Acordo de Processamento de Dados (DPA)

Um Acordo de Processamento de Dados (DPA) é o contrato exigido pelo Artigo 28 do RGPD sempre que um terceiro (um operador) trata dados pessoais em nome de um controlador (o veículo de imprensa). Em um sistema de comentários, cada comentário, conta de leitor, voto e decisão de moderação é um dado pessoal, então um DPA é obrigatório, não opcional.

O que cobre um DPA no padrão Logora

• Objeto, duração e finalidade do tratamento.
• Categorias de titulares dos dados (assinantes, leitores anônimos) e tipos de dados (informações de conta, comentários, IP, dados comportamentais).
• Medidas de segurança (criptografia em repouso e em trânsito, controles de acesso, auditoria).
• Lista de suboperadores com aviso prévio e direito de oposição antes de qualquer alteração (no caso da Logora: hospedagem OVH, Mistral AI, DeepL).
• Obrigações de confidencialidade para todos os funcionários com acesso aos dados.
• Atendimento aos direitos dos titulares: acesso, retificação, exclusão, portabilidade.
• Notificação de incidentes em até 72 horas.
• Direitos de auditoria para o controlador.
• Fim do contrato: devolução ou exclusão dos dados pessoais.

Como a Logora lida com DPAs

A Logora assina por padrão um DPA em conformidade com o Artigo 28 em todo contrato corporativo. O modelo foi revisado pelos DPOs do Der Spiegel, Sud Ouest, Milenio e Krone. Ajustes bilaterais são aceitos, mas o padrão jurídico já está pronto, o que elimina semanas de idas e vindas, típicas dos fornecedores americanos que operam sob as Cláusulas Contratuais Padrão (Standard Contractual Clauses).

Veja RGPD para o panorama geral e Schrems II para a questão correlata das transferências transatlânticas.