O que é um adendo de processamento de dados (DPA) para a GDPR e LGPD?

 

Praticamente todas as empresas dependem de terceiros para processar dados pessoais. Seja um cliente de e-mail, um serviço de armazenamento em nuvem ou um software de análise de sites, você deve ter um adendo de processamento de dados com cada um desses serviços para atingir a conformidade com o GDPR.

 

O Regulamento Geral de Proteção de Dados da UE adota uma abordagem mais séria dos contratos do que os regulamentos anteriores de dados da UE. Se a sua organização estiver sujeita ao GDPR , você deve ter um adendo de processamento de dados por escrito em vigor com todos os seus processadores de dados. Sim, um adendo de processamento de dados é também uma das etapas mais básicas da conformidade com o GDPR e necessária para evitar multas GDPR, e o mesmo pode ocorrer com a Lei Geral de Proteção de Dados (LGPD).

Este guia serve como uma introdução aos contratos de processamento de dados ou adendo de processamento de dados – o que são, por que são importantes, para quem servem e o que precisam dizer.

Nas definições de GDPR , o processamento refere-se essencialmente a qualquer coisa que você possa fazer com as informações pessoais de alguém: coletá-las, armazená-las, monetizá-las, destruí-las etc. Na LGPD também encontramos o papel do “processador”, no entanto, para a Lei Geral de Proteção de Dados, o termo correto é operador, já o termo controlador permanece igual.

 

Noções básicas do adendo de processamento de dados (DPA)

A conformidade com o GDPR exige que os controladores de dados assinem um “adendo de processamento de dados” com todas as partes que atuam como processadores de dados em seu nome. Se você precisar de algumas definições desses termos, poderá encontrá-los em no artigo “ O que é o GDPR ”, mas normalmente um processador (operador para a LGPD) de dados é outra empresa que você usa para ajudá-lo a armazenar, analisar ou comunicar informações pessoais.

Por exemplo, se você é uma empresa de seguro de saúde e compartilha informações sobre clientes via e-mail criptografado , esse serviço de e-mail criptografado é um processador de dados. Ou, se você usar o Matomo, Intercom, Mailchimp, para analisar o tráfego no seu site, o eles também serão um processadores de dados.

Um adendo de processamento de dados é um contrato juridicamente vinculativo que estabelece os direitos e obrigações de cada parte em relação à proteção de dados pessoais, onde dados pessoais são definidos como: “informação relacionada a pessoa identificada ou identificável”.

A definição de dados pessoais é a mesma para ambas as leis, ainda para a LGPD e também para a GDPR, temos outro termo o “dados pessoais sensíveis”, que por definição são aqueles que se referem à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”

 

O Artigo 28 do GDPR cobre os acordos de processamento de dados sob a Seção 3:

O tratamento por um transformador será regido por um contrato ou outro ato jurídico nos termos do direito da União ou de um Estado-Membro, vinculando o subcontratante perante o responsável pelo tratamento e indicando o objeto e a duração do tratamento, a natureza e o objetivo do processamento, o tipo de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento.

Se você é proprietário de uma empresa sujeita ao GDPR, é de seu interesse ter um adendo de processamento de dados em vigor: em primeiro lugar, é necessário para a conformidade com o GDPR, mas o DPA também oferece garantias de que o processador de dados é qualificado e capaz.

Como indicado no considerando 81:

Ao confiar a um processador as atividades de processamento, o responsável pelo tratamento deve utilizar apenas processadores que forneçam garantias suficientes, nomeadamente em termos de conhecimentos especializados, fiabilidade e recursos, para implementar medidas técnicas e organizacionais que satisfaçam os requisitos do presente regulamento, incluindo a segurança dos dados. em processamento.

 

Exemplo de acordo de processamento de dados

Este site, como você deve saber, é operado pelo provedor de e-mail criptografado ProtonMail (e parcialmente financiado pelo programa Horizonte 2020 da União Europeia). Como parte de nossos esforços de conformidade com o GDPR, disponibilizamos nosso próprio adendo de processamento de dados a todos os nossos usuários corporativos para fazer o download, revisar e assinar.

Nosso DPA faz uma série de garantias para as empresas que nos confiam dados pessoais. Por exemplo, o adendo de processamento de dados ProtonMail promete o uso de medidas técnicas de segurança, como a criptografia, conforme indicado no Artigo 32 do GDPR . Também oferece assistência razoável aos controladores ao conduzir uma avaliação de impacto de proteção de dados .

Para mais detalhes, você pode ler o adendo de processamento de dados do ProtonMail ou verificar o modelo genérico de adendo de processamento de dados que disponibilizamos neste site.

 

O que precisa estar em um adendo de processamento de dados 

O Artigo 28 , Seção 3 do GDPR , explica em detalhes os oito tópicos que precisam ser cobertos em um DPA. Em resumo, aqui está o que você precisa incluir:

  • O processador concorda em processar dados pessoais apenas com instruções escritas do controlador.
  • Todos que entram em contato com os dados estão comprometidos com a confidencialidade.
  • Todas as medidas técnicas e organizacionais apropriadas são usadas para proteger a segurança dos dados.
  • O processador não subcontratará a outro processador, a menos que seja instruído a fazê-lo por escrito pelo controlador, caso em que outro DPA precisará ser assinado com o subprocessador (de acordo com as Seções 2 e 4 do Artigo 28).
  • O processador ajudará o controlador a manter suas obrigações no âmbito do GDPR, particularmente em relação aos direitos dos titulares de dados .
  • O processador ajudará o controlador a manter a conformidade com o GDPR em relação ao Artigo 32(segurança do processamento) e ao Artigo 36 (consultar a autoridade de proteção de dados antes de executar o processamento de alto risco).
  • O processador concorda em excluir todos os dados pessoais após o término dos serviços ou devolver os dados ao controlador.
  • O processador deve permitir que o controlador realize uma auditoria e fornecerá todas as informações necessárias para comprovar a conformidade.

 

 

Multas da GDPR e LGPD aguardam aqueles que não cumprem 

Desde que o GDPR entrou em vigor em 2018, as autoridades de proteção de dados demonstraram sua disposição de aplicar penalidades. E pequenas e médias empresas não foram negligenciadas. As multas do GDPR podem chegar a € 20 milhões ou 4% da receita global da empresa.

No entanto, existem dois níveis de multas, dependendo da gravidade e do tipo de violação.

As multas do GDPR emitidas por violações relacionadas a processadores de dados geralmente se enquadram no primeiro nível, cujo estado de diretrizes pode ser tão severo quanto € 10 milhões ou 2% da receita global. Na LGPD as multas não são muito diferentes e também tem um valor bem elevado para quem não cumprir a lei, variam de 2% do faturamento bruto até R$ 50 milhões (por infração).
Em qualquer caso, é muito menos doloroso assinar um adendo de processamento de dados e aderir aos termos do que pagar uma multa GDPR.

 

Adaptado e traduzido de: https://gdpr.eu/what-is-data-processing-agreement/

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Profiler e Perito em Forense Digital, Investigação de Fraudes | Especialista em Perfilação Criminal e Análise Comportamental | Cybercrime Profiling | OSINT, HUMINT | SI, Arquitetura Segura e Software Developer 

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em E-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise da Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Criminal Profiling - Perfilação Criminal

Análise de casos reais

Curso - Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo

Assine nossa Newsletter

Informe seu e-mail para receber nosso conteúdo em primeira mão.

 

Registrado com sucesso!!!