Data Processing Agreement (DPA) / Acordo de Processamento de Dados
TL;DR
O Contrato de Processamento de Dados, ou DPA para abreviar, é um contrato juridicamente vinculativo entre uma empresa e um processador de dados terceirizado, destinado a regular a privacidade de dados em relação à conformidade com o GDPR.
O que é o Contrato de Processamento de Dados (DPA)?
Qualquer negócio que tenha presença online depende de terceiros para funcionar corretamente. Esses terceiros podem ser qualquer coisa, desde um provedor de e-mail até uma ferramenta de análise de site ou ferramenta de bate-papo, etc. basicamente, qualquer ferramenta que processe os dados pessoais do usuário. Um Contrato de Processamento de Dados deve ser assinado entre essa empresa (Controlador) e cada terceiro (Processador), garantindo que os dados sejam armazenados adequadamente e não sejam mal utilizados, vendidos ou vulneráveis a ataques. Este é um dos passos mais básicos para cumprir o RGPD.
A maioria dessas ferramentas de terceiros disponibiliza DPAs em seus sites para download e assinatura. O DPA assinado geralmente também pode ser solicitado por e-mail.
Caso você precise criar seu próprio contrato de processamento de dados, o modelo oficial pode ser baixado em https://gdpr.eu/data-processing-agreement/. Qualquer organização pode usar este documento para cumprir o GDPR e evitar multas caras.
O Contrato de Processamento de Dados aplica-se a empresas que armazenam e/ou processam dados da União Europeia e aborda as seguintes questões em relação ao Processador:
- deve haver segurança da informação adequada;
- nenhum subprocessador pode usar os dados sem o consentimento do Controlador;
- a cooperação com as Autoridades de Proteção de Dados deve ser fornecida sempre que necessário;
- as violações de dados devem ser imediatamente comunicadas ao Controlador;
- devem ser mantidos registros de todas as atividades de processamento;
- conformidade com as regras de transferência de dados da UE;
- assistência ao Controlador na gestão de possíveis violações de dados.
Você pode encontrar informações mais detalhadas sobre isso aqui: https://gdpr.eu/article-28-processor/.