Skip to main content
Sobre nós

Data Processing Agreement (DPA) / Acordo de Processamento de Dados

TL;DR

O Acordo de Processamento de Dados, ou DPA, é um contrato legalmente vinculativo entre uma empresa e um terceiro processador de dados, destinado a regular a privacidade de dados no que diz respeito à conformidade com o RGPD.

O que é o Contrato de Processamento de Dados (DPA)?

Qualquer negócio com presença online depende de terceiros para funcionar adequadamente. Estes terceiros podem ser qualquer coisa, desde um provedor de e-mail a uma ferramenta de análise de websites, a uma ferramenta de chat, etc.; basicamente, qualquer ferramenta que processe os dados pessoais do usuário. Um Contrato de Processamento de Dados deve ser assinado entre essa empresa (Controlador) e cada terceiro (Processador) para garantir que os dados sejam armazenados corretamente e não sejam mal utilizados, vendidos ou tornados vulneráveis a ataques. Este é um dos passos mais básicos para o cumprimento do RGPD.

A maioria destas ferramentas de terceiros são disponibilizadas às DPA nos seus sites para download e assinatura. Por exemplo, aqui está o Visitor Analytics DPA: DPA. Normalmente a DPA assinada também pode ser solicitada por e-mail.

Caso você precise criar seu próprio contrato de processamento de dados, o modelo oficial pode ser baixado de https://gdpr.eu/data-processing-agreement/. Qualquer organização pode usar este documento para cumprir com os regulamentos RGPD e evitar multas caras.

O acordo de processamento de dados aplica-se a empresas que armazenam e/ou processam dados da União Europeia e aborda as seguintes questões em relação ao Processador:

  • deve haver uma segurança de informação adequada;
  • nenhum sub-processador está autorizado a utilizar os dados sem o consentimento do Controlador;
  • cooperação com as autoridades de protecção de dados deve ser prestada sempre que necessário;
  • As violações de dados devem ser reportadas imediatamente ao Controlador;
  • Os registros de todas as atividades de processamento devem ser mantidos;
  • o cumprimento das regras de transferência de dados da UE;
  • assistência ao Controlador no tratamento de possíveis violações de dados.

Informações mais detalhadas podem ser encontradas em: https://gdpr.eu/article-28-processor/