Produtos
Pequena Empresa
Recursos
- Respostas Criar um site não precisa ser complexo - obtenha respostas diretas para todas as suas perguntas sobre criação de sites!
- Blog Seu recurso ideal para construir uma presença online poderosa. Descubra dicas de especialistas, guias práticos e histórias inspiradoras para ajudar sua pequena empresa a prosperar na web.
Preços

Voltar para Considerações Legais e Éticas

O que é um Acordo de Processamento de Dados (DPA)?

13 minutos para ler

Os Contratos de Processamento de Dados, também conhecidos como DPAs, são contratos que descrevem as responsabilidades de duas partes no processamento de informações pessoais. O contrato é legalmente vinculativo e é importante garantir que ambos os direitos e requisitos sejam atendidos.

Ao desenvolver DPAs, você deve garantir que a duração do processamento – juntamente com os motivos pelos quais você está processando os dados – seja descrita. Os direitos/obrigações dos controladores e processadores de dados também precisam ser abordados.

Se você opera no Espaço Econômico Europeu (EEE), precisará de um DPA para cumprir com o GDPR. Você também deve ter um acordo desse tipo se operar em jurisdições com leis específicas de privacidade de dados (por exemplo, Califórnia e Reino Unido). Embora seja principalmente associado a regulamentações como o GDPR, ter um DPA é uma boa prática geral de negócios.

Dica profissional:

Os DPAs são particularmente importantes quando os controladores trabalham com processadores para dados pessoais.

Principais conclusões:

Use contratos de processamento de dados (DPA) para que todos entendam as funções, responsabilidades e direitos
Seus contratos de processamento de dados (DPA) são uma parte essencial da conformidade regulatória, especialmente para controladores/processadores de dados
Desenvolva contratos de processamento de dados (DPA) robustos que descrevam o tratamento de violações, direitos do titular dos dados, escopo, etc.

Logotipo pequeno do Hocoos

Respostas Considerações legais e éticas

O que é um Acordo de Processamento de Dados (DPA)?

Quem precisa de um DPA e por quê?

Organizações de todos os tamanhos precisam de um DPA se trabalharem com processadores de dados terceirizados e forem classificadas como “controladoras de dados”. Esses contratos definem os requisitos legais e procedimentos relacionados à proteção de informações pessoais.

Você precisa particularmente de contratos de processamento de dados (DPA) ao cumprir diferentes leis de dados pelas seguintes razões:

Evitar sanções ou multas relacionadas a violações de privacidade de dados pode ser alcançado aderindo aos regulamentos relevantes.

Para delinear como os processadores e controladores trabalharão juntos. Isso inclui delinear os dados que você processará e suas razões para fazê-lo.

Quais são os elementos-chave de um Acordo de Processamento de Dados (DPA)?

Os DPAs podem variar ligeiramente de organização para organização, mas seus princípios gerais são semelhantes. Alguns dos principais elementos de um DPA são:

Finalidade: Descreva os dados que você planeja processar e por que você precisa.

Direitos/responsabilidades: Identifique as responsabilidades de cada parte e os direitos que elas têm durante todo o processo.

Medidas essenciais: Descreva as medidas que você tomou em toda a empresa para proteger os dados. Você também deve mencionar quais medidas técnicas está usando para proteger os dados (por exemplo, implementando autenticação multifator).

Disposições sobre violação de dados: Descreva o que você fará se ocorrer uma violação de dados e tome as medidas necessárias para impedir que isso aconteça.

Direitos do titular dos dados: Identifique os direitos da pessoa cujos dados você está usando.

Reserve um tempo para criar um DPA claro que cubra todos os ângulos; isso é essencial para construir confiança.

Dica profissional:

Consulte um profissional jurídico especializado em sua jurisdição antes de elaborar um DPA.

Quais são as obrigações do processador de dados em um DPA?

As obrigações de tratamento do processador identificam as responsabilidades do processador de dados durante o tratamento de dados. Estas geralmente abrangem os vários elementos.

O processador é responsável por seguir todas as instruções do controlador.

O processador é responsável por manter os dados confidenciais.

O processador deve auxiliar o controlador a cumprir os seus próprios requisitos de proteção de dados.

O processador pode ser responsabilizado por qualquer violação de dados.

O controlador pode auditar o processador a qualquer momento.

O processador pode precisar fornecer ao controlador mais informações sobre como está a processar os dados.

Como uma DPA protege os direitos dos titulares dos dados?

Os Acordos de Proteção de Dados (APD) descrevem os deveres e direitos dos processadores e controladores de dados, o que pode contribuir para a salvaguarda dos direitos dos titulares dos dados. Esses documentos são desenvolvidos em conformidade com os regulamentos e criam uma estrutura para o processamento responsável de dados. Ao delinear obrigações e direitos, os APD constituem uma parte fundamental dos procedimentos de transparência.

Os APDs também são importantes para respeitar os pedidos dos titulares dos dados. Esta documentação pode incluir o direito de:

Solicitar alterações aos dados

Eliminar dados se já não forem necessários

Aceder a informações pessoais

Os processadores têm diretrizes claras sobre o que podem e o que não podem fazer, minimizando o risco de incumprimento regulamentar.

Sob um DPA, como as organizações relatam violações de dados?

De acordo com os regulamentos do RGPD, as organizações têm de comunicar as violações de dados no prazo de 72 horas após terem conhecimento das mesmas.

É responsável por contactar a Autoridade de Proteção de Dados (APD). Ao enviar o seu relatório, precisa de cobrir vários detalhes. Estes incluem:

O tipo e a natureza da violação de dados

Número aproximado de indivíduos afetados

As categorias de pessoas afetadas pela violação

O que fez para minimizar o impacto

Para violações classificadas como graves, como ciberataques, o prazo para reporte permanece em 72 horas. Você pode seguir as diretrizes da DPA para reportar violações, e também é importante que você tenha compilado um plano de resposta a incidentes. Em seu plano de resposta a incidentes, você deve abordar:

Procedimentos de detecção de violações

Avaliação de riscos

Reportando violações de dados

Responder e conter o problema o mais rápido possível

Dica profissional:

Os processadores de dados devem fornecer as informações que os controladores precisam para desenvolver notificações de violação.

O que acontece com os dados ao final de um Acordo de Processamento de Dados (DPA)?

Os DPAs podem ser rescindidos quando os dados que estão sendo tratados não forem mais necessários. Durante o processo de rescisão, o processador é responsável por excluir todos os dados pessoais de forma segura. Alternativamente, eles podem retornar as informações ao controlador, com base no que o controlador disser.

Mesmo neste ponto, o DPA ainda é importante. Esta documentação precisa identificar todo o processo de exclusão/devolução para que todas as partes possam acompanhá-lo. É ainda mais importante para impedir que os dados sejam usados indevidamente.

Em alguns casos, o processador pode precisar provar que excluiu ou devolveu as informações. Como resultado, eles devem manter registros.

Quais são as penalidades para o não cumprimento de um DPA?

As penalidades por não cumprir com GDPR e outros regulamentos por meio de um DPA podem ser significativos e, portanto, é importante entendê-los e evitá-los. Se você estiver sediado na UE/EEE, o GDPR pode multar 4% do faturamento anual global ou € 20 milhões, o que for maior.

Embora essas penalidades sejam grandes, elas servem como um impedimento para aqueles que não cumprem. Entender o que você deve incluir em seu DPA, juntamente com o processamento seguro de dados, são essenciais. Você deve conhecer os tipos de violação mais comuns; normalmente, eles estão relacionados a práticas de segurança inadequadas que resultam em violações de dados.

Você também nunca deve processar dados pessoais sem receber consentimento; você pode obtê-lo por meio de banners de cookies do site e confirmações de opt-in.

Conclusão

Os Acordos de Processamento de Dados (Data Processing Agreements) são cruciais para empresas que operam em jurisdições onde a proteção de dados é levada a sério. Sua documentação deve descrever explicitamente as funções e responsabilidades de todos, e você também precisa descrever o que fará para conter possíveis violações.

Você também deve usar os DPAs para construir confiança com seus clientes e dar a eles transparência sobre como você lida com as informações deles. Certifique-se de que todos os envolvidos, incluindo seus processadores e controladores, conheçam seus direitos e obrigações.

Índice

Outros artigos que podem ajudar

Considerações legais e éticas
What is a Patent?

11 minutos para ler
Considerações legais e éticas
What is a Trademark?

10 minutos para ler
Considerações legais e éticas
What is Copyright?

8 minutos para ler
Considerações legais e éticas
O que é uma Notificação de Violação de Dados?

14 minutos para ler

Consideração importante: As informações fornecidas por nossa equipe de especialistas são elaboradas para fornecer uma compreensão geral do processo de criação de sites e dos recursos disponíveis para você. É importante observar que esta informação não substitui o aconselhamento profissional adaptado às suas necessidades e objetivos específicos.
Leia nosso padrões editoriais para o conteúdo de Respostas.
Nosso objetivo é capacitá-lo a criar um site incrível. Se você tiver dúvidas ou precisar de orientação durante o processo de construção, não hesite em Entrar em contato. Teremos prazer em fornecer assistência e orientá-lo na direção certa.