Um acordo de tratamento de dados (DPA, na sigla em inglês) é o contrato que rege a forma como um fornecedor trata dados pessoais em seu nome.
Antes de assinar com qualquer fornecedor, pergunte sobre:
- localização de armazenamento dos dados
- subprocessadores
- prazos de notificação de violações
- práticas de treino de IA
- direitos de auditoria e
- procedimentos de eliminação.
Os requisitos diferem entre o RGPD, o RGPD do Reino Unido e as leis estaduais de privacidade dos EUA, e cada jurisdição exige linguagem contratual específica.
Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico. As organizações devem consultar advogados qualificados para obter orientação específica de cada jurisdição sobre acordos de tratamento de dados e conformidade com as leis de privacidade.
Por que motivo o DPA do seu fornecedor é um documento de conformidade e um sinal de risco
Assinar um contrato com um fornecedor de software é rotina. Mas enviar gravações, partilhar dados de clientes ou conectar uma ferramenta de inteligência de reuniões ao seu calendário tem implicações bem diferentes.
Do ponto de vista jurídico, a partir do momento em que os dados pessoais passam para um subcontratante terceiro, a responsabilidade pelo que lhes acontece continua a ser sua.
Esse é o princípio central por trás dos requisitos de DPA: o responsável pelo tratamento (a organização que determina as finalidades e os meios do tratamento) continua a responder pela conduta do subcontratante.
Na Europa
Nos termos do artigo 28 do RGPD, essa responsabilidade é estrutural. Um DPA bem redigido documenta que a relação foi devidamente regida. Um DPA mal redigido, ou a sua ausência, deixa essa responsabilidade por atribuir.
Os números da aplicação da lei tornam isto concreto. Segundo o DLA Piper GDPR Fines and Data Breach Survey (janeiro de 2026), as multas acumuladas do RGPD desde maio de 2018 atingiram 7,1 mil milhões de euros, com cerca de 1,2 mil milhões aplicados só em 2025.
O mesmo estudo apontou um aumento de 22% nas notificações de violações em relação ao ano anterior, de 363 para 443 por dia — a primeira vez que a média diária ultrapassa as 400 desde a entrada em vigor do RGPD.
Nos Estados Unidos
Nos EUA, as sanções da CCPA/CPRA podem chegar a 7.988 dólares por violação intencional, segundo os limites da CPPA ajustados à inflação (IPC).
As organizações dos EUA assumem muitas vezes que os DPAs são um requisito europeu. Não são.
A CCPA/CPRA exige contratos escritos de prestação de serviços que proíbam especificamente vender os dados, divulgá-los a terceiros ou combiná-los com informações pessoais que o fornecedor tenha obtido por conta própria
O Colorado, a Virgínia, o Connecticut e outros estados com leis de privacidade em vigor exigem acordos semelhantes. O termo jurídico varia; a substância é a mesma.
📚 Leia também:
Antes de fazer qualquer pergunta: entenda em que tipo de relação de tratamento de dados se encontra
Numa relação responsável–subcontratante, é você quem determina as finalidades e os meios do tratamento, e o fornecedor age segundo as suas instruções. Um DPA padrão, nos termos do artigo 28 do RGPD, rege esta relação. É o modelo que se aplica à maioria das ferramentas SaaS.
Por outro lado, numa relação entre responsáveis pelo tratamento, o fornecedor trata os dados para finalidades próprias e independentes. Se um fornecedor desenvolve produtos, executa análises ou treina modelos de IA com os seus dados, pode atuar como responsável pelo tratamento nessas atividades, mesmo quando age simultaneamente como subcontratante noutras.
Nesse caso, um DPA padrão de subcontratação não cobre as atividades do fornecedor enquanto responsável pelo tratamento. Se o DPA não distingue explicitamente os dois papéis, o acordo tem uma fraqueza estrutural que nenhuma negociação sobre prazos de notificação ou listas de subprocessadores conseguirá corrigir.
Antes de enviar as perguntas abaixo, confirme: que papel desempenha este fornecedor, e o DPA reflete a relação real?
📚 Leia também:
As perguntas a fazer ao fornecedor — e o que distingue uma boa resposta
Estes são critérios para avaliar se um DPA é genuinamente protetor. A capacidade de um fornecedor de lhes responder de forma rápida e específica indica se a infraestrutura de conformidade existe realmente ou foi montada retroativamente.
1. Onde são armazenados e tratados os meus dados?
A residência de dados determina que quadro jurídico rege os seus dados e se são necessários mecanismos de transferência internacional.
Para organizações da UE e do Reino Unido, transferir dados para um país sem decisão de adequação exige Cláusulas Contratuais-Tipo (SCCs) para transferências da UE, ou o UK International Data Transfer Agreement (UK IDTA) para transferências a partir do Reino Unido.
Estes mecanismos não são intercambiáveis.
📌 Uma nuance crítica: A localização dos servidores e a jurisdição da entidade jurídica são duas coisas diferentes. Um fornecedor com sede nos EUA e centros de dados na UE continua sujeito ao CLOUD Act norte-americano, que pode obrigar à entrega de dados independentemente do local onde estes se encontram fisicamente.
Pergunte especificamente se a entidade jurídica do fornecedor está constituída na UE ou no EEE, e não apenas onde ficam os servidores.
No caso de fornecedores dos EUA, verifique se o fornecedor participa no EU-US Data Privacy Framework, confirmado pelo Tribunal Geral da UE em setembro de 2025. Um recurso no TJUE (processo C-703/25 P) continua pendente em meados de 2026, pelo que as organizações que dependem do DPF devem manter as SCCs como salvaguarda paralela.
✅ Bom sinal: Entidade constituída na UE com centros de dados exclusivamente na UE, ou fornecedor dos EUA com certificação DPF ativa e SCCs.
❌ Sinal de alerta: “Infraestrutura global” sem detalhes de jurisdição, ou incapacidade de confirmar o país de constituição da entidade jurídica.
2. Quem são os seus subprocessadores e como são controlados?
Os subprocessadores são os terceiros de que o seu fornecedor depende para prestar o serviço.
Nos termos do artigo 28 do RGPD, devem estar sujeitos às mesmas obrigações de proteção de dados que o subcontratante principal. A CPRA também impõe requisitos explícitos de repercussão dessas obrigações em toda a cadeia.
Pergunte se o fornecedor mantém uma lista de subprocessadores atualizada e acessível ao público; como e quando os clientes são notificados de novos subprocessadores; e de quanto tempo os clientes dispõem para se opor.
✅ Bom sinal: Lista pública de subprocessadores com notificações de alterações e uma janela de objeção de 30 dias.
❌ Sinal de alerta: Pré-aprovação genérica de todos os subprocessadores atuais e futuros, sem qualquer obrigação de notificação.
3. Vão usar os meus dados para treinar modelos de IA?
Muitos fornecedores de IA reservam-se o direito de usar os dados dos clientes para melhorar os seus modelos. Esse direito muitas vezes não aparece no DPA; vive nos termos de serviço, sob uma linguagem tão inócua como “para melhorar os nossos serviços”.
A distinção é importante: uma política de privacidade pode mudar unilateralmente. Uma cláusula de DPA, não. Uma configuração do produto não é um contrato.
Pergunte especificamente se o DPA inclui uma proibição contratual explícita de usar o conteúdo dos clientes (gravações, transcrições, resumos) para treinar, ajustar ou melhorar modelos de IA, e se essa proibição é o comportamento predefinido ou exige um opt-out por parte do cliente.
✅ Bom sinal: Proibição contratual explícita e vinculativa de treino de IA, sem exceções.
❌ Sinal de alerta: A proibição de treino existe apenas como configuração do produto; o DPA não menciona sequer o treino de IA.
4. Que certificações de segurança possuem e conseguem documentá-las?
O artigo 32 do RGPD exige que os subcontratantes implementem medidas técnicas e organizativas (TOMs) adequadas ao risco.
Uma linguagem genérica no DPA, como “práticas de segurança comercialmente razoáveis”, não é suficiente; o acordo deve nomear salvaguardas específicas.
As certificações são o indicador mais rápido. Peça um relatório SOC 2 Type II atual (não Type I, nem um relatório com mais de 12 meses). Confirme que as normas de encriptação estão especificadas no DPA (AES-256 em trânsito e em repouso).
✅ Bom sinal: Relatório SOC 2 Type II atual disponível mediante NDA; normas de proteção dos dados nomeadas no DPA.
❌ Sinal de alerta: Certificações mencionadas no marketing, mas não documentáveis; apenas um relatório SOC 2 Type I disponível.
5. Com que rapidez me notificam de uma violação de dados?
O artigo 33 do RGPD exige que os responsáveis pelo tratamento notifiquem as autoridades de proteção de dados no prazo de 72 horas após tomarem conhecimento de uma violação.
Como esse prazo começa a contar quando o responsável pelo tratamento toma conhecimento da violação, um subcontratante lento consome diretamente a janela de resposta. O RGPD do Reino Unido segue a mesma regra.
O DPA deve especificar uma janela máxima de notificação, e não apenas descrever a notificação como “imediata” ou “sem demora injustificada”. Ambas as expressões têm peso jurídico, mas são operacionalmente vagas.
✅ Bom sinal: O DPA especifica a notificação num prazo máximo de 72 horas após a descoberta, com um contacto de escalamento designado.
❌ Sinal de alerta: “Imediatamente” ou “sem demora injustificada”, sem prazo concreto; violação definida de forma tão restrita que exclui incidentes relevantes para a sua organização.
6. Quais são os meus direitos de auditoria e como os exerço?
O artigo 28 do RGPD dá aos responsáveis pelo tratamento o direito de auditar os subcontratantes e de obter toda a informação necessária para demonstrar a conformidade.
Na prática, o direito de solicitar um relatório SOC 2 Type II atual é o mecanismo operacional.
Pergunte se o DPA aceita explicitamente um relatório de auditoria de terceiros como cumprimento desta obrigação, se especifica um período de pré-aviso (30 dias é o padrão) e se estende algum direito de auditoria aos subprocessadores.
✅ Bom sinal: Relatório SOC 2 Type II reconhecido como cumprimento da auditoria; período de pré-aviso de 30 dias especificado; algum mecanismo de verificação da conformidade dos subprocessadores.
❌ Sinal de alerta: Direito de auditoria vago; uma página web pública citada como cumprimento da obrigação; nenhum mecanismo de auditoria dos subprocessadores.
7. Como e quando serão eliminados os meus dados?
O DPA deve especificar um calendário de retenção, os eventos que desencadeiam a eliminação e se o fornecedor emite uma certificação escrita de eliminação no final do contrato.
Pergunte se a eliminação abrange todas as cópias (incluindo backups e cópias em subprocessadores) e se derivados anonimizados são conservados depois de a relação terminar.
✅ Bom sinal: Calendário de retenção definido; eliminação no prazo de 30 dias após a rescisão; certificação escrita disponível; cobertura que inclui os backups.
❌ Sinal de alerta: Retenção regida pela política de privacidade do fornecedor e não pelo DPA; nenhuma certificação de eliminação fornecida.
8. Que jurisdições cobre o seu DPA?
Um DPA redigido para a conformidade com o RGPD não satisfaz automaticamente as obrigações do RGPD do Reino Unido.
Depois do Brexit, o Reino Unido opera um regime separado, e o UK IDTA (e não as SCCs da UE) é o mecanismo exigido para transferências internacionais a partir do Reino Unido.
Para organizações dos EUA abrangidas pela CCPA, o DPA deve proibir explicitamente o fornecedor de vender, reter ou divulgar informações pessoais para qualquer finalidade além do serviço contratado.
✅ Bom sinal: RGPD, RGPD do Reino Unido e CCPA/CPRA nomeados explicitamente; UK IDTA incluído para transferências do Reino Unido; adenda CCPA com proibições específicas enumeradas.
❌ Sinal de alerta: Fórmula genérica “leis de proteção de dados aplicáveis” sem mecanismos específicos por jurisdição; nenhuma referência ao Reino Unido como jurisdição distinta.
📚 Leia também:
A checklist do DPA do fornecedor num relance
| Pergunta | O que o DPA deve dizer | Bom sinal | Sinal de alerta |
|---|---|---|---|
| Onde são armazenados e tratados os dados? | Cláusula de residência de dados; mecanismo de transferência internacional nomeado | Entidade na UE + servidores na UE, ou fornecedor dos EUA certificado pelo DPF | “Infraestrutura global” sem detalhes de jurisdição |
| Quem são os subprocessadores? | Lista de subprocessadores; direitos de notificação e de objeção | Lista pública com notificações de atualizações; janela de objeção de 30 dias | Pré-aprovação genérica; nenhuma obrigação de notificação |
| Os meus dados são usados para treinar modelos de IA? | Proibição contratual explícita de treino de IA | Proibição vinculativa no DPA, sem exceções | Apenas opt-out; a proibição existe só como configuração do produto |
| Que certificações de segurança se aplicam? | TOMs específicas; mecanismo de documentação | Relatório SOC 2 Type II atual mediante NDA; ISO 27001 com detalhes do certificado | Certificações citadas no marketing, mas não documentáveis |
| Quais são os termos de notificação de violações? | Prazo concreto, não “imediatamente” | 72 horas após a descoberta; contacto de escalamento designado | “Imediatamente”, sem janela definida |
| Quais são os meus direitos de auditoria? | Direito de auditar ou de solicitar relatórios; mecanismo para o exercer | SOC 2 reconhecido como cumprimento da auditoria; pré-aviso de 30 dias | Direito de auditoria vago; página web pública citada como cumprimento da obrigação |
| Quando e como são eliminados os meus dados? | Calendário de retenção; certificação de eliminação | Eliminação em 30 dias após a rescisão; certificação escrita; abrange os backups | Retenção regida pela política de privacidade; sem certificação de eliminação |
| Que jurisdições são cobertas? | RGPD, RGPD do Reino Unido e CCPA nomeados explicitamente, com mecanismos específicos por jurisdição | Todos os quadros relevantes nomeados; UK IDTA para transferências do Reino Unido | Apenas RGPD, com uma referência genérica a “leis aplicáveis” |
O que fazer quando o DPA de um fornecedor não está à altura?
Um DPA que falha alguns destes critérios não torna automaticamente o fornecedor inviável; mas é um fornecedor com quem tem de negociar antes de assinar.
As cláusulas de DPA de nível enterprise são, em geral, negociáveis: janelas de notificação de subprocessadores, prazos de eliminação, cobertura jurisdicional e a linguagem de proibição de treino de IA são pontos habitualmente modificados.
Se o contrato padrão de um fornecedor não inclui nenhum DPA, solicite um explicitamente durante o onboarding. Os fornecedores de SaaS sediados nos EUA disponibilizam-no frequentemente, mediante pedido, como uma adenda de tratamento de dados separada.
Um fornecedor que não consegue apresentar um, ou que trata o pedido como algo incomum, sinaliza que a conformidade não está incorporada na forma como opera. Trata-se de um risco material de fornecedor, independente da qualidade do produto.
O que caracteriza um DPA conforme na prática
As ferramentas de áudio e de inteligência de reuniões apresentam uma versão mais aguda do problema do DPA do que a maioria das categorias de software.
As gravações contêm as vozes dos participantes, o conteúdo das reuniões e dados de conversas: tudo dados pessoais que exigem um tratamento cuidadoso. O DPA que rege essa relação deve refletir a sensibilidade do que é tratado.
📌 Eis o que isto significa, na prática, para a HappyScribe:
O centro de dados da HappyScribe fica na União Europeia. É uma instalação Tier IV, certificada segundo as normas PCI DSS e ISO 27001. Os servidores estão fisicamente separados dos de outros clientes.
A empresa possui a certificação SOC 2 Type II, com os detalhes disponíveis no seu Trust Center. Permissões baseadas em funções estão disponíveis em todas as contas. Os colaboradores assinam NDAs como condição de contratação, o que limita o acesso interno ao conteúdo dos clientes.
Perguntas frequentes sobre acordos de tratamento de dados
Qual é a diferença entre um acordo de tratamento de dados e um acordo de partilha de dados?
Um DPA rege uma relação responsável–subcontratante: o subcontratante trata os dados segundo as instruções do responsável pelo tratamento e não os pode usar para finalidades próprias.
Já um acordo de partilha de dados rege um arranjo entre responsáveis pelo tratamento, em que ambas as partes determinam a finalidade de forma independente. Se um fornecedor define finalidades próprias para os seus dados, um DPA por si só é insuficiente.
As empresas dos EUA precisam de um acordo de tratamento de dados?
As empresas dos EUA que tratam dados pessoais da UE ou do Reino Unido precisam de um DPA conforme com o RGPD ou com o RGPD do Reino Unido. Para operações exclusivamente nos EUA, a CCPA/CPRA exige contratos de prestação de serviços que proíbam o fornecedor de vender ou divulgar informações pessoais além da finalidade contratada.
Um único DPA pode cobrir os requisitos do RGPD e da CCPA?
Um único documento pode abranger ambos, desde que os requisitos de cada jurisdição sejam nomeados explicitamente. Muitos DPAs conformes com o RGPD incluem uma adenda CCPA que cobre as proibições específicas da Califórnia. O RGPD do Reino Unido exige uma secção separada dedicada aos mecanismos de transferência específicos do Reino Unido — concretamente o UK IDTA, em vez das SCCs da UE, já que os dois regimes divergiram após o Brexit.
O que acontece se eu assinar um contrato com um fornecedor que não tem DPA?
Nos termos do RGPD, avançar sem um contrato de subcontratação conforme viola o artigo 28. O responsável pelo tratamento continua a responder pela conduta do subcontratante, e a falta de um acordo escrito torna mais difícil a defesa perante uma investigação da autoridade de proteção de dados. Sob a CCPA, a ausência de contrato pode levar a que a transferência de dados seja classificada como venda de informações pessoais, desencadeando obrigações de opt-out para os consumidores.
Com que frequência devo rever o DPA de um fornecedor?
No mínimo, uma vez por ano e a cada renovação do contrato. As listas de subprocessadores mudam, a regulamentação evolui e os relatórios SOC 2 Type II expiram a cada 12 meses. Configure lembretes no calendário associados às datas de renovação do contrato, em vez de tratar a revisão do DPA como um passo único.
Um DPA deve abordar o treino de modelos de IA?
Os modelos-padrão do artigo 28 do RGPD são anteriores à IA generativa e não incluem cláusulas sobre treino por predefinição. Se um fornecedor usa dados pessoais para treinar ou ajustar modelos de IA, isso constitui uma finalidade de tratamento secundária que exige a sua própria base legal. Para qualquer fornecedor que trate conteúdo de conversas ou de áudio, pedir uma proibição contratual explícita é uma posição razoável e cada vez mais comum nos processos de compra.
Rodoshi Das
Rodoshi ajuda marcas SaaS a crescer com conteúdo que converte e sobe nas SERPs e LLMs. Passa os seus dias a testar ferramentas e transforma a sua experiência em narrativas interessantes para ajudar os utilizadores a tomar decisões de compra informadas. Fora do trabalho, troca os dashboards por romances policiais e terapia de jardim.
