compare o DPA com a carga útil de análise real. O contrato deve abranger instruções documentadas, confidencialidade, segurança, subprocessadores, transferências internacionais, assistência com direitos, exclusão ou devolução, direitos de auditoria e notificação de incidentes, mas essas cláusulas só ajudam se a implementação evitar dados pessoais desnecessários.

Antes de assinar, teste se URLs completos, strings de consulta, endereços IP, IDs, valores de formulário ou parâmetros de campanha podem expor dados pessoais. Se um fornecedor puder reutilizar dados para publicidade, benchmarking, treinamento AI ou melhoria de produto não relacionada, deixe a função e os limites claros por escrito ou reduza os dados enviados.