TL;DR
O Acordo de Processamento de Dados, ou DPA, é um contrato legalmente vinculativo entre uma empresa e um terceiro processador de dados, destinado a regular a privacidade de dados no que diz respeito à conformidade com o RGPD.
O que é o Contrato de Processamento de Dados (DPA)?
Qualquer negócio com presença online depende de terceiros para funcionar adequadamente. Estes terceiros podem ser qualquer coisa, desde um provedor de e-mail a uma ferramenta de análise de websites, a uma ferramenta de chat, etc.; basicamente, qualquer ferramenta que processe os dados pessoais do usuário. Um Contrato de Processamento de Dados deve ser assinado entre essa empresa (Controlador) e cada terceiro (Processador) para garantir que os dados sejam armazenados corretamente e não sejam mal utilizados, vendidos ou tornados vulneráveis a ataques. Este é um dos passos mais básicos para o cumprimento do RGPD.
A maioria destas ferramentas de terceiros são disponibilizadas às DPA nos seus sites para download e assinatura. Por exemplo, aqui está o Visitor Analytics DPA: DPA. Normalmente a DPA assinada também pode ser solicitada por e-mail.
Caso você precise criar seu próprio contrato de processamento de dados, o modelo oficial pode ser baixado de https://gdpr.eu/data-processing-agreement/. Qualquer organização pode usar este documento para cumprir com os regulamentos RGPD e evitar multas caras.
O acordo de processamento de dados aplica-se a empresas que armazenam e/ou processam dados da União Europeia e aborda as seguintes questões em relação ao Processador:
- deve haver uma segurança de informação adequada;
- nenhum sub-processador está autorizado a utilizar os dados sem o consentimento do Controlador;
- cooperação com as autoridades de protecção de dados deve ser prestada sempre que necessário;
- As violações de dados devem ser reportadas imediatamente ao Controlador;
- Os registros de todas as atividades de processamento devem ser mantidos;
- o cumprimento das regras de transferência de dados da UE;
- assistência ao Controlador no tratamento de possíveis violações de dados.
Informações mais detalhadas podem ser encontradas em: https://gdpr.eu/article-28-processor/