Visitor Analytics
Skip to main content

Data Processing Agreement (DPA) / Acordo de Processamento de Dados

TL;DR

O Contrato de Processamento de Dados, ou DPA para abreviar, é um contrato juridicamente vinculativo entre uma empresa e um processador de dados terceirizado, destinado a regular a privacidade de dados em relação à conformidade com o GDPR.

O que é o Contrato de Processamento de Dados (DPA)?

Qualquer negócio que tenha presença online depende de terceiros para funcionar corretamente. Esses terceiros podem ser qualquer coisa, desde um provedor de e-mail até uma ferramenta de análise de site ou ferramenta de bate-papo, etc. basicamente, qualquer ferramenta que processe os dados pessoais do usuário. Um Contrato de Processamento de Dados deve ser assinado entre essa empresa (Controlador) e cada terceiro (Processador), garantindo que os dados sejam armazenados adequadamente e não sejam mal utilizados, vendidos ou vulneráveis a ataques. Este é um dos passos mais básicos para cumprir o RGPD.

A maioria dessas ferramentas de terceiros disponibiliza DPAs em seus sites para download e assinatura. O DPA assinado geralmente também pode ser solicitado por e-mail.

Caso você precise criar seu próprio contrato de processamento de dados, o modelo oficial pode ser baixado em https://gdpr.eu/data-processing-agreement/. Qualquer organização pode usar este documento para cumprir o GDPR e evitar multas caras.

O Contrato de Processamento de Dados aplica-se a empresas que armazenam e/ou processam dados da União Europeia e aborda as seguintes questões em relação ao Processador:

  • deve haver segurança da informação adequada;
  • nenhum subprocessador pode usar os dados sem o consentimento do Controlador;
  • a cooperação com as Autoridades de Proteção de Dados deve ser fornecida sempre que necessário;
  • as violações de dados devem ser imediatamente comunicadas ao Controlador;
  • devem ser mantidos registros de todas as atividades de processamento;
  • conformidade com as regras de transferência de dados da UE;
  • assistência ao Controlador na gestão de possíveis violações de dados.

Você pode encontrar informações mais detalhadas sobre isso aqui: https://gdpr.eu/article-28-processor/.