Acordos de Processamento de Dados sob o GDPR: O Que Você Precisa Saber
Acordos de Processamento de Dados sob o GDPR: O Que Você Precisa Saber
TL;DR — Resposta rápida
1 min de leituraToda ferramenta de terceiros que toca dados pessoais requer um acordo de processamento de dados em conformidade com o GDPR. A maioria das empresas subestima suas obrigações de DPA em toda a sua cadeia de fornecedores.
Quando organizações compartilham dados pessoais com prestadores de serviços terceirizados, o GDPR exige um acordo formal de processamento de dados (DPA) para reger como esses dados são tratados. Compreender os requisitos de DPA é essencial para qualquer empresa que utilize ferramentas ou serviços externos que lidem com dados pessoais.
O Que é um Acordo de Processamento de Dados?
Um DPA é um contrato legalmente vinculante entre um controlador de dados (a organização que determina por que e como os dados são processados) e um processador de dados (o terceiro que processa dados em nome do controlador). Relacionamentos comuns de processador incluem provedores de hospedagem em nuvem, serviços de e-mail, ferramentas de analytics e processadores de pagamento.
Requisitos Principais
Os DPAs devem especificar o objeto e a duração do processamento, a natureza e o propósito do processamento, os tipos de dados pessoais envolvidos e as categorias de titulares de dados. Eles também devem incluir obrigações vinculantes para o processador: processar dados apenas sob instruções documentadas do controlador, garantir a confidencialidade da equipe, implementar medidas de segurança adequadas, auxiliar com solicitações de titulares de dados, excluir ou devolver dados após o término do contrato e permitir auditorias.
Subprocessadores
Quando um processador contrata outro processador (um subprocessador), o processador original deve obter autorização do controlador. O DPA deve abordar a gestão de subprocessadores, incluindo requisitos de notificação e responsabilidade.
Implicações Práticas
Muitas empresas subestimam suas obrigações de DPA. Toda ferramenta SaaS, serviço em nuvem ou integração de terceiros que acessa dados pessoais requer um DPA. As organizações devem auditar seus relacionamentos com fornecedores, garantir que os DPAs estejam em vigor para todos os processadores e revisar regularmente esses acordos para assegurar que reflitam as práticas reais de processamento de dados.
A falha em manter DPAs adequados pode resultar em multas do GDPR e deixa as organizações expostas se um processador causar uma violação de dados.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Artigos relacionados
Checklist de Conformidade com o GDPR: Passos Essenciais para Organizacoes
Um checklist pratico de conformidade com o GDPR cobrindo mapeamento de dados, documentacao de base legal, avisos de privacidade, direitos dos titulares de dados, seguranca, gestao de fornecedores e transferencias internacionais.
GDPR Explicado: Um Guia Completo sobre a Regulamentacao de Protecao de Dados da UE
Tudo o que voce precisa saber sobre o GDPR: principios fundamentais, definicoes de dados pessoais, bases legais, direitos individuais, penalidades de fiscalizacao e transferencias internacionais de dados.
Bases Legais do GDPR Explicadas: Os Seis Fundamentos para Processar Dados Pessoais
Uma explicacao clara das seis bases legais do GDPR para processar dados pessoais, desde consentimento e necessidade contratual ate interesse legitimo, com orientacao sobre como escolher a correta.