Para manter os dados dos consumidores seguros, a União Europeia (UE) implementou uma lei rigorosa de privacidade e segurança conhecida como Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR). O GDPR define e aplica os direitos dos cidadãos da UE em relação aos seus dados pessoais. Implementa padrões de responsabilidade, segurança e transparência no uso desses dados.
Empresas globais que operam na União Europeia ou lidam com dados pessoais da UE precisam entender como o GDPR os afetará e como manter a conformidade com o GDPR.
Um aspecto dessa conformidade é a implementação de um acordo de processamento de dados (Data Processing Agreement, DPA). Um acordo de processamento de dados do GDPR especifica os detalhes, regras, direitos e obrigações associados às atividades de processamento de dados. Ele ajuda a garantir a conformidade da empresa, proteger dados e manter os consumidores protegidos e satisfeitos.
Este guia fornece uma visão mais detalhada de como os DPAs funcionam e o que incluir em um DPA.
O que é um DPA de acordo com o GDPR?
Um acordo de processamento de dados é um contrato assinado entre controladores de dados e os processadores de dados que tratarão seus dados. É necessário para a conformidade total com o GDPR.
Um DPA estabelece a natureza, a finalidade e a duração das atividades de processamento que ocorrerão. Ele também especifica o tipo de dados pessoais a serem processados e as categorias de indivíduos aos quais os dados pertencem. Define os direitos e obrigações que o controlador terá. Ele pode especificar o uso de medidas de segurança técnicas, como um determinado nível de criptografia, que devem estar em vigor.
Um DPA é juridicamente vinculativo, e o controlador e processador de dados devem cumpri-lo ou arriscar penalidades severas.
O principal benefício de um DPA é que ele garante as qualificações e a confiabilidade do processador de dados. As empresas precisam saber que seus dados estão em boas mãos e que eles são privados e protegidos dos olhos curiosos. Um DPA ajuda a fornecer essas garantias.
O GDPR e seus requisitos de DPA provavelmente terão impactos significativos nas operações comerciais no futuro. As transações comerciais podem mudar à medida que a coleta de dados pessoais se torna mais limitada, a comunicação sobre a coleta e o armazenamento de dados se torna essencial e os relacionamentos com fornecedores terceirizados exigem contratos mais rigorosos. As empresas individuais e seus departamentos de RH sentirão impactos extensos à medida que adaptam seus processos para cumprir os requisitos do GDPR.
A vantagem dos requisitos do GDPR é que a confiança pode florescer nos negócios à medida que as pessoas se tornam mais confiantes na privacidade e proteção de seus dados.
Quando é necessário um acordo de processamento de dados?
Você precisa de um acordo de processamento de dados? Você pode, se lidar com dados pessoais na UE ou da UE.
De acordo com o GDPR, um documento de DPA é obrigatório sempre que uma pessoa ou organização fornece dados pessoais a um provedor de serviços terceirizado para um serviço colaborativo. Qualquer parte que atue como processadora de dados deve assinar DPAs com os controladores de dados.
Por exemplo, na UE, um serviço que hospeda um site deve assinar um DPA com a empresa à qual o site pertence. Uma empresa que processa dados pessoais para fornecer marketing direcionado ao consumidor também deve assinar um DPA.
Abaixo estão vários outros serviços e cenários de negócios comuns que exigem DPAs:
- Terceirização de gerenciamento de e-mail
- Soluções de processamento de dados técnicos para contabilidade financeira e de folha de pagamento
- Serviços de backup de dados, seja por meio de servidores físicos ou na nuvem
- Coleta de dados ou digitalização por meio de um provedor de serviços externo
- Descarte de hardware antigo contendo dados confidenciais
Em alguns casos, o GDPR pode exigir DPAs para empresas fora da Europa. Esse requisito entra em vigor sempre que dados da UE estiverem envolvidos. Por exemplo, uma empresa localizada no Canadá pode estar sujeita ao requisito de DPA se tratar de dados relativos a cidadãos da UE.
Quando um DPA não é necessário?
Vários cenários específicos não exigem DPAs. Eles têm proteções integradas que tornam a proteção DPA desnecessária. Considere o seguinte para que você possa entender melhor as obrigações da sua empresa nessas circunstâncias:
- Parcerias com grupos profissionais que têm requisitos de confidencialidade: em muitas profissões, as melhores práticas são que os provedores de serviços tenham acordos de confidencialidade personalizados e específicos do setor que cubram todas as medidas de segurança e requisitos de privacidade que um DPA exigiria. Algumas profissões que geralmente usam esses acordos de confidencialidade incluem direito, consultoria fiscal e auditoria financeira. Muitos serviços de saúde normalmente também vêm com suas próprias garantias de confidencialidade rigorosas.
- Serviços do portal: os serviços que meramente conectam pessoas ou entidades são normalmente isentos dos requisitos de DPA. Esses serviços profissionais de matchmaking são tão transitórios que um DPA teria pouco benefício. Os recrutadores se enquadram nesta categoria, por exemplo. Eles simplesmente conectam pessoas que procuram trabalho com empresas que procuram novos membros talentosos da equipe. Este cenário torna um DPA com o recrutador desnecessário.
- Trabalhar com agências de cobrança de dívidas: agências de cobrança de dívidas obtêm acesso a informações financeiras pessoais e informações médicas. Como as agências de cobrança são separadas dos credores originais e cobram a dívida para seu próprio ganho, elas estão isentas dos requisitos de DPA. Se eles estivessem trabalhando em nome dos credores originais, as agências de cobrança precisariam assinar DPAs.
- Gestão conjunta de dados de várias empresas: em alguns casos, as empresas trabalham em grupo para gerenciar uma coleção de dados. Esse cenário geralmente ocorre quando as empresas têm acesso conjunto a dados de fornecedores, produtos ou leads de vendas. Embora as empresas possam ser concorrentes, elas usam os mesmos dados para os mesmos fins gerais. A escala desse uso de dados geralmente significa que um DPA não é obrigatório.
- Estudos clínicos: Estudos clínicos farmacêuticos em larga escala geralmente não usam DPAs devido aos numerosos contribuintes que eles implicam. Médicos, centros de pesquisa e patrocinadores têm acesso aos dados do participante, e todos eles os processam de forma diferente de acordo com suas necessidades. Os dados coletados também geralmente atendem a vários objetivos durante todo o estudo clínico. Nessas circunstâncias, os DPAs geralmente não se aplicam.
Quem é o controlador de dados?
Cada acordo DPA ocorre entre um controlador de dados e um processador de dados. O controlador de dados é a organização ou indivíduo que determina como e por que processar dados pessoais. Se a sua empresa decidir enviar dados a terceiros para backup em seus servidores, ela será a controladora de dados.
A característica de definição de um controlador de dados é o poder de tomada de decisão. O controlador de dados faz determinações abrangentes sobre os motivos para a coleta de dados e as maneiras como o processamento de dados pessoais deve ocorrer.
Na maioria dos cenários, uma empresa ou organização é o controlador de dados. O processador de dados é uma entidade separada que contrata a empresa. Um indivíduo, como um proprietário único ou trabalhador autônomo, também pode ser um controlador de dados se essa pessoa tomar decisões sobre a coleta e o processamento de dados pessoais.
Quem é o processador de dados?
O processador de dados é o terceiro que processa os dados para um controlador de dados. No cenário acima, se sua empresa decidir enviar seus dados para backup, a empresa que fornece os serviços de backup é o processador de dados.
O processador de dados pode assumir muitas formas. Pode ser uma empresa, um indivíduo ou uma autoridade pública. O critério relevante é se esse indivíduo ou entidade processa ou não dados em nome de um controlador de dados.
O que um documento DPA inclui?
Artigos 28-36 do GDPR especificam quais obrigações contratuais são obrigatórias para o processador de dados de acordo com as regras de DPA do GDPR. Abaixo estão algumas das cláusulas DPA necessárias:
1. Uma análise detalhada dos detalhes do tratamento de dados
O DPA deve fornecer detalhes abrangentes sobre como cada aspecto do processamento de dados ocorrerá. O DPA deve incluir informações claras sobre tópicos como:
- O tipo de dados pessoais a serem processados
- O assunto dos dados
- As categorias dos titulares de dados
- A finalidade e a natureza do processamento
- A duração esperada do processamento de dados
- A base legal para o processamento de dados pessoais
- A devolução ou exclusão de dados pessoais no final do processamento
2. Os direitos e responsabilidades do controlador e processador de dados
Ao especificar os direitos e responsabilidades para ambas as partes, o DPA garante clareza sobre quem controla o tratamento de dados.
O DPA deve declarar explicitamente que o processador de dados deve realizar o processamento de acordo com os desejos e especificações do controlador de dados. Ele deve especificar que o controlador, não o processador, mantenha controle total sobre os dados e o que acontece com eles.
O DPA deve orientar o processador de dados a processar os dados apenas de acordo com as instruções diretas do controlador de dados, desviando-se dessas instruções apenas quando as leis da UE ou uma das leis dos estados-membros exigirem.
3. Medidas de confidencialidade necessárias para o processador de dados
O DPA deve especificar os protocolos que o processador de dados deve seguir para garantir a confidencialidade dos dados pessoais.
Por exemplo, o processador de dados deve exigir que funcionários permanentes, funcionários temporários e subcontratados assinem acordos de confidencialidade antes de começarem a processar dados pessoais. A única vez que um acordo de confidencialidade se torna desnecessário é quando uma obrigação estatutária já exige que o processador garanta a confidencialidade.
4. Protocolos técnicos e organizacionais necessários para segurança da informação
O DPA deve descrever as medidas de segurança que o processador de dados deve implementar, incluindo medidas como estas quando apropriado:
- Criptografia de dados
- Pseudônimo do titular dos dados
- Protocolos para garantir a confidencialidade, disponibilidade, resiliência e segurança de todos os sistemas de processamento de dados
- Processos para restaurar o acesso a dados pessoais após um ataque ou violação
- Um programa regular para testar e avaliar a eficácia de todas as medidas de segurança
Muitos processadores podem querer obter certificações formais ou elaborar códigos de conduta oficiais atestando seus protocolos implementados. Medidas como essas ajudam a fornecer garantias de que seu processamento de dados está em total conformidade com o GDPR.
5. Termos para quaisquer contratos de subcontratados.
O DPA também deve descrever os requisitos que o processador de dados deve impor para seus subcontratados. Por exemplo, o processador deve cumprir estas regras e práticas recomendadas:
- Empregar subcontratados apenas com o consentimento expresso e autorização do controlador de dados
- Elaborar e assinar contratos impondo os mesmos requisitos de segurança de dados ao subcontratado que o próprio processador de dados deve seguir
- Garantir a conformidade do subcontratado com os requisitos de proteção de dados
- Informar o controlador de dados sobre quaisquer alterações envolvendo subcontratados e dar ao controlador tempo para responder
6. Obrigações de cooperação para o processador de dados
O DPA deve especificar quando e como o processador de dados deve cooperar com o controlador de dados. Por exemplo, o processador de dados deve cooperar para ajudar a resolver solicitações de acesso a dados. O processador também deve cooperar na proteção da privacidade e dos direitos dos titulares dos dados, particularmente atendendo a esses requisitos:
- Garantir a segurança dos dados pessoais
- Notificar imediatamente as autoridades e os titulares de dados sobre violações de dados pessoais
- Realizar avaliações de impacto de proteção de dados (DPIAs), conforme necessário
- Consultar as autoridades relevantes quando surgirem riscos sérios de dados
O processador de dados também deve permitir que o controlador de dados realize auditorias de conformidade durante o processamento. Durante as auditorias, o processador deve fornecer imediatamente ao controlador todas as informações relevantes para mostrar que cumpriu suas obrigações de conformidade nos termos do Artigo 28 do GDPR.
As melhores práticas também são para o processador manter registros de suas atividades de processamento para demonstrar conformidade com o GDPR.
O que acontece após uma violação de dados sob um DPA?
Se ocorrer uma violação de dados, as empresas envolvidas precisam tomar medidas específicas e imediatas. Sua empresa deve notificar a autoridade supervisora relevante dentro 72 de horas se a violação representar sérios riscos.
Se a violação representar um risco muito alto para as pessoas afetadas, sua empresa geralmente também deve notificar esses indivíduos. No entanto, se sua empresa já tiver protocolos de mitigação de risco técnicos e organizacionais eficazes em vigor, uma notificação pode não ser necessária.
Por exemplo, imagine que uma empresa de cartão de crédito sofreu uma violação de dados devido a um ataque aos servidores onde armazenou seus dados. As informações financeiras pessoais de seus clientes foram comprometidas. Seus nomes, endereços residenciais, informações de contato adicionais, detalhes financeiros e os detalhes dos tipos de pagamentos que fizeram em seus cartões de crédito tornaram-se públicos.
A empresa que hospeda os servidores precisaria notificar as autoridades sobre a violação dentro de 72 horas. Também seria necessário notificar a empresa do cartão de crédito.
A empresa provavelmente precisaria informar os consumidores, uma vez que a divulgação de suas informações de identificação pessoal poderia colocá-los em risco. A violação também pode levar à divulgação de informações de saúde confidenciais e protegidas dos consumidores se eles tivessem feito pagamentos médicos em seus cartões de crédito.
Quais são as penalidades pela não conformidade com o GDPR?
Se ocorrer uma violação de dados, a empresa considerada não conforme estará sujeita a ações disciplinares. Uma provável infração simplesmente recebe um aviso. Incidentes de não conformidade confirmados podem ficar sujeitos a uma ou mais dessas penalidades:
- Uma repreensão formal
- Proibição temporária ou permanente do processamento de dados
- Multa de até €20 milhões ou 4 % da receita global anual total da empresa
Contrate profissionais de segurança de dados para sua equipe com a Globalization Partners
Quando você estiver formando equipes internacionais focadas na segurança de dados, trabalhe com a Globalization Partners. Nossas equipes de profissionais podem ajudá-lo a entender os regulamentos do acordo de processamento de dados que se aplicam à sua empresa.
Ter diretores de proteção de dados e outros profissionais jurídicos em sua equipe é essencial para permanecer em conformidade com DPA. Como Employer of Record (EOR) global, a Globalization Partners ajuda você a contratar e pagar os talentos internacionais de que precisa para ter sucesso. Levamos a privacidade de dados muito a sério e podemos ajudá-lo a cumprir as leis trabalhistas locais e proteger suas informações confidenciais à medida que você escala sua empresa internacionalmente.
Na Globalization Partners, ajudamos você a acelerar seus processos de contratação. Usando nossa Global Employment Platform completa, você pode contratar e integrar novos membros de sua equipe com apenas alguns cliques, economizando tempo e simplificando sua abordagem para os desafios do crescimento internacional da empresa.
Solicite uma proposta hoje ou entre em contato conosco para saber mais sobre a contratação de profissionais de segurança de dados por meio da plataforma.
