O que é um Contrato DPA em SaaS?

Um Acordo de Processamento de Dados (DPA) SaaS é um contrato juridicamente vinculativo entre um provedor de software e um cliente que rege o tratamento de informações pessoais. Ele serve como um documento de conformidade exigido para leis de privacidade como o GDPR, indicando que o processamento de dados está em conformidade com os protocolos de segurança, padrões éticos e especificações do cliente.

Para cumprir o princípio “Privacy by Design”, as empresas precisam de um DPA como um arcabouço legal para considerações de terceirização de dados. A presença ou ausência de um acordo assinado referente às práticas de compartilhamento de dados de uma empresa com um provedor de nuvem terceirizado pode estar ligada a inquéritos legais, revisões regulatórias ou eventos de liberação de dados.

A implementação de um DPA pode estar associada a vários resultados:

•   A conformidade legítima através deste contrato é o principal fator para o Artigo 28 do GDPR e outras regulamentações internacionais.
•   A redução de riscos e a responsabilidade definida por vazamentos de dados são estabelecidas.
•   Melhorias de segurança resultam da exigência de que o fornecedor implemente medidas técnicas, como criptografia e autenticação multifator, que excedam os requisitos regulatórios.
•   A transparência nas medidas de proteção pode influenciar a confiança do cliente.

É um requisito legal elaborar um DPA quando um Controlador de Dados (a parte que recolhe os dados originalmente) decide contratar um Processador de Dados (ou seja, um fornecedor SaaS) para a gestão de dados pessoais. Por exemplo, se a sua ferramenta digital lida com e-mail, IP, nome ou registos de saúde de utilizadores que residem em jurisdições protegidas, um acordo de processamento de dados constitui uma base legal fundamental para a sua relação contratual.

Não precisa de um DPA quando:

•   São processados dados completamente anonimizados, que não podem ser rastreados até nenhum indivíduo.
•   Trata-se estritamente de dados de negócio, sem qualquer elemento de dados pessoais.
•   Ambas as entidades agem como controladores independentes, e não como uma estrutura de controlador-processador.

O DPA é uma descrição do equilíbrio de poder contratual entre duas partes distintas, visando identificar responsabilidades.

•   Controlador de Dados (Cliente): Ocupa a posição de proprietário dos dados. Eles iniciam o processo e desempenham um papel importante na “cadeia de responsabilidade” da aquisição do consentimento do usuário.
•   Processador de Dados (Fornecedor SaaS): Tem direitos limitados sobre os dados, exclusivamente em nome do controlador. Suas funções englobam a implementação de medidas de segurança adequadas, bem como as atempadas notificações de violação, e suporte no “direito ao esquecimento” dos usuários.

De acordo com as regulamentações de privacidade modernas, para que um DPA (Acordo de Processamento de Dados) seja considerado legalmente válido, ele deve conter um conjunto definido de cláusulas. Essas cláusulas representam as “regras de engajamento” ao longo do período de assinatura do software.

Sim, um DPA é um requisito direto para SaaS, pois o modelo de nuvem implica fundamentalmente que o fornecedor “processe” os dados que o cliente carrega. Uma concepção errônea comum é que um DPA é o mesmo que gerenciamento de cookies, mas eles abordam questões separadas.

Enquanto um Banner de Consentimento de Cookies se destina a obter a permissão de um visitante do site para rastreá-lo, um DPA funciona depois que essa permissão é concedida; ele gerencia a segurança dos dados coletados via cookies assim que os dados são armazenados nos servidores de um provedor SaaS.