Elido
Blog
16 min de leituraConformidade
Essencial

Residência de dados na UE para ferramentas de marketing: o que o seu DPO realmente pergunta

O que 'residência de dados na UE' significa ao abrigo do Artigo 3 do RGPD + Schrems II - onde as ferramentas de marketing têm fugas, a correção do lado do servidor e uma lista de verificação de compra

Sasha Ehrlich
Compliance · EU residency
EU border with data-flow arrows staying inside versus crossing to US-hosted marketing tools, with seven leak points highlighted

Já revi muitos questionários de segurança que começam com a mesma caixa de verificação: "Os dados dos clientes estão alojados na UE? Sim / Não." O fornecedor assinala Sim. O DPO assina a revisão. Seis meses depois, o mesmo DPO percebe que cada evento de clique passa por um Meta Pixel alojado nos EUA e uma instância do HubSpot domiciliada na Califórnia, ambos a disparar no browser do utilizador antes de o edge EU do Elido alguma vez ver o pedido.

A caixa de verificação era honesta. A resposta também estava incompleta. "Alojado na UE" na página inicial de um fornecedor descreve onde ficam os próprios servidores da plataforma. Não diz nada sobre o que a camada de marketing ligada a essa plataforma faz com os dados, ou para onde vão, ou que base jurídica cobre a transferência. Essas são as questões que um DPO que leu o Artigo 3 do RGPD e o Schrems II realmente coloca.

Esta publicação é a versão marketer-encontra-DPO dessa conversa. Onde começa e termina a residência de dados na UE quando está a correr rastreio de links e encaminhamento de conversão? O que muda juridicamente quando passa de pixels do lado do cliente para APIs de conversão do lado do servidor? E o que deve realmente dizer a lista de verificação de compra?

A publicação complementar - RGPD para encurtadores de URL - cobre as obrigações ao nível de artigo em pormenor. Vou fazer referências cruzadas quando for relevante em vez de repetir.

Resumo#

  • "Alojado na UE" cobre o plano de dados do seu fornecedor. Não cobre os scripts de marketing do lado do cliente que disparam nos browsers dos seus utilizadores antes do redirecionamento acontecer.
  • O Schrems II e os Artigos 44–49 do RGPD impõem requisitos reais sobre dados que fluem para plataformas de publicidade e análise alojadas nos EUA. O encaminhamento de conversão do lado do servidor move a transferência para a camada servidor-para-servidor, mas não elimina a obrigação de transferência.
  • O Artigo 28(2) exige uma lista de subprocessadores por escrito. Cinco subprocessadores com regiões nomeadas é auditável; quarenta com entradas vagas é uma responsabilidade.
  • A lista de verificação de compra que se segue fecha a maioria das questões do DPO numa única chamada de descoberta.

O stack jurídico em linguagem simples#

Quatro peças de legislação fazem a maior parte do trabalho aqui. Pode citá-las sem ter um curso de direito; os números dos artigos são curtos.

Artigo 3 do RGPD - âmbito territorial. O Artigo 3(2) aplica o RGPD a qualquer tratamento de dados de sujeitos da UE por um responsável pelo tratamento ou subcontratante estabelecido fora da UE, quando o tratamento diz respeito à oferta de bens ou serviços a sujeitos da UE ou à monitorização do seu comportamento. "Monitorização do seu comportamento" é rastreio de cliques. Um fornecedor de análise alojado nos EUA sem entidade na UE trata dados pessoais de sujeitos da UE cada vez que o seu link dispara o pixel. O Artigo 3 diz que o RGPD se aplica a esse fornecedor independentemente de onde se encontre. A questão da residência é sobre para onde os dados vão depois de a obrigação de tratamento já ter sido ligada.

Artigo 28 do RGPD - obrigações do subcontratante. O Artigo 28 rege o contrato entre o responsável pelo tratamento e cada subcontratante na cadeia. A sua plataforma de encurtamento de links, a sua ferramenta de análise, o seu fornecedor de email - cada um deve assinar um DPA que cobre as oito obrigações (a) a (h). Um fornecedor que não fornece um DPA pré-assinado está a pedir-lhe que absorva o risco de conformidade dele. O sub-parágrafo (2) exige especificamente que o subcontratante obtenha a autorização do responsável pelo tratamento antes de contratar subprocessadores, e que imponha obrigações equivalentes a esses subprocessadores por contrato.

Artigos 44–49 do RGPD - transferências para países terceiros. O Capítulo V do RGPD proíbe a transferência de dados pessoais para um país terceiro a menos que se aplique um dos mecanismos listados: uma decisão de adequação, Cláusulas Contratuais Padrão, Regras Corporativas Vinculativas ou as derrogações do Artigo 49. Para transferências para plataformas alojadas nos EUA, o mecanismo padrão desde a adoção do EU-US DPF em 2023 são as CCE complementadas pela certificação DPF - ou o Quadro de Privacidade de Dados UE-EUA em si, quando o destinatário americano está certificado. Nenhum mecanismo elimina o requisito de transferência; descrevem como satisfazê-lo.

Schrems II - TJUE C-311/18. O acórdão Schrems II invalidou o Privacy Shield em julho de 2020 e estabeleceu que as transferências baseadas em CCE requerem uma Avaliação de Impacto de Transferência que avalie se a legislação de vigilância do país de destino negaria aos sujeitos da UE vias de recurso efetivas. A carga da TIA é real e contínua. O Quadro de Privacidade de Dados UE-EUA, adotado por decisão de adequação da Comissão em 2023, fornece um mecanismo atual para destinatários americanos certificados pelo DPF, mas é alvo de litígio pendente - o NOYB sinalizou intenção de impugnar, e as recomendações de medidas suplementares do CEPD (01/2020) continuam a ser orientação relevante para equipas que querem um regime de transferência robusto para o próximo acórdão Schrems. Os compradores em setores regulados estão cada vez mais a contratar pelo tratamento exclusivamente na UE como salvaguarda estrutural contra mudanças de regime jurídico.

Onde as análises de marketing tipicamente têm fugas de residência na UE#

A diferença entre "o nosso encurtador está alojado na UE" e "os nossos dados ficam na UE" abre-se na camada de marketing do lado do cliente. Seis pontos de fuga comuns.

Meta Pixel (lado do cliente). A implementação padrão do pixel dispara um pedido GET do browser do utilizador para connect.facebook.net, um ponto CDN servido pela infraestrutura americana da Meta. Esse pedido contém o URL completo - incluindo os seus parâmetros UTM - mais o IP do utilizador, identificadores de cookies e fingerprint do browser. Sai do território da UE no browser do utilizador antes do seu servidor alguma vez processar o clique. A Meta está incorporada na Irlanda para efeitos da UE e reclama uma base jurídica para a transferência ao abrigo das CCE. Essa reivindicação é objeto de duas decisões substanciais da APD (a decisão da APD irlandesa sobre o Facebook Ireland de 2022, e a ordem de execução das CCE de 2023). O próprio pixel ainda está a enviar dados para servidores americanos; a base jurídica é contestada.

Google Tag / GA4 (lado do cliente). O snippet gtag.js dispara do browser do utilizador para google-analytics.com e analytics.google.com, ambos os quais resolvem para servidores Google baseados nos EUA, a menos que tenha configurado o encaminhamento EU do Google Analytics 4 com data_collection_endpoint apontado para region1.google-analytics.com. Mesmo com o endpoint EU, o Google documenta que algum processamento ocorre em infraestrutura americana. A implementação padrão é inequívoca: lado do browser, alojado nos EUA.

Salesforce CRM. A residência de dados do Salesforce Marketing Cloud depende de qual pod o seu tenant está. Os clientes europeus em pods da UE tratam dados de atribuição de eventos de clique na UE - se configurou isto explicitamente. O pod padrão americano está alojado nos EUA. A maioria das equipas que vejo no segmento PME-mercado médio não fez esta configuração; têm uma instância do Salesforce que foi aprovisionada por um administrador baseado nos EUA num pod americano e tem estado a encaminhar dados CRM de sujeitos europeus pelo Atlântico desde então.

HubSpot. Os pixels de rastreio de email do HubSpot são servidos a partir de infraestrutura do HubSpot nos EUA. A residência de dados na UE está disponível como add-on para clientes Enterprise; não é a predefinição. O pixel de rastreio que dispara quando um contacto abre um email de marketing está, na configuração padrão, a enviar o identificador de um sujeito europeu (o endereço de email, codificado no URL do pixel) para um endpoint americano.

Rastreio de abertura de email de terceiros. Além do HubSpot - Mailchimp, Brevo, Customer.io, ActiveCampaign - aplica-se o mesmo padrão. Os URLs dos pixels de rastreio estão alojados na CDN do fornecedor; a maioria das CDNs usa PoPs americanos por predefinição para tráfego de origem; o pixel a disparar do cliente de email de um utilizador europeu passa por infraestrutura americana. Existem opções de região EU em alguns planos; não são predefinições.

O próprio encurtador como trânsito. Quando um encurtador não está alojado na UE, o pedido de redirecionamento passa por infraestrutura fora da UE. O evento de clique é registado fora do EEE. Esta é a camada de residência que a caixa de verificação "encurtador alojado na UE" pretende realmente abordar - e é a menor das seis fugas, porque o redirecionamento é tipicamente um evento de 2-5ms e o registo de cliques é o único dado persistente que o encurtador cria.

A exposição típica de uma equipa de marketing de mercado médio a correr ferramentas padrão: três a cinco dos cenários acima ativos simultaneamente, sem Avaliação de Impacto de Transferência para nenhum deles, e uma entrada no Registo de Atividades de Tratamento do Artigo 30 que nomeia "Google Analytics, Meta Pixel" sem documentar qual o mecanismo que cobre a transferência.

A correção do lado do servidor: o que muda juridicamente, o que não muda#

O encaminhamento de conversão do lado do servidor - onde o edge EU do encurtador encaminha eventos de clique e conversão para a API do lado do servidor da plataforma publicitária em vez de deixar o browser do utilizador disparar o pixel - é a correção parcial. Aqui está o que muda e o que fica inalterado.

O que muda: O browser do utilizador já não envia dados diretamente para o endpoint americano. O caminho do pedido é:

  1. O utilizador clica no short link
  2. O edge EU do Elido (a região da UE) recebe o pedido, regista o evento de clique localmente
  3. O edge EU do Elido encaminha o sinal de conversão servidor-para-servidor para Meta CAPI / GA4 Measurement Protocol
  4. A plataforma publicitária recebe o evento no seu servidor americano

A Meta Conversions API é a implementação canónica deste padrão para a Meta. O GA4 Measurement Protocol é o equivalente da Google. O browser do utilizador toca apenas no edge EU do Elido; nunca contacta diretamente um endpoint de análise americano.

Diagrama de sequência mostrando browser para edge EU (Elido) para API do fornecedor do lado do servidor. O browser nunca contacta diretamente o endpoint de análise americano.

O que não muda: Os dados ainda estão a ser transferidos para um subcontratante alojado nos EUA. O edge EU do Elido origina essa transferência. A obrigação de transferência ao abrigo dos Artigos 44–49 ainda se aplica - ainda precisa de CCE ou cobertura DPF para o segmento Meta ou Google da cadeia. O que muda é o controlo prático do responsável pelo tratamento sobre essa transferência: acontece num servidor que opera, usando credenciais que gere, com o hashing de identificadores que aplica (SHA-256 em endereços de email, conforme a Meta CAPI requer), em vez de num script de browser que tem capacidade limitada de auditar ou controlar.

Esta é uma melhoria material do ponto de vista da minimização de dados e segurança. Não é uma isenção completa do regime de transferência. O seu DPO precisa de ter esta distinção clara antes de assinar a revisão de compra.

A consequência jurídica do encaminhamento do lado do servidor: a sua entrada no RoPA do Artigo 30 para "Meta CAPI" documenta agora uma transferência servidor-para-servidor sob o seu controlo, com identificadores com hash antes de saírem da infraestrutura europeia. Essa é uma entrada substancialmente mais limpa do que "Meta Pixel - lado do cliente, originado no browser, base de transferência TBD." Não é zero transferência; é uma transferência documentada e controlada.

Artigo 28(2): porque o número de subprocessadores importa#

O Artigo 28(2) exige que o subcontratante obtenha a autorização prévia do responsável pelo tratamento antes de contratar subprocessadores, seja específica (por fornecedor) ou geral (baseada em notificação com direito de oposição). Todos os contratos SaaS sérios usam autorização prévia geral com uma janela de aviso de 30 dias. O responsável pelo tratamento assina o DPA; o DPA inclui uma lista de subprocessadores; as adições à lista desencadeiam uma notificação e uma janela de objeção de 30 dias.

A lista de subprocessadores é o artefacto que o seu DPO vai realmente ler. O que uma lista utilizável inclui:

  • Nome do subprocessador
  • Localização do tratamento de dados (região do hyperscaler, não apenas país)
  • Papel na cadeia de tratamento
  • Categorias de dados pessoais partilhados
  • Base jurídica para qualquer transferência para país terceiro
  • Data de adição
  • Canal de notificação para adições futuras

A lista também é um sinal de como o fornecedor pensa sobre residência. Um fornecedor com cinco subprocessadores cujas regiões pode nomear numa frase concebeu-o deliberadamente. Um fornecedor com quarenta subprocessadores cujas entradas dizem "várias regiões globais" não o fez.

A lista de subprocessadores do Elido cobre cinco fornecedores - cobrindo computação e infraestrutura na UE, e-mail na UE, pagamentos e CDN - publicada em /legal/subprocessors. Esse número é pequeno por intenção. Cada subprocessador acrescenta à superfície do programa de privacidade do responsável pelo tratamento; cada adição de subprocessador desencadeia um ciclo de notificação e uma potencial janela de objeção. Um fornecedor que consegue correr um encurtador de nível de produção com cinco subprocessadores fez escolhas explícitas sobre que dependências de terceiros são justificadas.

Compare isto com uma plataforma de análise de marketing com 35-40 subprocessadores. A lista é auditável em princípio; na prática, o responsável pela privacidade do responsável pelo tratamento está a rever quarenta DPAs e quarenta Avaliações de Impacto de Transferência, algumas das quais estarão em falta. O número de cinco fornecedores não é uma afirmação de marketing. É uma escolha operacional com consequências reais para a sua carga de trabalho de conformidade.

A lista de verificação de compra do marketer#

Oito perguntas. Respostas por escrito. Se um fornecedor consegue fornecer estas na primeira chamada de descoberta, o ciclo de compra encurta em semanas. Se não consegue, isso diz-lhe algo.

  1. Qual é a região de alojamento específica para novos dados de clientes, nomeada ao nível da região do hyperscaler? (Resposta esperada: uma região da UE nomeada - por exemplo "AWS eu-central-1" ou uma região de data center equivalente na UE, não apenas "a UE" como uma afirmação sem suporte.)
  2. A região de alojamento na UE está contratualmente comprometida no contrato padrão do cliente, ou é uma prática operacional que o fornecedor pode alterar sem aviso prévio? (Resposta esperada: vinculativa por contrato, específica ao contrato padrão, sem addendum personalizado necessário.)
  3. O contrato padrão inclui um DPA pré-assinado cobrindo as obrigações do Artigo 28 (a) a (h)? (Resposta esperada: sim, pré-assinado, disponível antes do final da chamada de vendas.)
  4. Quantos subprocessadores estão na cadeia de tratamento padrão? O fornecedor consegue nomeá-los todos com as suas regiões de tratamento de dados? (Resposta esperada: a lista completa, nomeada, com regiões, disponível publicamente num URL que pode incluir no seu RoPA.)
  5. O fornecedor usa encaminhamento de conversão do lado do servidor para plataformas publicitárias, ou o rastreio de conversão é do lado do cliente no browser do utilizador? (Resposta esperada para um fornecedor orientado para a privacidade: lado do servidor, com hashing de identificadores antes dos dados saírem da infraestrutura europeia.)
  6. Qual é o truncamento de IP padrão para registo de eventos de clique? (Resposta esperada: truncamento /24 para IPv4, /48 para IPv6, antes da persistência - ou seja, o IP completo não é armazenado.)
  7. Qual é o SLA de eliminação do titular dos dados, e é operacionalmente alcançável no store de eventos de clique? (Resposta esperada: 30 dias ou menos, propagado ao datastore de análises, confirmado por webhook ou certificado.)
  8. Que atestados de conformidade independentes tem o fornecedor, e quando foi concluída a auditoria mais recente? (Resposta esperada: ISO 27001 atual; SOC 2 Tipo II concluído ou em curso com data alvo; para cargas de trabalho adjacentes à saúde, disponibilidade de BAA no plano relevante.)

Estas oito perguntas cobrem as principais preocupações do DPO sem exigir uma revisão jurídica na fase de descoberta. O fornecedor que responde a todas as oito por escrito no mesmo dia está pronto para a compra. O fornecedor que escalona para jurídico antes de responder à pergunta três não está.

Ferramentas no Elido#

As especificidades, para referência.

Pin de região ao nível do workspace. Os novos workspaces têm como predefinição a região da UE. Os workspaces Business e Enterprise podem fixar em Leste dos EUA ou Ásia-Pacífico por workspace. O pin é aplicado na camada de encaminhamento - não é uma preferência do painel que pode ser substituída por uma mudança de configuração sem uma emenda ao contrato ao nível do workspace. A página de confiança documenta a infraestrutura.

DPA pré-assinado. O DPA do Artigo 28 está incluído no contrato padrão do cliente. Não é necessária negociação personalizada para compradores da UE que precisam de cobertura padrão do Artigo 28. Os contratos Enterprise com direitos de auditoria adicionais, janelas de aprovação de subprocessadores ou termos de retenção personalizados são negociados separadamente. O DPA padrão está disponível em /legal/dpa.

Lista de subprocessadores. Publicada em /legal/subprocessors. Cinco fornecedores. As adições desencadeiam um email de notificação com 30 dias de antecedência mais um feed RSS para monitorização baseada em ferramentas. O direito de oposição dentro de 30 dias é contratual, não administrativo.

Encaminhamento de conversão do lado do servidor. As credenciais para Meta CAPI, GA4 Measurement Protocol e Mixpanel são registadas uma vez ao nível do workspace. O Elido trata do hashing SHA-256 dos identificadores antes do POST de saída, deduplicação via o campo event_id, e lógica de reenvio em erros transitórios a montante. A transferência é servidor-para-servidor a partir de infraestrutura da UE; o browser do utilizador não contacta diretamente a plataforma publicitária.

ISO 27001. Certificado. SOC 2 Tipo II em curso, data alvo S2 2026. BAAs disponíveis no plano Business para implementações adjacentes à saúde.

Para a postura de conformidade completa, /solutions/compliance é o resumo orientado para a equipa de compras.

O que não afirmamos fazer#

Esta secção existe porque "residência de dados na UE" é uma frase que os fornecedores usam de forma solta, e não devemos fazê-lo.

O Elido é a camada de links. Um clique encaminhado através do edge EU do Elido fica dentro da infraestrutura da UE na camada do Elido. O evento de clique é registado no nosso armazenamento de análise na região da UE. O sinal de conversão encaminhado do lado do servidor para a Meta CAPI sai da infraestrutura europeia - essa transferência acontece em seu nome, sob a sua responsabilidade de responsável pelo tratamento, e precisa de a documentar no seu RoPA e cobri-la com o mecanismo de transferência adequado.

Se a sua organização exige que absolutamente nenhum dado pessoal sobre sujeitos europeus saia do EEE em quaisquer circunstâncias - incluindo o segmento de atribuição da plataforma publicitária - a resposta não é um encurtador diferente. A resposta é não enviar eventos de conversão para plataformas publicitárias alojadas nos EUA de todo. Essa é uma decisão de negócio e marketing, não tecnológica.

O que o Elido lhe dá: uma camada de links que trata dados de cliques de sujeitos europeus em infraestrutura europeia por predefinição, com subprocessadores documentados, um DPA pré-assinado, truncamento de IP, encaminhamento de conversão do lado do servidor com hashing de identificadores e uma contagem de subprocessadores suficientemente pequena para auditar numa tarde. Isso cobre de forma limpa a obrigação de residência da camada de links.

A sua plataforma de email marketing, o seu CRM, as suas plataformas publicitárias e o seu armazém de análises têm cada um a sua própria postura de residência. O Elido não é a resposta para esses; somos a resposta para a camada de redirecionamento e atribuição de cliques, e não vamos exagerar o âmbito.

A cornerstone do RGPD para encurtadores de URL cobre o quadro completo de obrigações do subcontratante ao nível de artigo, se quiser a fundamentação de conformidade por detrás de qualquer uma das decisões acima.

Leia o cluster de conformidade#

Esta publicação é a cornerstone da pista de residência do cluster de conformidade. Publicações irmãs: RGPD para encurtadores de URL (obrigações do subcontratante artigo por artigo), e a próxima publicação sobre Schrems II e pixels de rastreio (as consequências práticas da atribuição na camada do browser). Para os artefactos da página de confiança e contrato: /trust, /legal/dpa, /legal/subprocessors. Para o resumo orientado para soluções: /solutions/compliance.

Experimente Elido

Cole uma URL, obtenha um link curto

Sem cadastro. O link vive 30 dias. Cadastre-se para mantê-lo para sempre.

Grátis, sem necessidade de registo · 2 por dia

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito - sem cartão de crédito.

Experimente o Elido grátisVer preços
Tags
eu data residency
eu hosted analytics
gdpr analytics
schrems ii
marketing compliance
data processing agreement

Continuar lendo