Elido
Blog
15 min de leituraConformidade
Essencial

GDPR para encurtadores de URL: o que o seu DPO realmente quer ver

A leitura de um consultor de conformidade da UE sobre os artigos do GDPR aplicáveis aos encurtadores de URL — Artigos 3, 6, 28, 30, 32, 35, divulgação de sub-processadores e as cláusulas do DPA que realmente importam

Sasha Ehrlich
Compliance · EU residency
GDPR article-by-article applicability map for URL shorteners: Articles 3, 6, 28, 30, 32, 35 with what each requires from the shortener and the customer

Passei quatro anos a rever Acordos de Processamento de Dados SaaS do lado do fornecedor e um ano a analisá-los do posto de um comprador fintech. As cláusulas com que todos se preocupam — encriptação em repouso, janelas de retenção, o SLA de notificação de violação — são geralmente aceitáveis num encurtador sério. As cláusulas que realmente decidem a aquisição são mais subtis. São aquelas que o DPO já leu vezes suficientes para ter uma opinião, e as que um crachá genérico "conformidade com GDPR" não aborda.

Esta publicação é a leitura de um DPO em exercício sobre o que o GDPR exige de um encurtador de URL que processa dados de cliques em sujeitos da UE, com os números dos artigos citados para que possa levar as afirmações ao seu próprio consultor e verificar. Vou assinalar onde a postura do Elido é conservadora, onde é o padrão do setor, e onde o comprador razoável ainda deve pedir um aditamento.

As referências aos artigos são para o Regulamento (UE) 2016/679 — o texto consolidado do GDPR no EUR-Lex. Onde cito orientações de autoridades de supervisão, faço a ligação à decisão fonte. Onde cito jurisprudência, a citação é para o acórdão do TJUE.

Por que um encurtador de URL está no âmbito afinal#

Um encurtador de URL é um processador nos termos do Artigo 4(8) quando processa dados de cliques em pessoas singulares identificáveis em nome do cliente. O cliente é o responsável pelo tratamento; decide por que razão os dados são recolhidos (atribuição de campanha) e com que base (Artigo 6 — tipicamente interesse legítimo ao abrigo do 6(1)(f) para análises ao nível de cliques, consentimento ao abrigo do 6(1)(a) onde está envolvido rastreamento granular). O encurtador é o processador; processa esses dados apenas com base em instruções documentadas do responsável pelo tratamento, que é a substância do Artigo 28.

Dois elementos de dados tornam isso inequívoco. Cada redirecionamento regista um endereço IP; o TJUE decidiu desde Breyer (C-582/14, 2016) que os endereços IP dinâmicos podem ser dados pessoais quando combinados com informações disponíveis para o responsável pelo tratamento. Cada redirecionamento também regista um agente de utilizador, que quando combinado com IP e timestamp é suficiente para identificar indivíduos em muitos padrões de alto tráfego — o CEPD assinalou isto nas Orientações 04/2020 sobre o uso de dados de localização e o princípio generaliza-se.

Portanto: um encurtador de URL processa dados pessoais de sujeitos da UE, mesmo que o próprio evento de clique pareça anónimo à primeira vista. As questões seguem-se daí.

Artigo 3: âmbito territorial#

O Artigo 3 é o artigo que é mais frequentemente mal interpretado por fornecedores baseados nos EUA que vendem para a UE.

O Artigo 3(1) cobre o tratamento no contexto de um estabelecimento na UE. O Artigo 3(2) cobre o tratamento de dados de sujeitos da UE por um responsável pelo tratamento ou processador fora da UE quando o tratamento se relaciona com (a) a oferta de bens ou serviços a sujeitos da UE, ou (b) a monitorização do seu comportamento quando este ocorre na UE. O rastreamento de cliques em utilizadores da UE é monitorização; o GDPR aplica-se independentemente de onde o encurtador está alojado.

A conclusão é que "somos uma empresa norte-americana, o GDPR não se aplica" está errado. Todos os encurtadores que processam cliques de utilizadores da UE devem cumprir. A questão relevante para a aquisição não é se o GDPR se aplica — aplica-se — mas como o fornecedor demonstra conformidade e quais os compromissos de residência que são contratualmente vinculativos.

Artigo 6: base jurídica#

O rastreamento de cliques via encurtador tipicamente assenta numa de três bases jurídicas.

6(1)(a) — consentimento. O responsável pelo tratamento obteve o consentimento do titular dos dados para o tratamento. Para o rastreamento de cliques ao nível do encurtador, o consentimento é geralmente incluído no banner de cookies ou no fluxo de opt-in de marketing na página de destino. As orientações do CEPD sobre consentimento (Orientações 05/2020, versão 1.1, 2020) exigem consentimento livre, específico, informado e inequívoco.

6(1)(b) — necessário para a execução de um contrato. O próprio redirecionamento — receber o clique e encaminhar para o destino — é necessário para o serviço que o utilizador solicitou. A linha mais clara é que o roteamento é execução de contrato, enquanto que a camada de análises (se esse clique é registado para análise retrospetiva) é uma operação de tratamento separada que pode necessitar de uma base diferente.

6(1)(f) — interesse legítimo. A maioria dos clientes B2B fundamenta as análises ao nível de campanha em interesse legítimo após realizar uma Avaliação de Interesse Legítimo (LIA). A LIA equilibra o interesse do responsável pelo tratamento em medir a eficácia do marketing com os interesses do titular dos dados; para contagens de cliques agregados e atribuição padrão, o equilíbrio geralmente inclina-se a favor do responsável pelo tratamento. Para criação de perfis comportamentais de alta resolução — fingerprinting, rastreamento entre sites, retargeting ao nível do utilizador — a LIA torna-se mais difícil.

O encurtador é o processador em todos os três casos. Processa os dados com base em instruções documentadas do responsável pelo tratamento. Não escolhe a base jurídica; isso é feito pelo responsável pelo tratamento.

Artigo 28: o acordo com o processador#

O Artigo 28(3) lista as oito obrigações que qualquer contrato entre um responsável pelo tratamento e um processador deve incluir. Leia-o diretamente; os sub-parágrafos (a) a (h) são curtos e concretos. Um DPA funcional para um encurtador de URL tem de abordar cada um deles.

Vou percorrer como essas cláusulas se manifestam na prática.

(a) Tratamento apenas com base em instruções documentadas. As instruções do responsável pelo tratamento são o contrato mais as instruções escritas do cliente por funcionalidade (por exemplo, "tratar eventos de cliques para estes espaços de trabalho, reter por X meses"). O encurtador não pode usar dados de cliques de clientes para os seus próprios fins sem instrução do responsável pelo tratamento. Na prática, isto significa: sem usar dados de cliques de clientes para treinar modelos de recomendação internos sem opt-in, sem análises agregadas partilhadas com terceiros sem aviso. O DPA padrão do Elido é explícito sobre isso; se o DPA do seu encurtador atual não for, pergunte por quê.

(b) Confidencialidade. As pessoas que tratam os dados estão vinculadas por obrigações de confidencialidade. Isto é operacional do lado do fornecedor e raramente é contestado.

(c) Medidas de segurança (Artigo 32). Coberto abaixo na sua própria secção.

(d) Contratação de sub-processadores. O processador apenas contrata sub-processadores com a autorização do responsável pelo tratamento, e o sub-processador deve aceitar obrigações equivalentes ao abrigo de um contrato escrito. Existem dois tipos de autorização. A autorização prévia específica requer que o responsável pelo tratamento consinta em cada novo sub-processador. A autorização prévia geral requer apenas aviso antecipado, com o direito de se opor. A maioria dos contratos SaaS usa autorização geral com uma janela de aviso de 30 dias. Ambas são aceitáveis ao abrigo do Artigo 28; o que importa é que o contrato especifique qual.

(e) Assistência com os direitos dos titulares dos dados. O processador tem de ajudar o responsável pelo tratamento a responder a pedidos dos titulares dos dados ao abrigo dos Artigos 15-22. Para um encurtador, isto significa que o responsável pelo tratamento pode pedir uma exportação de eventos de cliques indexada por um identificador específico (raro, mas acontece), e o encurtador tem de ser capaz de a fornecer. A API do Elido inclui GET /v1/clicks?subject_id= para este fim; se o seu encurtador atual não tiver isso, responderá a pedidos de acesso de titulares manualmente.

(f) Assistência com os artigos 32/33/34/35/36. O processador tem de ajudar o responsável pelo tratamento a cumprir as obrigações de segurança, notificação de violação e DPIA. A "ajuda" é operacional — fornecimento de relatórios de auditoria de segurança, notificação de violações dentro de um SLA, fornecimento do detalhe técnico necessário para uma DPIA.

(g) Devolução ou eliminação no fim dos serviços. Quando o contrato termina, o processador devolve ou elimina todos os dados pessoais, a não ser que o direito da União ou de um Estado-Membro exija armazenamento. A cláusula padrão do Elido é 30 dias após a rescisão, com um certificado de eliminação documentado a pedido.

(h) Direitos de auditoria. O processador deve disponibilizar todas as informações necessárias para demonstrar conformidade e submeter-se a auditorias. Os contratos SaaS restringem isso a questionários de auditoria escritos mais auditorias no local com aviso razoável; os direitos de auditoria irrestrita completa são invulgares fora dos contratos enterprise.

Se o DPA do seu encurtador atual estiver em falta ou for vago em qualquer um de (a)-(h), a conversa de aquisição não deve avançar. Um DPA que cumpre o Artigo 28 é o mínimo, não o teto.

Artigo 30: registos de atividades de tratamento#

O Artigo 30 exige que os processadores mantenham registos das atividades de tratamento (RoPA). O RoPA do processador é o artefacto voltado para o cliente que permite ao seu DPO compreender o que o encurtador está a fazer com os dados.

O Elido publica um modelo de RoPA por cliente que pode mapear para o seu próprio. As colunas são categorias de titulares dos dados, categorias de dados pessoais, destinatários, transferências para países terceiros (nenhuma por predefinição), retenção e medidas de segurança. Padronizado, mas as equipas de aquisição querem vê-lo preenchido concretamente. O DPO não quer um marcador de posição. Se o seu encurtador não fornecerá isso, o ónus recai sobre si para compilá-lo a partir da documentação.

Artigo 32: segurança do tratamento#

O Artigo 32 exige "medidas técnicas e organizacionais adequadas" para garantir um nível de segurança adequado ao risco. O artigo é deliberadamente não prescritivo; as autoridades de supervisão detalham-no através de orientações.

Para um encurtador de URL, o mínimo operacional que a maioria dos DPOs procurará:

  • TLS 1.3 em trânsito, sem fallback para TLS 1.0 ou 1.1.
  • Encriptação em repouso para o armazenamento de eventos de cliques, com rotação de chaves documentada.
  • Segmentação de rede entre o plano de redirecionamento e o plano de análises.
  • Autenticação via SSO/SAML ou OIDC para a superfície voltada para o cliente; serviço a serviço via credenciais de curta duração.
  • Um registo de auditoria de ações administrativas do lado do encurtador, retido por pelo menos 12 meses.
  • Resposta a incidentes documentada e exercícios de mesa regulares.
  • Certificação ISO 27001 ou atestação independente equivalente.

O Elido é certificado ISO 27001 e está a meio caminho do SOC 2 Tipo II (objetivo H2 2026). A superfície de controlo técnico está documentada na página de confiança. Para tráfego relevante para HIPAA, os BAAs estão disponíveis no plano Business.

A formulação ao nível do artigo é importante aqui: "adequado ao risco" é um padrão relativo. Um encurtador que processa cliques de campanha num site de marketing público tem menos risco do que um usado internamente para partilhar URLs de sessão autenticadas. O seu DPO deve dimensionar o risco que realmente corre.

Artigo 35: DPIA#

O Artigo 35 exige uma Avaliação de Impacto sobre a Proteção de Dados para o tratamento "suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares", com atenção particular para (a) avaliação sistemática e extensiva, (b) dados de categorias especiais e (c) monitorização sistemática de áreas publicamente acessíveis em grande escala.

Para a maioria dos casos de uso de encurtadores, uma DPIA não é estritamente necessária — o rastreamento de cliques de campanha num site de marketing não é "avaliação sistemática e extensiva" no sentido do 35(3)(a). Onde uma DPIA se torna aconselhável:

  • Criação de perfis comportamentais entre sites ao nível individual.
  • Rastreamento que combina dados do encurtador com outros dados pessoais (enriquecimento CRM, corretores de dados de terceiros) para construir um perfil ao nível da pessoa.
  • Uso de dados de cliques para tomar decisões com efeitos legais ou significativamente similares no titular dos dados (raro, mas concebível em contextos de crédito ou emprego).
  • Tráfego de alto volume de contextos de categorias especiais (saúde, religião, opinião política).

Se estiver a encomendar uma DPIA para o tratamento relacionado com encurtadores, as orientações do GT29 (WP248 rev.01) são a referência metodológica; muitas autoridades de supervisão publicaram os seus próprios modelos, incluindo o software PIA da CNIL.

Artigo 28(2): divulgação de sub-processadores#

A questão GDPR única mais tratável é "quem mais toca nos dados?". O Artigo 28(2) exige que o processador divulgue qualquer sub-processador que contratar e obtenha autorização. Na prática, todos os SaaS sérios publicam uma lista de sub-processadores e um processo de notificação para adições.

Como é uma boa lista:

  • Nome do sub-processador, localização do tratamento, função.
  • Categorias de dados pessoais partilhados.
  • Base jurídica para a transferência (quando aplicável).
  • Data em que o sub-processador foi adicionado.
  • Mecanismo de notificação para adições (tipicamente email + feed RSS/JSON).
  • Direito de objeção: geralmente 30 dias após a notificação.

A lista pública de sub-processadores do Elido nomeia cinco fornecedores. Esse número é pequeno propositadamente — cada novo sub-processador adiciona à superfície do seu programa de privacidade. Compare com o encurtador atual: se tiverem 30 sub-processadores e não conseguir dizer quais estão no caminho do evento de clique, essa é uma questão de divulgação material.

Schrems II: quando a residência na UE se torna contratual#

O Schrems II (TJUE C-311/18, 2020) invalidou o EU-US Privacy Shield e exigiu, para transferências internacionais de dados ao abrigo de CCPs, uma Avaliação de Impacto da Transferência que avalie se o regime de vigilância do país de destino negaria aos sujeitos da UE proteção efetiva dos seus direitos.

O quadro sucessor — o EU-US Data Privacy Framework, adotado via Decisão da Comissão (UE) 2023/1795 — substitui o Privacy Shield para organizações participantes. Dois avisos importantes:

  • A cobertura é voluntária; nem todos os fornecedores SaaS dos EUA estão certificados. Verifique a lista de participantes DPF.
  • O quadro é ele próprio objeto de litígio pendente. O NOYB sinalizou intenção de contestar e um terceiro acórdão Schrems é plausível. Os compradores suficientemente prudentes para planear esse cenário estão a exigir cada vez mais por contrato o tratamento apenas na UE.

Onde isto aterra para a seleção do encurtador: se o seu comprador sinalizou residência de dados ou a sua regulação setorial exige tratamento apenas na UE (saúde alemã ao abrigo da lei de proteção de dados sociais, dados de saúde franceses via certificação HDS, serviços financeiros ao abrigo das orientações da EBA), um encurtador alojado na UE simplifica o contrato. A cláusula de residência é concreta, a TIA é desnecessária e o ciclo de aquisição encurta.

O Elido está alojado em Frankfurt por predefinição. Os clientes Business+ podem fixar em Ashburn ou Singapura onde o seu perfil de tráfego o exija. A fixação é por espaço de trabalho, documentada contratualmente e aplicada operacionalmente — não uma afirmação de marketing.

Minimização de dados: o que não tem de registar#

O Artigo 5(1)(c) exige que o tratamento seja "adequado, pertinente e limitado ao que é necessário em relação às finalidades para as quais é tratado". Para um encurtador, isso recai sobre o esquema de eventos de cliques.

Os sinais que um encurtador pode recolher no momento do redirecionamento:

  • Endereço IP (completo, truncado a /24, ou com hash).
  • Cadeia do agente de utilizador (completa, ou analisada em cliente/SO sem os tokens raros que identificam).
  • Referenciador.
  • Timestamp.
  • Geolocalização derivada do IP (país, cidade).
  • Dispositivo derivado do UA (móvel/computador/tablet, família de SO).
  • ID de clique (o próprio identificador do encurtador para o evento).

Desses, a finalidade real do responsável pelo tratamento geralmente requer o dispositivo analisado, o país, o timestamp, o ID de clique e possivelmente o referenciador. O endereço IP em si raramente é necessário após o momento do redirecionamento — uma vez feita a geolocalização e a deteção de bots, o IP pode ser truncado ou ter hash antes de aterrar no armazenamento de cliques. O mesmo para o UA: os campos device.type / device.os analisados são o que a atribuição realmente usa; a cadeia UA completa é material de fingerprinting que deve ser descartado.

O Elido trunca os IPs para /24 (IPv4) ou /48 (IPv6) antes de persistir eventos de cliques. O UA completo é analisado e descartado. Ambos os comportamentos são documentados e configuráveis por espaço de trabalho se o seu caso de uso específico requerer os dados de maior resolução — mas a predefinição é minimização, que é a postura do Artigo 5(1)(c) por design e não por correção posterior.

Direitos dos titulares dos dados na camada do encurtador#

O responsável pelo tratamento trata os pedidos de exercício de direitos dos titulares; o processador assiste. Para um encurtador, dois pedidos surgem:

Artigo 15 — direito de acesso. O titular dos dados pede uma cópia dos seus dados pessoais. O encurtador tem de ser capaz de recuperar eventos de cliques indexados por um identificador do titular. Na prática, isto é difícil se o único identificador for "todos os que clicaram na ligação X a partir deste IP". A resposta pragmática: o encurtador exporta os eventos de cliques para o IP/período de tempo que o responsável pelo tratamento especifica, e o responsável pelo tratamento filtra para o titular relevante.

Artigo 17 — direito ao apagamento. O titular dos dados pede a eliminação. O encurtador tem de ser capaz de eliminar eventos de cliques a pedido dentro da formulação "sem demora injustificada" do GDPR — o SLA operacional padrão é 30 dias. A complicação: os eventos de cliques são geralmente armazenados numa base de dados de análises apenas de adição (ClickHouse, BigQuery, Snowflake). A eliminação é real, mas é um DELETE contra a partição e não uma edição ao nível da linha. Certifique-se de que o DPA do seu encurtador se compromete com um SLA de apagamento específico e que a arquitetura subjacente o pode cumprir.

O Elido suporta ambos via API: GET /v1/subjects/{id}/clicks e DELETE /v1/subjects/{id}. A eliminação é propagada para o armazenamento de eventos de cliques dentro de 24 horas e confirmada via webhook.

O que perguntar na aquisição#

A lista de verificação comprimida para uma conversa de aquisição:

  1. Onde está o encurtador alojado? (Resposta de uma frase; fixado ou não.)
  2. O DPA está pré-assinado ou negociado por cliente? (Pré-assinado é mais rápido.)
  3. Quantos sub-processadores? (Menos é mais simples.)
  4. O contrato padrão inclui o tratamento apenas na UE, ou isso é um aditamento separado?
  5. Qual é a predefinição de truncagem de IP em eventos de cliques?
  6. Existe um endpoint para o Artigo 15/17, ou o apagamento passa pelo suporte?
  7. Qual é o SLA de notificação de violação? (24 horas desde a perceção é a norma do setor.)
  8. Atestação independente: ISO 27001? SOC 2 Tipo II? Quando foi a última auditoria?

Um fornecedor que consegue responder a esses oito por escrito na chamada de descoberta está pronto para aquisição. Um fornecedor que não consegue vai adicionar semanas ao seu ciclo de vendas.

Leia a série cornerstone#

Este é o cornerstone do cluster de conformidade. Publicações irmãs no cluster: a próxima residência de dados da UE para análises de marketing (mais profundidade nas especificações contratuais), Schrems II e pixels de rastreamento (o impacto prático na atribuição) e Atribuição de cliques após o Safari ITP (a consequência operacional do mundo sem cookies). Para o resumo voltado para aquisição, a página de confiança e solutions/compliance são os dois artefactos para guardar nos favoritos. Para o detalhe arquitetónico por trás da afirmação de residência, o documento de arquitetura edge-redirect percorre como a fixação regional é aplicada no momento do roteamento.

Relacionados no blog#

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito — sem cartão de crédito.

Experimente o Elido grátisVer preços
Tags
gdpr url shortener
url shortener data residency
link tracking gdpr
schrems ii
dpa
sub-processor disclosure
article 28
article 30

Continuar lendo