Jônata Guimarães

Introdução

Os contratos de Software as a Service (SaaS) envolvem necessariamente o tratamento de dados pessoais. Uma estruturação adequada das cláusulas de proteção de dados é essencial para a conformidade e para a proteção do negócio.

Cláusulas Essenciais

1. Definição de Papéis

É fundamental definir claramente quem é o controlador e quem é o processador dos dados:

O cliente é tipicamente o controlador
O fornecedor SaaS é tipicamente o processador

2. Instruções de Tratamento

O contrato deve especificar:

Finalidades do tratamento
Tipos de dados tratados
Categorias de titulares
Duração do tratamento

3. Medidas de Segurança

Devem ser detalhadas as medidas técnicas e organizativas implementadas:

Encriptação de dados
Controlo de acessos
Backups e recuperação
Testes de segurança

4. Subprocessadores

O contrato deve regular:

Autorização para utilização de subprocessadores
Lista de subprocessadores atuais
Procedimento para alterações
Responsabilidades em cadeia

5. Transferências Internacionais

Se aplicável, devem ser incluídas:

Cláusulas contratuais-tipo
Mecanismos de transferência adequados
Garantias adicionais se necessário

6. Direitos dos Titulares

O contrato deve prever:

Cooperação no exercício de direitos
Prazos de resposta
Procedimentos de comunicação

7. Notificação de Incidentes

Devem ser estabelecidos:

Prazos de notificação
Informações a incluir
Procedimentos de cooperação

8. Auditoria

O cliente deve ter direito a:

Auditorias periódicas
Acesso a certificações
Relatórios de conformidade

9. Término e Devolução de Dados

No final do contrato:

Devolução ou eliminação de dados
Certificação de eliminação
Período de transição

Modelo de DPA

Um Data Processing Agreement (DPA) bem estruturado deve incluir todas estas cláusulas de forma clara e executável.

Conclusão

Contratos SaaS bem estruturados protegem ambas as partes e facilitam a conformidade com a legislação de proteção de dados.

Contratos SaaS: Cláusulas Essenciais de Proteção de Dados