Quando é legalmente exigido um DPA?

Sempre que um responsável pelo tratamento contrata um subcontratante para tratar dados pessoais de residentes na UE ou no EEE. Responsáveis e subcontratantes fora da UE são igualmente abrangidos se tratarem dados de residentes na UE. O Reino Unido tem um regime quase idêntico sob o UK GDPR.

Qual a diferença entre um DPA e um contrato de serviços?

Um contrato de serviços (ou acordo-quadro) cobre a relação comercial — âmbito, preço, SLA. Um DPA cobre especificamente a proteção de dados e pode ser um documento autónomo, um anexo ou uma secção do contrato principal. A maioria dos fornecedores SaaS maduros usa um DPA autónomo incorporado por referência.

Preciso de um DPA novo para cada cliente?

A maioria dos fornecedores mantém um único modelo DPA usado com todos os clientes, negociando apenas suplementos específicos (ex. lista concreta de subcontratantes ou frequência de auditoria). Um DPA padrão acelera o procurement; DPAs feitos à medida abrandam substancialmente os ciclos.

Acordo de Tratamento de Dados (DPA)

Data Processing Agreement · Acordo Artigo 28 RGPD · DPA RGPD

Um Acordo de Tratamento de Dados (DPA) é um contrato entre um responsável pelo tratamento e um subcontratante que define como os dados pessoais podem ser tratados em nome do responsável. Conforme o artigo 28 do RGPD, um DPA é obrigatório sempre que um responsável utiliza um subcontratante e deve abranger objeto, duração, âmbito e obrigações do subcontratante.

O que um DPA realmente faz

Um DPA traduz as obrigações abstratas do subcontratante ao abrigo do RGPD em compromissos contratuais concretos. Define quais dados são tratados e por quê, por quanto tempo, quem conta como subcontratante de segundo nível e como é aprovado, quais medidas de segurança se aplicam, como violações de dados são reportadas, como funcionam os direitos de auditoria, o que acontece no fim da relação e como transferências internacionais são geridas. Para qualquer fornecedor SaaS que armazena ou trata dados pessoais para clientes voltados para a UE, um DPA conforme é um pré-requisito de venda — equipas de procurement não assinam sem. Para clientes, o DPA é o que torna o fornecedor legalmente responsável pelos compromissos de segurança prometidos pelas páginas de marketing.

Por que importa

As coimas do RGPD são calculadas como percentagem do volume de negócios global, e os DPAs são o principal mecanismo contratual utilizado pelos responsáveis para atribuir risco de conformidade. Um DPA fraco deixa o responsável exposto se o subcontratante trata mal os dados; um DPA forte impõe compromissos concretos de segurança, direitos de auditoria e notificação rápida. Para fornecedores, a qualidade do DPA prevê a dimensão do negócio: clientes enterprise exigem DPAs maduros com listas específicas de subcontratantes, direitos de auditoria e prazos definidos. Um modelo genérico já não passa no procurement enterprise.

Armadilhas comuns

1.Lista de subcontratantes de segundo nível em falta ou desatualizada — o RGPD exige que o responsável saiba quem realmente toca nos seus dados.
2.Prazo de notificação de violação vago — "logo que possível" é substituído por horas concretas (24, 48, 72) em DPAs maduros.
3.Direitos de auditoria ausentes ou puramente hipotéticos — responsáveis normalmente precisam de auditoria no local ou relatório recente SOC 2 / ISO 27001.
4.Mecanismo de transferência internacional não especificado — após Schrems II, os DPAs devem nomear o mecanismo (CCC, decisão de adequação) e cobrir medidas suplementares.
5.Devolução ou eliminação de dados no fim é opcional — o RGPD torna-o obrigatório; o DPA deve especificar qual e quando.

Termos relacionados

Acordo de Confidencialidade (NDA)→Indenização→Due Diligence→

Perguntas frequentes

Quando é legalmente exigido um DPA?: Sempre que um responsável pelo tratamento contrata um subcontratante para tratar dados pessoais de residentes na UE ou no EEE. Responsáveis e subcontratantes fora da UE são igualmente abrangidos se tratarem dados de residentes na UE. O Reino Unido tem um regime quase idêntico sob o UK GDPR.
Qual a diferença entre um DPA e um contrato de serviços?: Um contrato de serviços (ou acordo-quadro) cobre a relação comercial — âmbito, preço, SLA. Um DPA cobre especificamente a proteção de dados e pode ser um documento autónomo, um anexo ou uma secção do contrato principal. A maioria dos fornecedores SaaS maduros usa um DPA autónomo incorporado por referência.
Preciso de um DPA novo para cada cliente?: A maioria dos fornecedores mantém um único modelo DPA usado com todos os clientes, negociando apenas suplementos específicos (ex. lista concreta de subcontratantes ou frequência de auditoria). Um DPA padrão acelera o procurement; DPAs feitos à medida abrandam substancialmente os ciclos.

O seu DPA com a Attorly está pronto para revisão

A Attorly fornece um DPA conforme ao artigo 28 do RGPD cobrindo criptografia em repouso e em trânsito, Bring-Your-Own-Key no Enterprise e notificação de violações em 72 horas.

Ver o DPA da Attorly