Para manter os dados do consumidor seguros, a União Europeia (UE) implementou uma lei rigorosa de privacidade e segurança conhecida como Regulamento Geral de Proteção de Dados (RGPD). O RGPD define e aplica os direitos dos cidadãos da UE relativamente aos seus dados pessoais. Ela implementa padrões de responsabilidade, segurança e transparência no uso desses dados.

Empresas globais que operam na União Europeia ou que lidam com dados pessoais provenientes da UE precisam entender como o GDPR as afetará e como manter a conformidade com o GDPR.

Um dos aspectos dessa conformidade é a implementação de um acordo de processamento de dados (DPA). Um acordo de processamento de dados em conformidade com o RGPD especifica os detalhes, as regras, os direitos e as obrigações associados às atividades de processamento de dados. Isso ajuda a garantir a conformidade da empresa, proteger os dados e manter os consumidores protegidos e satisfeitos.

Este guia oferece uma visão mais detalhada de como funcionam os DPAs e o que deve ser incluído em um DPA.

O que é um DPA (Acordo de Proteção de Dados) segundo o RGPD (Regulamento Geral sobre a Proteção de Dados)?

Um contrato de processamento de dados é um contrato assinado entre os controladores de dados e os processadores de dados que irão lidar com seus dados. É necessário para o cumprimento integral do RGPD.

Um DPA define a natureza, a finalidade e a duração das atividades de processamento que ocorrerão. Especifica também o tipo de dados pessoais a serem processados e as categorias de indivíduos a que os dados pertencem. Define os direitos e obrigações que o controlador terá. Pode especificar a utilização de medidas técnicas de segurança, como um determinado nível de criptografia, que devem ser implementadas.

Um DPA (Acordo de Proteção de Dados) é juridicamente vinculativo, e o controlador e o processador de dados devem cumpri-lo, sob pena de sofrerem sanções severas.

A principal vantagem de um DPA é garantir a qualificação e a confiabilidade do processador de dados. As empresas precisam ter a certeza de que seus dados estão em boas mãos, privados e protegidos contra olhares indiscretos. Um DPA ajuda a fornecer essas garantias.

O RGPD e os seus requisitos de proteção de dados provavelmente terão impactos significativos nas operações comerciais no futuro. As transações comerciais podem mudar à medida que a coleta de dados pessoais se torna mais limitada, a comunicação sobre a coleta e o armazenamento de dados se torna essencial e os relacionamentos com fornecedores terceirizados exigem contratos mais rigorosos. As empresas individualmente e seus departamentos de RH sentirão impactos significativos ao adaptarem seus processos para cumprir os requisitos do GDPR.

O lado positivo dos requisitos do RGPD é que a confiança pode florescer nos negócios à medida que as pessoas se tornam mais seguras em relação à privacidade e à proteção de seus dados.

Quando é necessário um contrato de processamento de dados?

Você precisa de um contrato de processamento de dados? Você pode, se tratar de dados pessoais dentro ou provenientes da UE.

Nos termos do RGPD, um documento DPA é obrigatório sempre que uma pessoa ou organização fornece dados pessoais a um prestador de serviços terceiro para um serviço colaborativo. Quaisquer partes que atuem como processadores de dados devem assinar acordos de proteção de dados (DPAs) com os controladores de dados.

Por exemplo, na UE, um serviço que hospeda um site deve assinar um DPA (Acordo de Proteção de Dados) com a empresa à qual o site pertence. Uma empresa que processa dados pessoais para fornecer marketing direcionado ao consumidor também deve assinar um DPA (Acordo de Proteção de Dados).

Abaixo estão alguns outros serviços e cenários comerciais comuns que exigem DPAs:

  • Terceirização da gestão de e-mails
  • Soluções técnicas de processamento de dados para contabilidade financeira e de folha de pagamento.
  • Serviços de backup de dados, seja por meio de servidores físicos ou na nuvem.
  • Coleta ou digitalização de dados por meio de um provedor de serviços externo.
  • Descarte de hardware antigo contendo dados sensíveis

Em alguns casos, o RGPD pode exigir autoridades de proteção de dados para empresas fora da Europa. Este requisito entra em vigor sempre que dados da UE estiverem envolvidos. Por exemplo, uma empresa localizada no Canadá pode estar sujeita à exigência da DPA se lidar com dados relativos a cidadãos da UE.

Quando um DPA não é necessário?

Quando um DPA não é necessário, consulte a tabela que inclui parcerias, serviços de portal, agências de cobrança e gerenciamento conjunto de dados de várias empresas.

Diversos cenários específicos não exigem DPAs. Elas possuem proteções integradas que tornam a proteção da DPA desnecessária. Considere o seguinte para que você possa entender melhor as obrigações da sua empresa nessas circunstâncias:

  1. Parcerias com grupos profissionais que possuem requisitos de confidencialidade: Em muitas profissões, a melhor prática é que os prestadores de serviços tenham acordos de confidencialidade personalizados e específicos para o setor, que abranjam todas as medidas de segurança e requisitos de privacidade que um DPA (Acordo de Proteção de Dados) exigiria. Algumas profissões que geralmente utilizam esses acordos de confidencialidade incluem advocacia, consultoria tributária e auditoria financeira. Muitos serviços de saúde normalmente também vêm com suas próprias garantias rigorosas de confidencialidade.
  2. Serviços de portal: Serviços que simplesmente conectam pessoas ou entidades geralmente são isentos dos requisitos da DPA (Lei de Proteção de Dados). Esses serviços profissionais de encontros são tão transitórios que um acordo de proteção de dados teria pouca utilidade. Os recrutadores se enquadram nessa categoria, por exemplo. Eles simplesmente conectam pessoas que procuram emprego com empresas que buscam novos membros talentosos para suas equipes. Nesse cenário, um acordo de confidencialidade com o recrutador se torna desnecessário.
  3. Trabalhar com agências de cobrança de dívidas: As agências de cobrança de dívidas obtêm acesso a informações financeiras pessoais e informações médicas. Como as agências de cobrança são entidades separadas dos credores originais e cobram a dívida para seu próprio benefício, elas estão isentas dos requisitos da Lei de Proteção de Dados (DPA). Se estivessem trabalhando em nome dos credores originais, as agências de cobrança precisariam assinar acordos de não persecução penal.
  4. Gestão conjunta de dados de várias empresas: Em alguns casos, as empresas trabalham em grupo para gerenciar uma coleção de dados. Esse cenário ocorre frequentemente quando as empresas têm acesso conjunto a dados de fornecedores, produtos ou potenciais clientes. Embora as empresas possam ser concorrentes, elas utilizam os mesmos dados para os mesmos fins gerais. A escala dessa utilização de dados geralmente significa que um DPA (Acordo de Proteção de Dados) não é obrigatório.
  5. Ensaios clínicos: Ensaios clínicos farmacêuticos em larga escala geralmente não utilizam DPAs devido aos inúmeros fatores envolvidos. Médicos, centros de pesquisa e patrocinadores têm acesso aos dados dos participantes da pesquisa e os processam de maneiras diferentes, de acordo com suas necessidades. Os dados coletados também costumam servir a diversos propósitos ao longo do ensaio clínico. Nessas circunstâncias, os acordos de proteção de dados geralmente não se aplicam.

Quem é o controlador de dados?

Todo acordo de proteção de dados (DPA) é firmado entre um controlador de dados e um processador de dados. O controlador de dados é a organização ou indivíduo que determina como e por que os dados pessoais são processados. Se a sua empresa decidir enviar dados para terceiros para backup em seus servidores, a sua empresa será a controladora dos dados.

A característica definidora de um controlador de dados é o poder de decisão. O responsável pelo tratamento dos dados define, de forma abrangente, os motivos da coleta de dados e as formas como o processamento de dados pessoais deve ocorrer.

Na maioria dos casos, uma empresa ou organização é a controladora dos dados. O processador de dados é uma entidade separada que mantém contrato com a empresa. Uma pessoa singular, como um empresário individual ou um trabalhador independente, também pode ser considerada responsável pelo tratamento de dados se tomar decisões sobre a recolha e o tratamento de dados pessoais.

Quem é o responsável pelo processamento dos dados?

O processador de dados é a entidade terceira que processa os dados para um controlador de dados. No cenário acima, se sua empresa decidir enviar seus dados para backup externo, a empresa que fornece os serviços de backup é a processadora de dados.

O processador de dados pode assumir muitas formas. Pode ser uma empresa, um indivíduo ou uma autoridade pública. O critério relevante é se esse indivíduo ou entidade processa ou não dados em nome de um controlador de dados.

O que inclui um documento DPA?

Os artigos 28-36 do RGPD especificam quais obrigações contratuais são obrigatórias para o processador de dados de acordo com as regras do RGPD relativas à DPA. A seguir, apresentamos algumas das cláusulas obrigatórias do DPA:

1. Uma análise detalhada e completa do processamento de dados.

A Autoridade de Proteção de Dados (APD) deve fornecer detalhes abrangentes sobre como cada aspecto do processamento de dados ocorrerá. A DPA deve incluir informações claras sobre tópicos como:

  • O tipo de dados pessoais a serem processados.
  • O assunto dos dados
  • As categorias dos titulares dos dados
  • A finalidade e a natureza do processamento
  • A duração esperada do processamento de dados.
  • A base legal para o processamento de dados pessoais
  • A devolução ou eliminação dos dados pessoais no final do processamento.

2. Direitos e responsabilidades do controlador e do processador de dados

A DPA garante clareza sobre quem controla o tratamento dos dados.

Ao especificar os direitos e responsabilidades de ambas as partes, a DPA garante clareza sobre quem controla o tratamento dos dados.

A Autoridade de Proteção de Dados (APD) deve declarar explicitamente que o processador de dados deve realizar o processamento de acordo com os desejos e especificações do controlador de dados. Deveria especificar que o controlador, e não o processador, mantém o controle total sobre os dados e o que acontece com eles.

A Autoridade de Proteção de Dados (APD) deve orientar o responsável pelo tratamento de dados a processar os dados apenas de acordo com as instruções diretas do controlador de dados, desviando-se dessas instruções somente quando as leis da UE ou as leis de um dos Estados-Membros o exigirem.

3. Medidas de confidencialidade exigidas para o processador de dados

A Autoridade de Proteção de Dados (APD) deve especificar os protocolos que o responsável pelo tratamento de dados deve seguir para garantir a confidencialidade dos dados pessoais.

Por exemplo, o responsável pelo tratamento de dados deve exigir que os funcionários permanentes, os funcionários temporários e os subcontratados assinem acordos de confidencialidade antes de poderem começar a tratar dados pessoais. Um acordo de confidencialidade só se torna desnecessário quando uma obrigação legal já exige que o processador garanta a confidencialidade.

4. Protocolos técnicos e organizacionais necessários para a segurança da informação

A Autoridade de Proteção de Dados (DPA) deve descrever as medidas de segurança que o processador de dados deve implementar, incluindo medidas como estas, quando apropriado:

  • Criptografia de dados
  • pseudonimização do titular dos dados
  • Protocolos para garantir a confidencialidade, disponibilidade, resiliência e segurança dos dados em todos os sistemas de processamento de dados.
  • Processos para restaurar o acesso a dados pessoais após um ataque ou violação.
  • Um programa regular para testar e avaliar a eficácia de todas as medidas de segurança.

Muitos processadores podem desejar obter certificações formais ou elaborar códigos de conduta oficiais que atestem os protocolos implementados. Medidas como essas ajudam a garantir que o processamento de dados esteja em total conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).

5. Termos para quaisquer contratos de subcontratação

A Autoridade de Proteção de Dados (APD) também deve descrever os requisitos que o responsável pelo tratamento de dados deve impor aos seus subcontratados. Por exemplo, o processador deve assegurar-se de cumprir estas regras e boas práticas:

  • A contratação de subempreiteiros só será permitida com o consentimento expresso e a autorização do responsável pelo tratamento dos dados.
  • Elaboração e assinatura de contratos que imponham ao subcontratado os mesmos requisitos de segurança de dados que o próprio responsável pelo tratamento de dados deve seguir.
  • Garantir que o subcontratado cumpra os requisitos de proteção de dados.
  • Informar o responsável pelo tratamento de dados sobre quaisquer alterações envolvendo subcontratados e dar-lhe tempo para responder.

6. Obrigações de cooperação para o processador de dados

O processador de dados também deve permitir que o controlador de dados realize auditorias de conformidade durante o processamento.

O DPA deve especificar quando e como o processador de dados deve cooperar com o controlador de dados. Por exemplo, o processador de dados deve cooperar para ajudar a resolver as solicitações de acesso aos dados. O processador também deve cooperar na proteção da privacidade e dos direitos dos titulares dos dados, em particular, cumprindo os seguintes requisitos:

  • Garantir a segurança dos dados pessoais
  • Notificar prontamente as autoridades e os titulares dos dados sobre violações de dados pessoais.
  • Realizar avaliações de impacto sobre a proteção de dados (AIPD) conforme necessário.
  • Consultar as autoridades competentes quando surgirem riscos graves relacionados com a segurança dos dados.

O processador de dados também deve permitir que o controlador de dados realize auditorias de conformidade durante o processamento. Durante as auditorias, o processador deve fornecer prontamente ao controlador todas as informações relevantes para demonstrar que cumpriu as suas obrigações de conformidade nos termos do Artigo 28 do RGPD.

Uma das melhores práticas é que o processador mantenha registros de suas atividades de processamento para demonstrar a conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).

O que acontece após uma violação de dados ao abrigo de uma Lei de Proteção de Dados (DPA)?

Caso ocorra uma violação de dados, as empresas envolvidas precisam tomar medidas específicas e imediatas. Sua empresa deve notificar a autoridade supervisora competente dentro de 72 horas se a violação representar riscos graves.

Se a violação representar um risco muito alto para as pessoas afetadas, sua empresa geralmente também deve notificar esses indivíduos. No entanto, se sua empresa já possui protocolos eficazes de mitigação de riscos técnicos e organizacionais, uma notificação pode não ser necessária.

Por exemplo, imagine que uma empresa de cartões de crédito sofreu uma violação de dados devido a um ataque aos servidores onde armazenava seus dados. As informações financeiras pessoais de seus clientes foram comprometidas. Seus nomes, endereços residenciais, informações de contato adicionais, detalhes financeiros e informações sobre os tipos de pagamentos que fizeram em seus cartões de crédito se tornaram públicos.

A empresa que hospeda os servidores precisaria notificar as autoridades sobre a violação dentro de 72 horas. Também seria necessário notificar a empresa de cartão de crédito.

A empresa provavelmente precisaria informar os consumidores, já que a divulgação de suas informações pessoais poderia colocá-los em risco. A violação também pode levar à divulgação de informações de saúde sensíveis e protegidas dos consumidores, caso tenham efetuado pagamentos médicos com seus cartões de crédito.

Quais são as penalidades por descumprimento do RGPD? 

Caso ocorra uma violação de dados, a empresa considerada em situação irregular estará sujeita a medidas disciplinares. Uma infração provável resulta apenas em uma advertência. Incidentes de não conformidade confirmados podem estar sujeitos a uma ou mais das seguintes penalidades:

  1. Uma repreensão formal
  2. Uma proibição temporária ou permanente ao processamento de dados.
  3. Uma multa de até €20 milhões ou 4 % do faturamento global anual total da empresa.

Contrate profissionais de segurança de dados para sua equipe com a GP.

Ao construir equipes internacionais focadas em segurança de dados, trabalhe com a GP. Nossas equipes de profissionais podem ajudá-lo a entender as normas do contrato de processamento de dados que se aplicam à sua empresa.

Ter encarregados da proteção de dados e outros profissionais da área jurídica em sua equipe é essencial para manter a conformidade com a Lei de Proteção de Dados. Como Empregador Oficial Global (EOR, na sigla em inglês), a GP ajuda você a contratar e remunerar os talentos internacionais necessários para o seu sucesso. Levamos a privacidade de dados muito a sério e podemos ajudá-lo a cumprir as leis trabalhistas locais e a proteger suas informações confidenciais à medida que sua empresa expande internacionalmente.

Na GP, ajudamos você a agilizar seus processos de contratação. Com nossa plataforma global de recrutamento completa, você pode contratar e integrar novos membros da equipe com apenas alguns cliques, economizando tempo e simplificando sua abordagem aos desafios do crescimento internacional da empresa.

Solicite uma proposta hoje mesmo ou entre em contato conosco para saber mais sobre como contratar profissionais de segurança de dados por meio de nossa plataforma.