Acordo de Tratamento de Dados do RGPD (DPA): O Artigo 28 Explicado (2026)

Um acordo de tratamento de dados (DPA, na sigla em inglês) é um contrato vinculativo que o artigo 28 do RGPD exige que todo controlador celebre com cada operador antes que esse operador trate dados pessoais em nome do controlador. Sem um DPA em conformidade, ambas as partes ficam sujeitas a multas de até 20 milhões de euros ou 4% do faturamento global, nos termos do artigo 83(4).
O Que É um Acordo de Tratamento de Dados do RGPD?
Um acordo de tratamento de dados do RGPD é o contrato que o artigo 28(3) do Regulamento (UE) 2016/679 exige que um controlador celebre com cada operador que contratar para tratar dados pessoais. Ele estabelece o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais envolvidos, as categorias de titulares de dados, e as obrigações e os direitos do controlador. O acordo deve ser celebrado por escrito, inclusive em formato eletrônico, conforme especifica o artigo 28(9).
O artigo 28(1) exige que o controlador utilize apenas operadores que ofereçam garantias suficientes para implementar medidas técnicas e organizacionais adequadas. O DPA é o principal mecanismo pelo qual o controlador assegura e documenta essas garantias, situando-se na interseção entre a prestação de contas (accountability) e a responsabilidade civil. Nos termos do artigo 82, tanto controladores quanto operadores estão sujeitos a responsabilidade civil por danos causados por uma infração ao RGPD. A responsabilidade do operador é limitada às situações em que ele não cumpriu obrigações especificamente dirigidas a operadores ou agiu fora das instruções lícitas do controlador. Um DPA bem redigido define essas instruções com precisão, o que importa tanto para a fiscalização quanto para a atribuição de responsabilidade.
As Diretrizes 07/2020 do CEPD sobre os conceitos de controlador e operador, adotadas em sua forma final em 7 de setembro de 2021, ressaltam que a ausência de um DPA por escrito constitui, por si só, uma violação do artigo 28, independentemente de qualquer titular de dados ter sofrido dano. As autoridades de controle já aplicaram multas especificamente por acordos de tratamento ausentes ou inadequados. Para o contexto do marco mais amplo do RGPD, veja O Que É o RGPD?.
Controlador Versus Operador: Por Que a Distinção Importa
O artigo 4(7) define controlador como "a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais". O artigo 4(8) define operador como "uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do controlador".
O controlador decide o "por quê" e o "como" do tratamento: quais dados coletar, para qual finalidade, com base em qual fundamento legal e por quanto tempo. O operador atua dentro desses parâmetros. Ele executa tarefas técnicas ou organizacionais sobre os dados, mas não define de forma independente a finalidade, nem retém dados além das instruções do controlador, nem usa os dados em seu próprio benefício.
As Diretrizes 07/2020 do CEPD esclarecem que essa qualificação é funcional e factual, não contratual. Chamar uma entidade de "operador" em um contrato não a torna operador se, na prática, ela exerce julgamento independente sobre as finalidades ou os meios do tratamento. Uma entidade que se afasta do tratamento por instruções e passa a definir finalidades por conta própria torna-se um controlador e assume as obrigações de controlador, independentemente de como as partes rotularam a relação.
Essa distinção tem três consequências práticas. Primeiro, apenas o controlador precisa de um fundamento legal para o tratamento nos termos do artigo 6; o operador não precisa de um fundamento separado enquanto atuar dentro das instruções recebidas. Segundo, o controlador é o principal responsável perante as autoridades de controle pelo conteúdo do tratamento. Terceiro, as obrigações de auditoria, cooperação e assistência retornam ao controlador por meio do DPA.
Relações comuns de operador incluem provedores de armazenamento em nuvem que hospedam dados em nome do controlador; provedores de serviço de e-mail que transmitem comunicações; escritórios de folha de pagamento que tratam dados de funcionários seguindo as instruções do empregador; plataformas de análise que tratam dados de visitantes de sites conforme os termos do operador do site; e prestadores terceirizados de atendimento ao cliente que trabalham com um roteiro e um banco de dados definidos.
Nem todo terceiro que tem contato com dados pessoais é um operador. Controladores conjuntos (artigo 26), destinatários que recebem dados sob uma divulgação legítima, e entidades que tratam dados de forma independente para fins próprios não são operadores. Um provedor de infraestrutura em nuvem que trata dados apenas mediante instruções documentadas do cliente é claramente um operador. Uma empresa de análise de marketing que agrega dados de vários clientes, extrai suas próprias conclusões e vende essas conclusões a terceiros é, para esse tratamento independente, um controlador por direito próprio.
Quando um DPA É Exigido?
Um DPA é exigido sempre que um operador trata dados pessoais em nome de um controlador. O artigo 28(1) impõe essa obrigação ao controlador sem fazer distinção por setor, porte da organização, valor do contrato, volume de tratamento ou sensibilidade dos dados. Um fotógrafo autônomo que terceiriza os boletins informativos por e-mail para uma plataforma de automação de marketing precisa ter um DPA com essa plataforma. A obrigação surge antes de qualquer tratamento começar; um controlador que transfere dados a um operador sem um DPA por escrito prévio está em infração desde o momento em que os dados são transferidos.
Vários contextos em que os DPAs são frequentemente negligenciados, mas claramente exigidos:
Provedores de SaaS. Quando uma empresa assina uma plataforma SaaS que trata dados de clientes ou funcionários da empresa como parte da prestação do serviço, o fornecedor de SaaS é um operador e o DPA é obrigatório. A maioria dos grandes fornecedores publica DPAs padrão, mas o controlador continua responsável por verificar se esses documentos satisfazem integralmente o artigo 28(3).
Contratados de manutenção e suporte de TI. Um contratado com acesso temporário a sistemas para realizar manutenção em infraestrutura que contém dados pessoais está tratando esses dados em nome do controlador, mesmo que não se espere que ele leia ou use os dados. O próprio acesso constitui tratamento nos termos do artigo 4(2).
Análise e tecnologia de publicidade. Plataformas que instalam tecnologias de rastreamento no site de um controlador e tratam os dados de visitantes conforme a configuração do controlador atuam como operadoras nessas atividades, mesmo quando a plataforma trata simultaneamente dados para seus próprios fins de publicidade, na condição de controladora, em outra frente.
RH e folha de pagamento terceirizadas. Um escritório externo de folha de pagamento trata os dados pessoais dos funcionários estritamente para cumprir as obrigações trabalhistas do empregador; ele não determina a finalidade desse tratamento.
Provedores de infraestrutura em nuvem. Quando uma empresa executa suas próprias aplicações em infraestrutura de nuvem de terceiros, o provedor de nuvem está tratando dados pessoais em nome da empresa. Os grandes provedores oferecem DPAs padrão, mas o controlador não pode confiar apenas na publicação do fornecedor; é necessária uma aceitação ativa.
Um DPA não é exigido quando duas organizações tratam dados pessoais de forma independente para suas próprias finalidades separadas, cada uma atuando como controladora. Também não é exigido para controladores conjuntos, embora o artigo 26 exija um acordo separado entre eles.
As Oito Cláusulas Obrigatórias: O Artigo 28(3) na Íntegra
O artigo 28(3) especifica o conteúdo mínimo de um DPA em oito subitens. Cada um deles não é opcional; um DPA que omite ou enfraquece substancialmente qualquer um desses oito elementos não satisfaz o artigo 28.
| Cláusula | O Que Exige |
|---|---|
| Artigo 28(3)(a) | O operador trata os dados pessoais apenas mediante instruções documentadas do controlador, inclusive quanto a transferências para um país terceiro ou organização internacional, salvo se obrigado a fazê-lo pelo direito da União ou de um Estado-Membro; nesse caso, o operador deve informar o controlador antes do tratamento, salvo se esse direito proibir tal informação por razões importantes de interesse público. |
| Artigo 28(3)(b) | O operador garante que as pessoas autorizadas a tratar os dados pessoais tenham assumido um compromisso de confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada. |
| Artigo 28(3)(c) | O operador adota todas as medidas exigidas nos termos do artigo 32, ou seja, implementa medidas técnicas e organizacionais de segurança adequadas e proporcionais ao risco. |
| Artigo 28(3)(d) | O operador respeita as condições referidas no artigo 28(2) e (4) para contratar outro operador (um suboperador), incluindo a obtenção de autorização prévia do controlador e a transmissão de obrigações equivalentes ao suboperador. |
| Artigo 28(3)(e) | O operador presta assistência ao controlador, por meio de medidas técnicas e organizacionais adequadas, na medida do possível, para cumprir a obrigação do controlador de responder a pedidos de exercício dos direitos dos titulares de dados nos termos dos artigos 15 a 22. |
| Artigo 28(3)(f) | O operador presta assistência ao controlador para garantir o cumprimento das obrigações de segurança nos termos do artigo 32, da notificação de violação de dados nos termos dos artigos 33 e 34, das avaliações de impacto sobre a proteção de dados nos termos do artigo 35 e da consulta prévia nos termos do artigo 36, levando em conta a natureza do tratamento e as informações à disposição do operador. |
| Artigo 28(3)(g) | À escolha do controlador, o operador exclui ou devolve todos os dados pessoais ao controlador após o fim da prestação dos serviços de tratamento, e exclui as cópias existentes, salvo se o direito da União ou de um Estado-Membro exigir a conservação dos dados pessoais. |
| Artigo 28(3)(h) | O operador disponibiliza ao controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28, e permite e contribui para auditorias, incluindo inspeções, realizadas pelo controlador ou por outro auditor por ele mandatado. O operador deve informar imediatamente o controlador se, em sua opinião, uma instrução infringir o regulamento ou outras disposições de proteção de dados da União ou de um Estado-Membro. |
Além das oito cláusulas obrigatórias, o artigo 28(3) também exige que o contrato especifique o objeto e a duração do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais, as categorias de titulares de dados, e as obrigações e os direitos do controlador. Esses parâmetros definem o limite externo dentro do qual o operador atua licitamente.
Cláusula (a): Apenas Mediante Instruções
O requisito de instruções documentadas do artigo 28(3)(a) é o mecanismo de controle fundamental da relação com o operador. "Documentado" significa por escrito ou de outra forma registrado; instruções verbais não são suficientes para qualquer instrução relevante para o escopo do tratamento.
O próprio DPA estabelece as instruções primárias (categorias de dados, operações de tratamento permitidas, prazos de retenção), e o contrato de prestação de serviços as complementa com detalhes operacionais. Instruções pontuais fora do escopo original devem ser documentadas. A obrigação do operador de sinalizar qualquer instrução que considere violar o RGPD (prevista na última frase do artigo 28(3)) complementa essa cláusula: um operador que segue uma instrução ilícita sem sinalizá-la corre o risco de perder a proteção de responsabilidade que o cumprimento das instruções proporciona nos termos do artigo 82(3).
Quando o operador ou seus suboperadores operam infraestrutura fora do EEE, o DPA deve autorizar explicitamente essas transferências e identificar o mecanismo de transferência previsto no Capítulo V do RGPD. Veja o guia de Transferências Internacionais de Dados do RGPD.
Cláusula (c): Segurança do Artigo 32
O artigo 28(3)(c) impõe diretamente ao operador as obrigações do artigo 32. O artigo 32(1) especifica o que essas medidas de segurança devem contemplar: pseudonimização e cifragem; a capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas de tratamento; a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo hábil após um incidente físico ou técnico; e um processo de testagem e avaliação regulares da eficácia das medidas técnicas e organizacionais.
As medidas adequadas devem levar em conta o estado da técnica, os custos de implementação, e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco para os direitos e liberdades das pessoas físicas. O que é adequado para um operador que trata dados de análise anonimizados difere do que se exige para dados de saúde ou registros financeiros. Um DPA que não especifica os padrões de segurança esperados do operador para as categorias específicas de dados tratadas fica aquém do exigido.
Cláusula (f): Assistência na Notificação de Violações e nas AIPDs
O artigo 28(3)(f) impõe uma obrigação de cooperação sob pressão de tempo. Nos termos do artigo 33(1), um controlador deve notificar sua autoridade de controle sobre uma violação de dados pessoais sem demora injustificada e, sempre que possível, no prazo de 72 horas. Um controlador só consegue cumprir esse prazo se seu operador tiver sistemas para detectar, documentar e notificar o controlador prontamente.
O DPA deve especificar a obrigação do operador de notificar o controlador sobre qualquer potencial violação de dados dentro de um prazo definido (muitos DPAs usam de 24 a 48 horas) e de fornecer as informações do artigo 33(3): a natureza da violação, as categorias e o número aproximado de titulares de dados afetados, as categorias e o número aproximado de registros envolvidos, as consequências prováveis, e as medidas adotadas ou propostas. Uma referência genérica e vaga ao artigo 33 é inadequada.
A obrigação de assistência em AIPDs também é importante na prática. Nos termos do artigo 35, um controlador deve realizar uma avaliação de impacto sobre a proteção de dados antes de um tratamento suscetível de gerar um alto risco para os titulares de dados. Os operadores frequentemente detêm as informações técnicas necessárias para concluir a avaliação de risco, e o DPA deve especificar a obrigação de cooperação do operador.
Cláusula (h): Direitos de Auditoria
Os operadores costumam propor satisfazer o artigo 28(3)(h) por meio de certificações de auditoria de terceiros (ISO 27001 ou SOC 2 Tipo II), em vez de permitir ao controlador acesso direto aos sistemas e registros. As Diretrizes 07/2020 do CEPD confirmam que certificações de terceiros podem constituir evidência de conformidade, mas não podem excluir o direito do controlador de conduzir sua própria auditoria quando tiver preocupações específicas sobre conformidade. Uma disposição do DPA que substitui inteiramente o direito de auditoria por uma referência a uma certificação não satisfaz o artigo 28(3)(h) e já foi criticada pelas autoridades de controle.
Suboperadores e a Obrigação de Repasse
Um suboperador é qualquer terceiro que um operador contrata para realizar atividades específicas de tratamento em nome do controlador. O artigo 28(2) exige que o operador obtenha autorização prévia, específica ou geral, por escrito, do controlador, antes de contratar qualquer suboperador.
Quando o controlador concede uma autorização geral, o artigo 28(2) exige que o operador informe o controlador sobre quaisquer mudanças pretendidas relativas à adição ou substituição de suboperadores, dando ao controlador a oportunidade de se opor. O DPA deve incorporar um prazo de notificação suficiente para que o controlador exerça esse direito; muitos DPAs estabelecem um aviso prévio de 30 dias.
O artigo 28(4) estabelece a regra de repasse: quando um operador contrata um suboperador, ele deve impor a esse suboperador as mesmas obrigações de proteção de dados previstas no contrato entre controlador e operador. Se o suboperador não cumprir suas obrigações, o operador inicial continua totalmente responsável perante o controlador.
Todo elo de uma cadeia de tratamento deve estar vinculado a um acordo em conformidade com o artigo 28. A responsabilidade retorna integralmente ao operador, que, por sua vez, deve garantir proteções contratuais adequadas nos acordos posteriores com os suboperadores.
Controladores que gerenciam cadeias complexas de fornecedores devem mapear seus operadores e os suboperadores declarados por cada operador, como parte de seus registros de atividades de tratamento (artigo 30). Muitos operadores publicam listas de suboperadores e se comprometem a fornecer notificação prévia de mudanças.
As Cláusulas Contratuais-Padrão do Artigo 28 da Comissão
O RGPD permite que os DPAs se baseiem, total ou parcialmente, em cláusulas contratuais-padrão adotadas pela Comissão ou por uma autoridade de controle (artigo 28(6) e (7)).
A Decisão de Execução (UE) 2021/914, publicada no Jornal Oficial L 199/31 em 7 de junho de 2021, adotou as CCP para transferências internacionais de dados. Essa decisão contém quatro módulos, incluindo o Módulo 2 (controlador para operador) e o Módulo 3 (operador para operador), que regem as obrigações de transferência do Capítulo V quando o tratamento envolve uma transferência para fora do EEE. Essas CCP de transferência internacional são distintas das CCP do artigo 28, mas compatíveis com elas. Para uma explicação completa, veja o guia de Transferências Internacionais de Dados do RGPD.
A Decisão de Execução (UE) 2021/915, também publicada em 4 de junho de 2021, adotou cláusulas contratuais-padrão independentes especificamente para acordos entre controladores e operadores dentro da UE e do EEE (as "CCP do artigo 28"). As partes que as adotam sem modificação podem contar com a determinação de adequação da Comissão para essas cláusulas. Elas são estruturadas de forma modular e adaptável, com disposições opcionais claramente marcadas e anexos nos quais as partes preenchem seus parâmetros específicos de tratamento (categorias de dados, finalidades, medidas de segurança, listas de suboperadores).
As partes podem acrescentar termos comerciais adicionais junto com as CCP do artigo 28, desde que essas adições não contradigam as cláusulas obrigatórias nem reduzam a proteção dos titulares de dados. Quando as partes desejam incorporar tanto as CCP do artigo 28 quanto as CCP de transferência do Capítulo V em um único acordo, a orientação da Comissão confirma que os dois conjuntos de cláusulas podem ser combinados.
DPAs e Transferências Internacionais de Dados
Sempre que o tratamento sob um DPA envolver uma transferência de dados pessoais para fora do EEE, o DPA deve tratar da conformidade com o Capítulo V. O artigo 28(3)(a) já exige que o DPA abranja qualquer instrução de transferência de dados para um país terceiro.
Quando toda a relação de tratamento ocorre dentro do EEE, as CCP do artigo 28 cobrem a relação de forma completa. Quando o operador opera infraestrutura fora do EEE, mas o país de destino possui uma decisão de adequação da UE (por exemplo, o Reino Unido, o Japão, ou uma organização certificada pelo DPF dos EUA), o DPA deve identificar essa decisão de adequação como base da transferência e confirmar que o operador e quaisquer suboperadores que recebam dados estão cobertos por ela. Quando nenhuma decisão de adequação se aplica, o DPA deve incorporar o mecanismo aplicável do Capítulo V: para uma relação transfronteiriça entre controlador e operador, o Módulo 2 das CCP de transferência internacional de 2021, que também impõe uma Avaliação de Impacto da Transferência nos termos da Cláusula 14.
Um controlador que celebra um DPA em conformidade com o artigo 28 com um provedor de nuvem dos EUA, mas não incorpora separadamente o Módulo 2 das CCP de transferência internacional, está apenas parcialmente em conformidade: a relação de tratamento está regulada, mas a transferência em si não tem um fundamento legal válido. A lista de verificação de conformidade com o RGPD aborda as etapas necessárias para tratar de ambas as camadas.
Quem Redige o DPA?
O RGPD impõe ao controlador a obrigação de garantir que um DPA esteja em vigor. Na prática, os grandes operadores (fornecedores de SaaS e provedores de nuvem) costumam produzir o DPA padrão, pois transacionam com centenas ou milhares de controladores e não conseguem negociar um contrato personalizado com cada um deles.
Do ponto de vista do controlador, isso cria uma obrigação de diligência prévia, não uma obrigação de redação. Um controlador que assina o DPA de um operador sem verificar seu conteúdo não cumpriu suas obrigações de prestação de contas nos termos do artigo 5(2), mesmo que esse DPA seja, por acaso, adequado. Se o DPA padrão do operador for deficiente, o controlador deve negociar alterações ou buscar um operador que forneça um acordo em conformidade.
Controladores que contratam prestadores de serviço menores, que não oferecem seu próprio DPA padrão, devem redigir o acordo por conta própria ou usar as CCP do artigo 28 da Comissão como base. As CCP do artigo 28 estão publicamente disponíveis no site da Comissão e são de uso gratuito.
Em um acordo de controladores conjuntos nos termos do artigo 26, as obrigações do artigo 28 não se aplicam entre os controladores conjuntos. O artigo 26 exige um acordo transparente separado que regule suas respectivas responsabilidades, o qual opera sob regras diferentes das de um DPA.
Consequências de Não Ter um DPA
A ausência de um DPA em conformidade constitui uma infração independente ao RGPD. O artigo 83(4) lista o artigo 28 como uma disposição cuja violação está sujeita a multas administrativas de até 10.000.000 de euros ou 2% do faturamento anual mundial total, o que for maior. Quando a ausência de um DPA é sintomática de falhas mais amplas de prestação de contas, as autoridades de controle também já aplicaram o patamar superior do artigo 83(5), com base nos artigos 5 e 25.
As autoridades de controle também podem exercer poderes corretivos nos termos do artigo 58(2): emitir advertências, repreensões e ordens de conformidade; limitar ou proibir o tratamento, temporária ou permanentemente; e ordenar a suspensão de fluxos de dados para um operador. Uma proibição temporária de tratamento pode ser operacionalmente mais prejudicial do que uma multa, quando o operador fornece infraestrutura essencial para o negócio.
A responsabilidade civil nos termos do artigo 82 é um risco separado. Quando nenhum DPA definiu o escopo e as obrigações do operador, o controlador pode ter dificuldade em comprovar que o tratamento foi lícito. As decisões de fiscalização são públicas; a constatação de que uma empresa vinha tratando dados pessoais por meio de um prestador de serviço sem qualquer DPA sinaliza falhas sistêmicas de governança e tende a atrair um escrutínio mais amplo.
A fiscalização já documentada inclui a autoridade sueca de proteção de dados (IMY), que multou controladores por não terem acordos de tratamento adequados com fornecedores, e a Comissão de Proteção de Dados da Irlanda, que constatou acordos contratuais inadequados entre operador e controlador em grandes investigações do setor de tecnologia.
Principais Etapas Práticas Para Controladores
Mapear operadores. Identifique todo terceiro que trata dados pessoais em nome do controlador. Os registros de atividades de tratamento exigidos pelo artigo 30 são o instrumento natural para esse exercício. Um DPA por escrito em conformidade deve estar em vigor antes que os dados sejam transferidos a cada operador identificado.
Avaliar a adequação. O artigo 28(1) exige diligência prévia sobre as medidas técnicas e organizacionais de segurança de cada operador, os acordos de suboperadores, os procedimentos de notificação de violações, a postura de cooperação em auditorias e a capacidade de auxiliar com pedidos de direitos dos titulares de dados. A diligência prévia pode incluir a análise de certificações de auditoria de terceiros, a aplicação de questionários de segurança a fornecedores e a análise da documentação de privacidade do operador.
Executar um DPA em conformidade. Usar as CCP do artigo 28 da Comissão é a rota mais direta para satisfazer as cláusulas obrigatórias. Quando o tratamento envolve transferências internacionais, o Módulo 2 das CCP de transferência internacional da Comissão também deve ser incorporado ou executado separadamente.
Gerenciar mudanças de suboperadores. Quando o DPA prevê autorização geral de suboperadores, estabeleça um processo para receber e analisar notificações de mudança de suboperadores e para exercer o direito de oposição quando um suboperador proposto suscitar preocupações de conformidade.
Manter os DPAs. Os operadores atualizam seus serviços, acrescentam suboperadores, mudam de centros de dados e revisam medidas de segurança. Os DPAs devem ser revisados sempre que ocorrer uma mudança relevante nas atividades de tratamento abrangidas.
Para orientação sobre como o DPA se encaixa no programa mais amplo de conformidade com o RGPD, veja a lista de verificação de conformidade com o RGPD.
Escopo jurisdicional: Este artigo aborda o requisito de acordo de tratamento de dados nos termos do Regulamento (UE) 2016/679 (RGPD), que se aplica na União Europeia e no Espaço Econômico Europeu, incluindo sua aplicação a operadores e controladores estabelecidos fora da UE/EEE que estejam sujeitos ao alcance extraterritorial do RGPD nos termos do artigo 3. Este artigo não trata separadamente do UK GDPR (que mantém requisitos equivalentes do artigo 28 após o Brexit) nem de contratos de tratamento específicos de setor sob as regras de proteção de dados das instituições da União previstas no Regulamento (UE) 2018/1725.
Aviso legal: Este artigo fornece informações jurídicas gerais sobre o artigo 28 do RGPD e os acordos de tratamento de dados, atualizadas até junho de 2026. Ele não constitui aconselhamento jurídico e não deve ser utilizado como tal. Os requisitos legais descritos refletem o RGPD e a orientação oficial da Comissão e do CEPD na data de publicação. As leis e as orientações podem mudar. Consulte um advogado qualificado, licenciado em sua jurisdição, para obter aconselhamento específico sobre as circunstâncias da sua organização.
Frequently Asked Questions
O que é um acordo de tratamento de dados segundo o RGPD?
Um acordo de tratamento de dados (DPA) é um contrato por escrito que o artigo 28 do RGPD exige que um controlador celebre com cada operador antes de esse operador tratar dados pessoais em nome do controlador. O DPA deve estabelecer o objeto, a duração, a natureza e a finalidade do tratamento, e deve incluir as oito categorias de obrigações obrigatórias listadas no artigo 28(3), incluindo o dever do operador de seguir apenas instruções documentadas, manter a confidencialidade, implementar medidas de segurança, gerenciar suboperadores, auxiliar nos direitos dos titulares de dados, auxiliar na notificação de violações e nas AIPDs, excluir ou devolver os dados ao fim da relação, e cooperar com auditorias.
Quando você precisa de um DPA do RGPD?
Um DPA é exigido sempre que um operador trata dados pessoais em nome de um controlador. A obrigação se aplica independentemente do setor, do porte da organização, do valor do contrato ou da sensibilidade dos dados envolvidos. Ela se aplica antes de qualquer tratamento começar. Exemplos comuns em que os DPAs são exigidos incluem provedores de armazenamento em nuvem que hospedam os dados de um controlador, plataformas SaaS que tratam registros de clientes, escritórios de folha de pagamento que tratam dados de funcionários, provedores de análise que tratam dados de visitantes de sites, e contratados de suporte de TI com acesso a sistemas que contêm dados pessoais. Um DPA não é exigido entre controladores conjuntos (que têm uma obrigação separada nos termos do artigo 26) nem quando o terceiro trata os dados de forma inteiramente independente para seus próprios fins.
O que um DPA do RGPD deve incluir?
O artigo 28(3) especifica oito categorias de cláusulas obrigatórias: (a) tratar apenas mediante instruções documentadas do controlador; (b) garantir que a equipe autorizada esteja vinculada à confidencialidade; (c) implementar as medidas de segurança do artigo 32; (d) cumprir os requisitos de autorização e repasse relativos a suboperadores; (e) auxiliar o controlador com os pedidos de direitos dos titulares de dados; (f) auxiliar na notificação de violações nos termos dos artigos 33 e 34, nas AIPDs nos termos do artigo 35, e na consulta prévia nos termos do artigo 36; (g) excluir ou devolver todos os dados pessoais após o fim dos serviços; e (h) disponibilizar informações para auditorias e inspeções e informar imediatamente o controlador sobre qualquer instrução que pareça infringir o RGPD. Além dessas cláusulas, o DPA também deve especificar o objeto, a duração, a natureza, a finalidade, os tipos de dados e as categorias de titulares de dados do tratamento.
Quem fornece o DPA: o controlador ou o operador?
A obrigação legal de garantir que um DPA esteja em vigor recai sobre o controlador, nos termos do artigo 28(1). Na prática, os grandes operadores (provedores de nuvem e fornecedores de SaaS) costumam redigir e publicar DPAs padrão que os controladores são convidados a aceitar. O controlador não pode delegar sua obrigação legal ao operador simplesmente assinando um DPA sem revisar seu conteúdo. O controlador deve verificar se qualquer DPA fornecido pelo operador satisfaz todos os oito elementos do artigo 28(3). Quando o operador não oferece um DPA padrão, o controlador deve redigir um ou usar as cláusulas contratuais-padrão do artigo 28 da Comissão (Decisão de Execução (UE) 2021/915) como base.
Qual é a diferença entre um controlador e um operador segundo o RGPD?
O artigo 4(7) define controlador como a entidade que determina as finalidades e os meios do tratamento de dados pessoais, ou seja, decide por que os dados são tratados e como. O artigo 4(8) define operador como uma entidade que trata dados pessoais em nome do controlador, seguindo as instruções do controlador, sem determinar de forma independente a finalidade do tratamento. As Diretrizes 07/2020 do CEPD confirmam que essa distinção é funcional e factual: rotular uma parte como operador em um contrato não a torna operador se ela exerce controle independente sobre as finalidades. Um operador que passa a determinar as finalidades do tratamento por conta própria torna-se um controlador nos termos do artigo 28(10) e assume a responsabilidade integral de um controlador.
As cláusulas contratuais-padrão da Comissão podem ser usadas como um DPA?
Sim. A Decisão de Execução (UE) 2021/915, de 4 de junho de 2021, adotou cláusulas contratuais-padrão especificamente para as relações entre controlador e operador nos termos do artigo 28. Essas CCP do artigo 28 fornecem um modelo pré-aprovado que satisfaz automaticamente os requisitos de cláusulas obrigatórias do artigo 28(3) quando usadas sem modificação. As partes preenchem os anexos com seus parâmetros específicos de tratamento (categorias de dados, finalidades, medidas de segurança, listas de suboperadores). As CCP do artigo 28 são distintas das CCP de transferência internacional de 2021, previstas na Decisão (UE) 2021/914; quando transferências internacionais também estão envolvidas, ambos os conjuntos de cláusulas podem ser necessários.
Quais são as consequências de não ter um DPA?
A ausência de um DPA em conformidade é uma infração independente ao RGPD, sujeita a multas administrativas de até 10 milhões de euros ou 2% do faturamento anual mundial total, nos termos do artigo 83(4). Quando o DPA ausente faz parte de falhas mais amplas de prestação de contas, também podem ser aplicadas multas mais altas nos termos do artigo 83(5). Além das multas, as autoridades de controle podem emitir proibições de tratamento nos termos do artigo 58(2), o que pode paralisar as operações da empresa. Os controladores também podem enfrentar responsabilidade civil nos termos do artigo 82, movida por titulares de dados que sofrerem danos. Decisões de fiscalização que constataram acordos de tratamento ausentes ou inadequados já foram emitidas por várias autoridades de controle da UE, incluindo a IMY sueca e a Comissão de Proteção de Dados da Irlanda.
O que são suboperadores e como o artigo 28 os regula?
Um suboperador é um terceiro que um operador contrata para realizar atividades específicas de tratamento em nome do controlador. O artigo 28(2) exige que o operador obtenha autorização prévia, específica ou geral, por escrito, do controlador, antes de contratar qualquer suboperador. Quando a autorização geral é concedida, o operador deve notificar o controlador sobre quaisquer mudanças de suboperadores e dar ao controlador a oportunidade de se opor. Nos termos do artigo 28(4), o operador deve impor a cada suboperador as mesmas obrigações de proteção de dados previstas no DPA entre controlador e operador, e o operador continua totalmente responsável perante o controlador se o suboperador não cumprir suas obrigações.
Um DPA precisa tratar de transferências internacionais de dados?
Se o operador ou qualquer um de seus suboperadores transferir dados pessoais para fora do EEE, o DPA deve tratar da conformidade com o Capítulo V. O artigo 28(3)(a) exige que o DPA abranja qualquer instrução de transferência de dados para um país terceiro. Quando uma decisão de adequação válida cobre o destino, o DPA deve identificá-la. Quando nenhuma decisão de adequação se aplica, o DPA deve incorporar o mecanismo relevante do Capítulo V, que, para uma transferência de controlador para operador, geralmente é o Módulo 2 das Cláusulas Contratuais-Padrão de 2021, previstas na Decisão de Execução (UE) 2021/914. As CCP do artigo 28 e as CCP de transferência internacional podem ser combinadas em um único acordo.
O que significa "instruções documentadas" em um DPA do RGPD?
O artigo 28(3)(a) exige que o operador trate os dados pessoais apenas mediante instruções documentadas do controlador. "Documentado" significa por escrito ou de outra forma registrado. O próprio DPA constitui o conjunto principal de instruções, especificando as operações de tratamento permitidas, as categorias de dados, as finalidades e os prazos de retenção. Instruções pontuais dadas durante a relação de prestação de serviço também devem ser documentadas para serem válidas. A última frase do artigo 28(3) impõe ao operador a obrigação de informar imediatamente o controlador se, em sua opinião, qualquer instrução infringir o RGPD ou outra [legislação de proteção de dados](/us-laws/data-privacy-laws) aplicável. Um operador que segue uma instrução que sabe ser ilícita, sem sinalizar o problema, corre o risco de perder a proteção de responsabilidade que o cumprimento de instruções documentadas proporciona nos termos do artigo 82(3).
Sources and References
- Regulamento (UE) 2016/679 do RGPD, artigos 4, 28, 32, 33, 35, 82 e 83(eur-lex.europa.eu)
- Decisão de Execução (UE) 2021/914 da Comissão, Cláusulas Contratuais-Padrão para Transferências Internacionais(eur-lex.europa.eu)
- Decisão de Execução (UE) 2021/915 da Comissão, Cláusulas Contratuais-Padrão entre Controladores e Operadores(eur-lex.europa.eu)
- Diretrizes 07/2020 do CEPD sobre os Conceitos de Controlador e Operador Segundo o RGPD(edpb.europa.eu)
- Comissão Europeia, Cláusulas Contratuais-Padrão para Transferências de Dados(commission.europa.eu)