Enterprise

O Acordo de Processamento de Dados de GDPR, explicado

Âmbito de processamento, subcontratantes, mecanismos de transferência e execução — o que o DPA cobre e o percurso exato que a sua equipa de privacidade segue para o assinar.

O Acordo de Processamento de Dados de GDPR do Ciao é o contrato que rege como o Ciao processa dados pessoais em seu nome: o âmbito do processamento, os subcontratantes envolvidos — incluindo fornecedores de modelos a operar sob contratos de retenção zero — e os mecanismos de transferência aplicáveis. Ao contrário de fornecedores que tratam o DPA como uma reflexão tardia, o Ciao encaminha-o através de um percurso de compras definido, para que a sua equipa jurídica reveja e execute documentos reais, não resumos.

Ideal paraRevisão de privacidade e do DPOOnboarding de fornecedores em conformidade com o GDPRDue diligence de subcontratantes

Publicado 2026-07-03 · Última atualização 2026-07-03

Porque é que o DPA é onde as plataformas de IA encalham

Para uma equipa de privacidade europeia — ou qualquer equipa que sirva utilizadores europeus — o DPA não é papelada, é o controlo. Define o que o subcontratante pode fazer com dados pessoais, quais subcontratantes lhe tocam, e com que base legal os dados atravessam fronteiras. Uma plataforma de desenvolvimento com IA acrescenta uma camada que os modelos de DPA mais antigos nunca anteciparam: fornecedores de modelos, sentados na cadeia de processamento, com o seu próprio comportamento de retenção.

É aqui que muitas avaliações de ferramentas de IA encalham. A demonstração do produto corre bem, depois o gabinete de privacidade pede a lista de subcontratantes e os termos de retenção do fornecedor de modelos, e a resposta do fornecedor é uma conversa num ticket de suporte. Passam semanas. Negócios — e projetos internos — morrem nessa lacuna, não porque a resposta fosse má, mas porque ninguém a tinha escrito.

A abordagem do Ciao é tornar o DPA um artefacto de compras de primeira classe. O acordo cobre o processamento que o Ciao realiza para operar a plataforma, nomeia as categorias de subcontratantes envolvidos, e situa-se ao lado dos compromissos que os seus revisores vão querer ver a par dele: o código do cliente não é usado para treinar modelos, a inferência decorre sob contratos de modelo com retenção zero, e os relatórios SOC 2 Type II estão disponíveis sob NDA.

O que o DPA cobre

  • Âmbito de processamento e papéis — O que o Ciao processa em seu nome para operar a plataforma, em que papel, e para que finalidade — a base de responsável-subcontratante sobre a qual a sua avaliação de privacidade é construída.
  • Subcontratantes — As categorias de subcontratantes por trás da plataforma — infraestrutura de nuvem e fornecedores de modelos entre eles — com a lista atual mantida como parte do conjunto de documentos do DPA que a sua equipa revê antes de assinar.
  • Fornecedores de modelos dentro do enquadramento — A camada de modelos é tratada como parte da cadeia de processamento, não como uma exceção a ela: a inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos.
  • Mecanismos de transferência — Os mecanismos legais aplicáveis a quaisquer transferências transfronteiriças estão documentados no acordo, para que o seu DPO avalie linguagem real em vez de garantias.
  • Posturas de implementação que reduzem a pergunta — Implementar na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados mantém os dados da aplicação dentro de infraestrutura que controla, simplificando a análise de residência. Veja a página de residência de dados para essa dimensão.
  • Medidas de segurança com evidência por trás — As medidas técnicas e organizacionais referidas pelo DPA ligam-se a artefactos verificáveis: relatórios SOC 2 Type II sob NDA e o dossiê de segurança a pedido.

Como executar o DPA

  1. 1. Peça o conjunto de documentos

    Contacte a equipa enterprise através da página de contacto e peça o DPA ao lado do dossiê de segurança — foram concebidos para serem revistos em conjunto.

  2. 2. Reveja o âmbito e os subcontratantes

    A sua equipa de privacidade mapeia a descrição do processamento e a lista de subcontratantes face aos seus registos de processamento e ao seu enquadramento de risco.

  3. 3. Avalie a camada de modelos

    Reveja os compromissos de retenção zero e de não-treino como parte do mesmo exercício; se trouxer as suas próprias chaves ou endpoints de modelo, os seus termos de fornecedor já existentes encaixam na análise.

  4. 4. Resolva questões com um interlocutor

    As perguntas sobre o DPA são encaminhadas para a equipa enterprise como parte das compras — um processo nomeado, não um fórum comunitário.

  5. 5. Execute e arquive

    O DPA assinado passa a fazer parte do seu processo de fornecedor juntamente com o relatório SOC 2 Type II revisto sob NDA, dando aos seus auditores um conjunto de evidência coerente.

Notas de verificação e comerciais

Uma página como esta não pode substituir o próprio acordo, e não tenta fazê-lo: o DPA, a lista de subcontratantes e os termos de tratamento de dados são documentos que a sua equipa jurídica lê na íntegra durante as compras. O que esta página garante é o percurso — pedido através da página de contacto, revisão com um interlocutor enterprise nomeado, execução como parte do compromisso. A execução do DPA está incluída nas compras enterprise em vez de ser vendida à parte; os programas de produção sérios começam em 10.000 USD por ano. Nada aqui é aconselhamento jurídico — é uma descrição do fluxo de trabalho e dos documentos, para as pessoas cujo trabalho é avaliá-los.

Uma sugestão prática de equipas que já conduziram esta revisão rapidamente: paralelizar. Envie o DPA à privacidade, o relatório SOC 2 Type II à segurança e os termos comerciais às compras na mesma semana — o conjunto de documentos foi concebido para que as três revisões não se bloqueiem mutuamente, e a equipa enterprise consegue atender às três conversas ao mesmo tempo.

A checklist do revisor do DPA, mapeada

Pergunta do revisorOnde vive a resposta
Que processamento realiza o fornecedor?Âmbito de processamento no DPA
Quem são os subcontratantes?Lista de subcontratantes no conjunto de documentos do DPA
Os fornecedores de modelos retêm ou treinam com os nossos dados?Contratos de modelo com retenção zero; nenhum treino sobre código do cliente — termos contratuais
Que mecanismos de transferência se aplicam?Disposições de transferência no DPA
Que medidas de segurança apoiam isto?Relatório SOC 2 Type II sob NDA; dossiê de segurança a pedido
Onde correm fisicamente os dados da aplicação?Postura de implementação: nuvem Ciao, a sua conta de nuvem, VPC privada, ou on-premise sob termos separados

Perguntas frequentes

Como obtemos o DPA?

Peça-o através da página de contacto como parte de uma conversa enterprise. Chega junto com o dossiê de segurança e os termos de tratamento de dados, para que as suas revisões de privacidade e segurança possam correr em paralelo em vez de em sequência.

Os fornecedores de modelos são listados como subcontratantes?

A camada de modelos é documentada como parte da cadeia de processamento no conjunto de documentos do DPA, juntamente com os compromissos que mais importam: a inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos.

Como são comunicadas as alterações de subcontratantes?

O mecanismo de notificação está definido no próprio DPA — a sua equipa revê os termos exatos durante as compras em vez de confiar numa paráfrase aqui. A lista atual de subcontratantes faz parte do conjunto de documentos que recebe.

Implementar na nossa própria nuvem muda a análise do DPA?

Estreita-a. Quando a aplicação corre na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados, os dados da aplicação permanecem dentro de infraestrutura que controla, o que simplifica as perguntas de residência e de transferência que o seu DPO tem de responder.

A nossa assessoria externa pode rever antes de nos comprometermos comercialmente?

Sim. O DPA e o dossiê de segurança são partilhados durante as compras precisamente para que a revisão jurídica aconteça antes da assinatura, ao lado do relatório SOC 2 Type II sob NDA. Envolva a assessoria tão cedo quanto quiser — os documentos estão prontos para eles.

Páginas relacionadas

Obtenha o pacote de segurança.

DPA de GDPR: Âmbito, Subcontratantes, Assinatura | Ciao