Enterprise
O Acordo de Processamento de Dados de GDPR, explicado
Âmbito de processamento, subcontratantes, mecanismos de transferência e execução — o que o DPA cobre e o percurso exato que a sua equipa de privacidade segue para o assinar.
O Acordo de Processamento de Dados de GDPR do Ciao é o contrato que rege como o Ciao processa dados pessoais em seu nome: o âmbito do processamento, os subcontratantes envolvidos — incluindo fornecedores de modelos a operar sob contratos de retenção zero — e os mecanismos de transferência aplicáveis. Ao contrário de fornecedores que tratam o DPA como uma reflexão tardia, o Ciao encaminha-o através de um percurso de compras definido, para que a sua equipa jurídica reveja e execute documentos reais, não resumos.
Publicado 2026-07-03 · Última atualização 2026-07-03
Porque é que o DPA é onde as plataformas de IA encalham
Para uma equipa de privacidade europeia — ou qualquer equipa que sirva utilizadores europeus — o DPA não é papelada, é o controlo. Define o que o subcontratante pode fazer com dados pessoais, quais subcontratantes lhe tocam, e com que base legal os dados atravessam fronteiras. Uma plataforma de desenvolvimento com IA acrescenta uma camada que os modelos de DPA mais antigos nunca anteciparam: fornecedores de modelos, sentados na cadeia de processamento, com o seu próprio comportamento de retenção.
É aqui que muitas avaliações de ferramentas de IA encalham. A demonstração do produto corre bem, depois o gabinete de privacidade pede a lista de subcontratantes e os termos de retenção do fornecedor de modelos, e a resposta do fornecedor é uma conversa num ticket de suporte. Passam semanas. Negócios — e projetos internos — morrem nessa lacuna, não porque a resposta fosse má, mas porque ninguém a tinha escrito.
A abordagem do Ciao é tornar o DPA um artefacto de compras de primeira classe. O acordo cobre o processamento que o Ciao realiza para operar a plataforma, nomeia as categorias de subcontratantes envolvidos, e situa-se ao lado dos compromissos que os seus revisores vão querer ver a par dele: o código do cliente não é usado para treinar modelos, a inferência decorre sob contratos de modelo com retenção zero, e os relatórios SOC 2 Type II estão disponíveis sob NDA.
O que o DPA cobre
- Âmbito de processamento e papéis — O que o Ciao processa em seu nome para operar a plataforma, em que papel, e para que finalidade — a base de responsável-subcontratante sobre a qual a sua avaliação de privacidade é construída.
- Subcontratantes — As categorias de subcontratantes por trás da plataforma — infraestrutura de nuvem e fornecedores de modelos entre eles — com a lista atual mantida como parte do conjunto de documentos do DPA que a sua equipa revê antes de assinar.
- Fornecedores de modelos dentro do enquadramento — A camada de modelos é tratada como parte da cadeia de processamento, não como uma exceção a ela: a inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos.
- Mecanismos de transferência — Os mecanismos legais aplicáveis a quaisquer transferências transfronteiriças estão documentados no acordo, para que o seu DPO avalie linguagem real em vez de garantias.
- Posturas de implementação que reduzem a pergunta — Implementar na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados mantém os dados da aplicação dentro de infraestrutura que controla, simplificando a análise de residência. Veja a página de residência de dados para essa dimensão.
- Medidas de segurança com evidência por trás — As medidas técnicas e organizacionais referidas pelo DPA ligam-se a artefactos verificáveis: relatórios SOC 2 Type II sob NDA e o dossiê de segurança a pedido.
Como executar o DPA
1. Peça o conjunto de documentos
Contacte a equipa enterprise através da página de contacto e peça o DPA ao lado do dossiê de segurança — foram concebidos para serem revistos em conjunto.
2. Reveja o âmbito e os subcontratantes
A sua equipa de privacidade mapeia a descrição do processamento e a lista de subcontratantes face aos seus registos de processamento e ao seu enquadramento de risco.
3. Avalie a camada de modelos
Reveja os compromissos de retenção zero e de não-treino como parte do mesmo exercício; se trouxer as suas próprias chaves ou endpoints de modelo, os seus termos de fornecedor já existentes encaixam na análise.
4. Resolva questões com um interlocutor
As perguntas sobre o DPA são encaminhadas para a equipa enterprise como parte das compras — um processo nomeado, não um fórum comunitário.
5. Execute e arquive
O DPA assinado passa a fazer parte do seu processo de fornecedor juntamente com o relatório SOC 2 Type II revisto sob NDA, dando aos seus auditores um conjunto de evidência coerente.
Notas de verificação e comerciais
Uma página como esta não pode substituir o próprio acordo, e não tenta fazê-lo: o DPA, a lista de subcontratantes e os termos de tratamento de dados são documentos que a sua equipa jurídica lê na íntegra durante as compras. O que esta página garante é o percurso — pedido através da página de contacto, revisão com um interlocutor enterprise nomeado, execução como parte do compromisso. A execução do DPA está incluída nas compras enterprise em vez de ser vendida à parte; os programas de produção sérios começam em 10.000 USD por ano. Nada aqui é aconselhamento jurídico — é uma descrição do fluxo de trabalho e dos documentos, para as pessoas cujo trabalho é avaliá-los.
Uma sugestão prática de equipas que já conduziram esta revisão rapidamente: paralelizar. Envie o DPA à privacidade, o relatório SOC 2 Type II à segurança e os termos comerciais às compras na mesma semana — o conjunto de documentos foi concebido para que as três revisões não se bloqueiem mutuamente, e a equipa enterprise consegue atender às três conversas ao mesmo tempo.
A checklist do revisor do DPA, mapeada
| Pergunta do revisor | Onde vive a resposta |
|---|---|
| Que processamento realiza o fornecedor? | Âmbito de processamento no DPA |
| Quem são os subcontratantes? | Lista de subcontratantes no conjunto de documentos do DPA |
| Os fornecedores de modelos retêm ou treinam com os nossos dados? | Contratos de modelo com retenção zero; nenhum treino sobre código do cliente — termos contratuais |
| Que mecanismos de transferência se aplicam? | Disposições de transferência no DPA |
| Que medidas de segurança apoiam isto? | Relatório SOC 2 Type II sob NDA; dossiê de segurança a pedido |
| Onde correm fisicamente os dados da aplicação? | Postura de implementação: nuvem Ciao, a sua conta de nuvem, VPC privada, ou on-premise sob termos separados |
Perguntas frequentes
Como obtemos o DPA?
Peça-o através da página de contacto como parte de uma conversa enterprise. Chega junto com o dossiê de segurança e os termos de tratamento de dados, para que as suas revisões de privacidade e segurança possam correr em paralelo em vez de em sequência.
Os fornecedores de modelos são listados como subcontratantes?
A camada de modelos é documentada como parte da cadeia de processamento no conjunto de documentos do DPA, juntamente com os compromissos que mais importam: a inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos.
Como são comunicadas as alterações de subcontratantes?
O mecanismo de notificação está definido no próprio DPA — a sua equipa revê os termos exatos durante as compras em vez de confiar numa paráfrase aqui. A lista atual de subcontratantes faz parte do conjunto de documentos que recebe.
Implementar na nossa própria nuvem muda a análise do DPA?
Estreita-a. Quando a aplicação corre na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados, os dados da aplicação permanecem dentro de infraestrutura que controla, o que simplifica as perguntas de residência e de transferência que o seu DPO tem de responder.
A nossa assessoria externa pode rever antes de nos comprometermos comercialmente?
Sim. O DPA e o dossiê de segurança são partilhados durante as compras precisamente para que a revisão jurídica aconteça antes da assinatura, ao lado do relatório SOC 2 Type II sob NDA. Envolva a assessoria tão cedo quanto quiser — os documentos estão prontos para eles.