O que é um Contrato DPA em SaaS?

Um Acordo de Processamento de Dados SaaS (DPA) é um contrato juridicamente vinculativo entre um provedor de software e um cliente que regula o tratamento de informações pessoais. Ele serve como um documento de conformidade obrigatório para leis de privacidade como a GDPR, indicando que o processamento de dados está em conformidade com protocolos de segurança, padrões éticos e especificações do cliente.

Para cumprir o princípio “Privacy by Design”, as empresas precisam de um DPA como uma estrutura legal para considerações de terceirização de dados. A presença ou ausência de um acordo assinado referente às práticas de compartilhamento de dados de uma empresa com um provedor de nuvem terceirizado pode estar ligada a inquéritos legais, revisões regulatórias ou eventos de liberação de dados.

A implementação de um DPA pode estar associada a vários resultados:

•   A conformidade legítima através deste contrato é o principal fator para o Artigo 28 do GDPR e outras regulamentações internacionais.
•   Redução de riscos e responsabilidade definida para vazamentos de dados são estabelecidas.
•   As melhorias de segurança resultam da exigência de que o fornecedor implemente medidas técnicas, como criptografia e autenticação multifator, que excedem os requisitos regulatórios.
•   A transparência nas medidas de proteção pode influenciar a confiança do cliente.

É um requisito legal elaborar um DPA quando um Controlador de Dados (a parte que originalmente coleta os dados) decide contratar um Processador de Dados (ou seja, um fornecedor SaaS) para a gestão de dados pessoais. Por exemplo, se sua ferramenta digital lida com e-mail, IP, nome ou registros de saúde de usuários que residem em jurisdições protegidas, um contrato de processamento de dados forma uma base legal fundamental para o seu relacionamento contratual.

Não é necessário um DPA quando:

•   Você está processando dados completamente anonimizados, que não podem ser vinculados a nenhum indivíduo.
•   Trata-se exclusivamente de dados de negócio, sem qualquer elemento de dados pessoais.
•   Ambas as entidades atuam como controladores independentes, não em uma estrutura de controlador-processador.

O DPA é uma descrição do equilíbrio de poder contratual entre duas partes distintas, visando identificar responsabilidades.

•   Controlador de Dados (Cliente): Ocupa a posição de proprietário dos dados. Ele inicia o processo e desempenha um papel fundamental na “cadeia de responsabilidade” da obtenção do consentimento do usuário.
•   Operador de Dados (Fornecedor SaaS): Possui direitos limitados sobre os dados, agindo exclusivamente em nome do controlador. Suas obrigações abrangem a implementação de medidas de segurança adequadas, tempestivas notificações de violação, e suporte no “direito de ser esquecido” dos usuários.

De acordo com as regulamentações de privacidade modernas, para que um DPA (Acordo de Processamento de Dados) seja considerado legalmente válido, ele deve conter um conjunto definido de cláusulas. Essas cláusulas representam as “regras de engajamento” durante todo o período de assinatura do software.

Sim, um DPA é um requisito direto para SaaS, pois o modelo de nuvem fundamentalmente implica que o fornecedor “processa” os dados que o cliente carrega. Um equívoco comum é que um DPA é o mesmo que gerenciamento de cookies, mas eles tratam de questões separadas.

Enquanto um Banner de Consentimento de Cookies tem como objetivo obter a permissão de um visitante do site para rastreá-lo, um DPA funciona depois que essa permissão foi concedida; ele gerencia a segurança dos dados coletados via cookies, uma vez que os dados são armazenados nos servidores de um provedor de SaaS.