8 min de leituraConformidade

O Bitly Cumpre o RGPD? A Resposta Honesta de uma DPO

O Bitly tem um DPA, cláusulas contratuais-tipo e certificação do Data Privacy Framework. Conforme, sim - mas não é o mesmo que residência de dados exclusivamente na UE.

Sasha Ehrlich
Compliance · EU residency
O Bitly cumpre o RGPD: dados de cliques da UE a atravessar para os Estados Unidos ao abrigo de um instrumento legal de transferência, ao lado de um percurso de residência na UE onde os dados nunca saem da UE

Sim. O Bitly cumpre o RGPD no sentido que importa para uma lista de verificação de compras: publica um Acordo de Processamento de Dados, transfere dados ao abrigo de Cláusulas Contratuais-Tipo, detém uma certificação ativa do Data Privacy Framework UE-EUA, opera uma entidade na UE em Berlim, e responde a pedidos de titulares de dados ao abrigo dos Artigos 15 a 21. Se a caixa no seu formulário de fornecedores disser "conforme com o RGPD: sim/não", a resposta honesta é sim.

A questão mais difícil - a que a sua DPO coloca depois da lista de verificação - é onde é que os seus dados de cliques realmente residem. A conformidade do Bitly assenta em mover dados pessoais da UE para os Estados Unidos e cobrir essa transferência com um instrumento legal. Isso é legal hoje. Não é o mesmo que residência de dados na UE, e para alguns compradores a diferença entre as duas coisas decide o contrato.

Este é um artigo do cluster de conformidade, pelo que os artigos são citados e as fontes estão ligadas para que possa levá-las ao seu próprio departamento jurídico. Para o enquadramento por trás de tudo isto - o que o RGPD exige a qualquer encurtador, não só ao Bitly - a obra de referência RGPD para encurtadores de URL percorre os Artigos 3, 6, 28, 30, 32 e 35, um a um.

A Resposta Curta, e o Asterisco

O Bitly fez o trabalho de conformidade que se espera de um fornecedor sério. Ao ler a sua política de privacidade (consultada em 2026-07-17), toda a maquinaria está lá:

  • Um Acordo de Processamento de Dados, incorporado nos Termos de Serviço.
  • Cláusulas Contratuais-Tipo para transferências fora do EEE.
  • Uma certificação ativa do Data Privacy Framework UE-EUA, mais a Extensão do Reino Unido e o Framework Suíça-EUA.
  • Um estabelecimento na UE: Bitly Europe GmbH em Berlim, com um encarregado de proteção de dados nomeado (DataCo GmbH).
  • Um processo de direitos dos titulares de dados, dividido entre [email protected] para questões dos EUA e [email protected] para questões da UE, cobrindo acesso, retificação, apagamento, limitação, portabilidade e oposição.
  • Uma regra de retenção declarada: os dados pessoais são apagados ou anonimizados a pedido, ou após três anos desde o último contacto com o titular dos dados, o que ocorrer primeiro.

Nada disto está em disputa. Um fornecedor com um DPA, SCCs, uma certificação do Framework e um DPO na UE não está "a ignorar o RGPD", e qualquer artigo que afirme o contrário está a vender algo. O asterisco não é sobre se o Bitly cumpre. É sobre como cumpre - e o mecanismo é a transferência transatlântica.

Para Onde Vão Realmente os Seus Dados no Bitly

A própria estrutura do Bitly é a declaração mais clara disto. A Bitly Europe GmbH (Berlim) e a Bitly Inc. (Nova Iorque) são responsáveis conjuntos ao abrigo do Artigo 26, vinculadas por um acordo de responsabilidade conjunta. Os dados da sua conta, e os dados de cliques que fluem através dos seus links, encontram-se dentro desse acordo conjunto, e o acordo atravessa o Atlântico por design.

A política de privacidade é explícita: os dados pessoais "podem ser transferidos para fora da União Europeia e do Espaço Económico Europeu, incluindo, mas não se limitando, aos Estados Unidos da América." Cada redirecionamento regista um endereço IP e um user-agent; ambos podem ser dados pessoais de pessoas identificáveis. Portanto, o fluxo de cliques que um encurtador regista está dentro do âmbito, e no caso do Bitly esse fluxo é encaminhado para um modelo de processamento centrado nos EUA.

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

Isto é legal. É também uma dependência permanente dos instrumentos legais que sustentam a transferência UE-EUA - e esses instrumentos têm um histórico.

Por Que "Certificado no Data Privacy Framework" Não É o Fim da História

As salvaguardas de transferência em que o Bitly se apoia foram reconstruídas duas vezes depois de o Tribunal de Justiça as ter anulado. O Safe Harbour caiu em 2015. O Privacy Shield caiu no Schrems II (TJUE C-311/18, 2020), que também elevou a fasquia para as SCCs ao exigir uma Avaliação de Impacto de Transferência para cada transferência. O Data Privacy Framework UE-EUA, adotado pela Comissão Europeia em 2023, é o sucessor atual - e aquele ao abrigo do qual o Bitly está certificado.

Daqui resultam duas coisas para um comprador.

Primeiro, uma certificação é uma afirmação pontual no tempo, não um estado permanente. As certificações caducam, são retiradas, ou deixam de estar em conformidade. Se depende do estatuto do Bitly no Framework, verifique se continua ativo na lista oficial de participantes do Data Privacy Framework em vez de confiar apenas na página de política.

Segundo, o próprio Framework está sob pressão legal. Defensores da privacidade sinalizaram intenção de o contestar, e um terceiro julgamento Schrems é um cenário que compradores prudentes já preveem hoje. O Capítulo V do RGPD - Artigos 44 a 49 sobre transferências internacionais - é a parte do regulamento com o terreno menos assente por baixo. Construir uma stack de atribuição de marketing sobre o único capítulo com maior probabilidade de mudar é um risco que algumas organizações aceitam e outras não.

Conforme Não É o Mesmo Que Exclusivo na UE

Aqui está a distinção que realmente decide as compras. "Conforme com o RGPD" e "os dados ficam na UE" são afirmações diferentes, e o Bitly cumpre a primeira sem fazer a segunda.

Para muitas equipas, isso é suficiente. Uma equipa de marketing a encurtar links para uma campanha pública, com a análise de cliques fundamentada em interesse legítimo, está bem servida por um fornecedor conforme baseado em transferência. Os instrumentos legais cobrem-nos.

Deixa de ser suficiente quando o seu setor escreve a residência no requisito. Dados do setor público e de saúde alemães ao abrigo das regras de proteção de dados sociais, dados de saúde franceses ao abrigo da certificação HDS, dados de serviços financeiros ao abrigo das orientações da EBA - todos empurram para o processamento exclusivo na UE. Nesses casos, uma postura baseada em transferência não é uma caixa de verificação, é uma obrigação contínua: carrega a Avaliação de Impacto de Transferência, volta a executá-la quando o fundamento legal muda, e documenta por que uma transferência para os EUA se justifica para dados pessoais que poderia ter mantido na UE. Um encurtador residente na UE elimina esse trabalho porque não há transferência a avaliar.

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

Se o seu requisito for que os dados de cliques da UE nunca saiam da UE, o Elido mantém-nos na região da UE por defeito - a residência é contratual e operacionalmente aplicada, não uma linha numa brochura. Essa é a diferença entre responder "estamos conformes?" e responder "conseguimos provar que os dados nunca saíram?" sem uma análise de transferência anexada.

O Que Verificar Antes de Confiar no Bitly

O estatuto de conformidade é real, pelo que o trabalho útil é perceber se se ajusta às suas obrigações. Cinco coisas a confirmar por escrito:

  1. O seu requisito é conformidade, ou é residência? Se alguma parte interessada disse "exclusivo na UE", uma certificação do Framework não satisfaz isso. Precisa de um compromisso de residência, e essas são cláusulas diferentes.
  2. Verifique a retenção por defeito. A regra declarada do Bitly mantém dados até três anos após o último contacto, pelo que, se a política do seu responsável pelo tratamento for mais curta, isso tem de ser configurado em vez de assumido.
  3. Peça a lista de subcontratantes. Uma estrutura de responsáveis conjuntos que abrange dois continentes tende a significar que mais partes tocam nos dados, e quer saber quais delas estão no percurso dos eventos de cliques.
  4. Confirme que a certificação do Framework continua ativa na lista governamental hoje, não apenas referenciada na página de política. As certificações caducam.
  5. Leia o DPA. Está incorporado nos Termos de Serviço, pelo que o modelo de autorização de subcontratantes e o SLA de apagamento estão lá em vez de num documento assinado separado. Um DPA que cumpra o Artigo 28 é o piso, não o teto - a obra de referência detalha o que cada cláusula do Artigo 28(3) deve dizer.

Para uma visão mais ampla do mercado sobre quem se compromete com o processamento na UE e quem transfere, o resumo dos melhores encurtadores de URL da UE e o artigo mais aprofundado sobre residência de dados da UE para marketing cobrem as alternativas. Se o modelo do Bitly for a coisa específica que está a ponderar, Elido versus Bitly coloca as linhas de residência e preços lado a lado, e os interstitials publicitários nos links gratuitos do Bitly são uma razão separada pela qual as equipas da UE têm vindo a reavaliar.

A Conclusão

O Bitly cumpre o RGPD? Sim. Tem o DPA, as SCCs, a certificação do Data Privacy Framework, a entidade na UE, e a maquinaria de direitos dos titulares de dados. Quem afirmar que o Bitly é totalmente não conforme está errado.

Mas "conforme" nunca foi a questão completa. A conformidade do Bitly assenta em transferir dados pessoais da UE para os Estados Unidos e cobrir essa transferência com instrumentos que o Capítulo V do RGPD continua a desestabilizar. Se é um marketer a gerir campanhas públicas, essa é uma troca razoável. Se está numa posição regulada ou sensível à soberania onde os dados de cliques da UE não podem sair da UE, então "conforme via transferência" não passa no seu limiar - e a solução não é um DPA melhor, é um encurtador que nunca faz a transferência em primeiro lugar. Decida em que posição está antes de decidir a ferramenta.

Leia a Série de Referência

Isto insere-se no cluster de conformidade. A obra de referência é RGPD para encurtadores de URL: o que a sua DPO realmente quer ver - comece por aí para o enquadramento artigo a artigo. Para o resumo orientado para compras, a página de confiança e solutions/compliance são os dois recursos a marcar.

Relacionado no Blog

Perguntas frequentes

O Bitly cumpre o RGPD?

Sim, no sentido formal. O Bitly publica um Acordo de Processamento de Dados, transfere dados ao abrigo de Cláusulas Contratuais-Tipo, detém uma certificação ativa do Data Privacy Framework UE-EUA, opera uma entidade na UE em Berlim e responde a pedidos de titulares de dados ao abrigo dos Artigos 15 a 21. A nuance é que a sua conformidade depende da transferência de dados pessoais da UE para os Estados Unidos, o que é legal mas não é o mesmo que manter os dados na UE.

O Bitly armazena dados de cliques na UE?

Não por defeito. A política de privacidade do Bitly declara que os dados pessoais podem ser transferidos para fora da UE e do EEE, incluindo para os Estados Unidos, ao abrigo das Cláusulas Contratuais-Tipo e do Data Privacy Framework. Não existe nos termos públicos um compromisso padrão de processamento exclusivo na UE, pelo que, se a residência na UE for o seu requisito, tem de a pedir especificamente.

O Bitly tem um acordo de processamento de dados?

Sim. O DPA do Bitly está incorporado nos seus Termos de Serviço em vez de ser assinado como documento separado, e a Bitly Europe GmbH e a Bitly Inc. atuam como responsáveis conjuntos ao abrigo do Artigo 26 pelos dados que controlam. Leia diretamente os termos do DPA para confirmar o modelo de autorização de subcontratantes e o SLA de apagamento antes de confiar neles.

O Bitly está certificado ao abrigo do Data Privacy Framework UE-EUA?

Sim. O Bitly certificou junto do Departamento de Comércio dos EUA que adere aos Princípios do Data Privacy Framework UE-EUA, bem como à Extensão do Reino Unido e ao Framework Suíça-EUA. Pode verificar se a certificação continua ativa na lista oficial de participantes em dataprivacyframework.gov, uma vez que as certificações podem caducar ou ser retiradas.

O Bitly é seguro para empresas da UE utilizarem ao abrigo do RGPD?

Para uso de marketing geral, sim - os instrumentos legais estão em vigor. Torna-se uma questão mais difícil quando o seu setor exige processamento exclusivo na UE (dados sociais alemães, dados de saúde franceses ao abrigo do HDS, serviços financeiros), porque uma postura baseada em transferência deixa-o a carregar uma Avaliação de Impacto de Transferência que um encurtador residente na UE elimina por completo.

Experimente Elido

Cole uma URL, obtenha um link curto

Sem cadastro. O link vive 30 dias. Cadastre-se para mantê-lo para sempre.

Grátis, sem necessidade de registo · 2 por dia

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito - sem cartão de crédito.

Tags
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

Continuar lendo