Pular para o conteúdo
OS Domains
Regulation

Conformidade GDPR artigo 28, sociedade UE, roteamento UE.

Sob o GDPR, a OS Domains atua como operador de tratamento (artigo 28) para os seus clientes controladores, com o tratamento de e-mail residente na UE por padrão: conteúdo, dados de destinatário e logs ficam no EEE sob uma entidade austríaca sem matriz estadunidense, o que mantém o capítulo de transferências internacionais fora da maioria das avaliações. O DPA traz as cláusulas do artigo 28, as medidas de segurança do artigo 32 ditas em concreto (TLS 1.3, AES-256, MFA, pseudonimização), a cadeia de suboperadores com direito de oposição e um pacote de suporte ao registro do artigo 30. Para a empresa brasileira com titulares europeus, isso simplifica a documentação: o tratamento UE-UE evita a transferência internacional, e a ponte Brasil-UE se cobre por SCC sob o artigo 33 da LGPD. A direção regulatória de 2026 com o Digital Omnibus (proposto em 19 de novembro de 2025) é uma simplificação em tramitação, não uma mudança de fundo.

O GDPR estabelece uma relação controlador-operador entre sua empresa e nós. Você determina as finalidades e meios do tratamento dos dados pessoais dos destinatários; nós tratamos conforme suas instruções documentadas. Nosso DPA em /dpa endereça cada obrigação do artigo 28(3) de forma expressa. Somos uma sociedade constituída na UE (Áustria), com roteamento UE padrão e um DPO designado acessível em [email protected] em 1 dia útil. Nosso compromisso de notificação de incidente é de 48 horas — mais rigoroso que o piso regulatório de 72 horas — para deixar margem para sua própria notificação à autoridade competente sob o artigo 33.

Para empresas brasileiras com usuários europeus, o GDPR aplica diretamente em paralelo à LGPD. Nosso DPA padrão satisfaz ambos os marcos sem necessidade de redação dupla. Para empresas brasileiras sem usuários europeus, o GDPR é referência habitual em DPAs internacionais e simplifica audits de clientes corporativos com presença global.

Em resumo

  • Operador de tratamento sob o artigo 28 com o tratamento residente na UE: conteúdo, dados de destinatário e logs ficam no EEE sob entidade austríaca sem matriz estadunidense.
  • Medidas do artigo 32 ditas em concreto: TLS 1.3 em trânsito, AES-256 em repouso, MFA no painel, menor privilégio por scope, pseudonimização e registros de auditoria revisáveis.
  • Cadeia de suboperadores do artigo 28 com autorização geral e notificação prévia das mudanças com direito de oposição, redigida no DPA em vez de numa página que muda sem aviso.
  • Pacote de suporte ao registro do artigo 30 (entidade legal, localizações UE, suboperadores, prazos de conservação, resumo do artigo 32) que se encaixa diretamente no seu registro de atividades.
  • Ponte Brasil-UE coberta por SCC sob o artigo 33 da LGPD; o Digital Omnibus (proposto em 19 de novembro de 2025) é uma simplificação em tramitação que não altera essa base, e mantemos o cumprimento contra o texto vigente enquanto a proposta segue no Parlamento e no Conselho.
Números-chave
GDPR em vigor desde
25 mai 2018
Multa máxima
€20M ou 4% faturamento
Nosso DPA
/dpa
Notificação de incidente
48h (nós) · 72h (você)

O que o GDPR exige do seu provedor de infraestrutura de e-mail?

Quando você contrata um provedor terceirizado de infraestrutura de email, o GDPR estabelece uma relação controlador-operador: você é o controlador (decide finalidades e meios do tratamento dos dados pessoais dos destinatários), nós somos o operador (tratamos seguindo suas instruções documentadas). O artigo 28 lista as obrigações específicas que um operador deve aceitar contratualmente: tratar somente conforme instruções documentadas, garantir a confidencialidade do pessoal, aplicar as medidas de segurança do artigo 32, respeitar as regras sobre suboperadores, assistir nos direitos do titular, assistir na notificação de incidentes e demais obrigações dos artigos 32-36, devolver ou apagar os dados ao término do contrato, e disponibilizar a informação necessária para demonstrar conformidade. Nosso DPA em /dpa cobre cada obrigação de forma expressa.

Como estamos posicionados como operador de tratamento.

OS Domains GmbH é a entidade jurídica que assina o DPA. Somos constituídos na UE (Áustria), com roteamento padrão na UE, equipe de engenharia e operações na UE, com DPO designado acessível em [email protected] que responde em 1 dia útil. Nossa lista pública de suboperadores está em /dpa#sub-processors com aviso prévio de 30 dias sobre qualquer mudança. O compromisso de notificação de incidente é de 48 horas desde o conhecimento até a notificação ao cliente — mais rigoroso que o piso regulatório de 72 horas — especificamente para dar margem suficiente para sua própria notificação do artigo 33 à autoridade competente. O registro de atividades de tratamento do artigo 30 é mantido internamente e extraído sob demanda.

Por que o GDPR importa para uma empresa brasileira?

Mesmo sendo uma empresa brasileira regulada pela LGPD, o GDPR pode aplicar diretamente quando: você oferece bens ou serviços a residentes na UE (Art. 3.2.a), você monitora o comportamento de residentes na UE (Art. 3.2.b), você tem subsidiária estabelecida na UE. Para fintechs, e-commerces e SaaS brasileiros com base europeia de usuários, isso significa cumprir simultaneamente LGPD e GDPR. Operar com infraestrutura UE simplifica significativamente: os dados de usuários europeus ficam na UE por padrão, evitando complicações de transferência internacional bidirecional, e a documentação contratual aceita ambos os regimes de uma só vez. Para empresas brasileiras sem usuários europeus, o GDPR não aplica diretamente, mas é referência habitual em DPAs internacionais.

Como os princípios do artigo 5 se aplicam à infraestrutura de e-mail?

Licitude, lealdade e transparência: tratamos conforme instruções documentadas e nosso DPA descreve o tratamento no Anexo 1. Limitação de finalidade: usamos os dados do cliente exclusivamente para prestar os serviços, nunca para treinar modelos de ML ou agregar em datasets comercializáveis. Minimização: aceitamos apenas os dados que você envia; não enriquecemos com fontes terceiras. Exatidão: ferramentas para corrigir ou apagar dados via painel e API. Limitação de retenção: períodos documentados em /dpa#annex-4, de 7 dias para conteúdo de mensagem a 12 meses para relatórios DMARC, com opção de encurtar. Integridade e confidencialidade: medidas de segurança do artigo 32 detalhadas em /dpa#annex-2. Responsabilidade proativa: controles do artigo 32 operados e documentados, com evidência de controle pré-certificação disponível mediante solicitação; direito de auditoria em planos Enterprise.

Qual é a direção regulatória de 2026 com o Digital Omnibus?

O texto do GDPR não mudou na sua substância, mas o contexto regulatório de 2026 sim se moveu, e vale a pena saber em que direção. Em 19 de novembro de 2025 a Comissão Europeia apresentou o pacote Digital Omnibus, uma proposta de simplificação que toca o GDPR, o AI Act e as regras de dados, com o objetivo declarado de reduzir a carga administrativa sobre as empresas sem rebaixar os direitos de fundo. Entre os pontos que importam para um provedor de e-mail estão os ajustes propostos ao registro de atividades de tratamento para entidades menores, alguma flexibilização nos prazos e formatos de certas obrigações documentais, e o realinhamento de prazos do AI Act. É uma proposta, não lei: tem que passar pelo Parlamento Europeu e pelo Conselho, e o seu conteúdo final pode mudar ao longo de 2026. A nossa postura é não reescrever a documentação de conformidade em torno de uma proposta que ainda se move, e sim manter o cumprimento contra o texto vigente do GDPR enquanto seguimos a tramitação. Quando o Digital Omnibus se consolidar, ajustaremos os artefatos afetados, mas a base —tratamento na UE, DPA com as cláusulas do artigo 28, medidas do artigo 32— não depende dessa reforma para ser sólida hoje.

As medidas de segurança do artigo 32, ditas em concreto.

O artigo 32 do GDPR exige medidas técnicas e organizativas apropriadas ao risco, e o útil é dizer o que isso significa em concreto em vez de repetir a fórmula legal. Em trânsito, todo o correio sai com TLS 1.3 onde o receptor o suporta, com fallback negociado, e o acesso ao painel e à API corre só sobre HTTPS com HSTS. Em repouso, o conteúdo das mensagens, os dados do destinatário e os logs ficam cifrados com AES-256, e as chaves se gerenciam separadas dos dados. O controle de acesso aplica o princípio do menor privilégio sobre as contas de operador, com MFA obrigatório no painel e papéis segmentados por scope para que uma chave de envio não toque a configuração nem as listas. A pseudonimização se aplica aos identificadores de destinatário onde o tratamento o permite. A resiliência se apoia em pontos de presença redundantes na UE com failover, e a capacidade de restaurar a disponibilidade e o acesso aos dados depois de um incidente se testa em vez de só se afirmar. Os registros de auditoria das ações administrativas ficam disponíveis para o cliente. Cada uma dessas medidas se nomeia no addendum DPA com o seu detalhe, porque um controlador que tem que demonstrar a conformidade do artigo 32 do seu operador precisa de uma lista concreta e não de uma garantia genérica.

Como funciona a cadeia de autorização de suboperadores do artigo 28?

O artigo 28 do GDPR governa a relação entre controlador e operador, e uma das suas exigências é que o operador não recorra a um suboperador sem autorização prévia do controlador, geral ou específica, e que informe das mudanças com tempo para opor-se. A nossa abordagem é uma autorização geral por escrito com notificação prévia das mudanças: a lista de suboperadores está no addendum DPA com o papel de cada um, e qualquer adição ou substituição se comunica com antecedência para que o controlador possa avaliar e, se for o caso, opor-se antes de surtir efeito. A cadeia para uma conta padrão é curta e nomeada: a conectividade de rede a montante, o CDN diante do painel, o processador de pagamentos do faturamento e os feeds de dados semente ou de reputação. Cada suboperador está ligado por um contrato que impõe as mesmas obrigações de proteção de dados que assumimos com você, como o artigo 28(4) exige. Para contas com requisitos de residência estritos, estreitamos o conjunto de suboperadores aos que operam só na UE e documentamos essa configuração no contrato. A diferença frente a uma página web de suboperadores que muda sem aviso é que aqui a mudança é um evento contratual com direito de oposição, que é o que o artigo 28 pede e o que um auditor espera ver.

O registro de atividades de tratamento e a carga de prova do controlador.

O artigo 30 do GDPR exige que controladores e operadores mantenham um registro das atividades de tratamento, e a carga de demonstrar a conformidade recai sobre o controlador, que é você quando nos usa como operador. Um registro útil para a parte do e-mail descreve as categorias de titulares e de dados tratados, as finalidades, os destinatários incluindo os suboperadores, as transferências internacionais se as houver, os prazos de conservação e uma descrição geral das medidas de segurança. O ponto onde muitos controladores tropeçam é que metade desses campos descreve o que o operador faz, e se o operador não os fornece de forma clara, o controlador acaba reconstruindo-os a partir de tickets de suporte e de capturas de tela. Por isso entregamos um pacote de suporte ao registro com a nossa entidade legal, as localizações de tratamento na UE, a lista de suboperadores, os prazos de conservação configurados para a conta e o resumo das medidas do artigo 32, redigido na forma que encaixa diretamente no seu registro. Quando a sua equipe de privacidade prepara ou atualiza o registro, a linha do e-mail se preenche a partir do nosso material em vez de ser deduzida. Um registro completo é a primeira coisa que uma autoridade pede numa inspeção, e a parte do provedor de e-mail não deveria ser o buraco que atrasa a resposta.

A interseção entre o GDPR e o AI Act toca os dados dos seus destinatários?

O AI Act da UE entrou em vigor de forma escalonada, e a pergunta razoável de um controlador é se o uso de qualquer componente de aprendizado de máquina na infraestrutura de e-mail arrasta os dados dos seus destinatários para o âmbito do AI Act sobre o do GDPR. A resposta no nosso caso é delimitada. Onde aplicamos modelos —por exemplo, na filtragem antiabuso, na detecção de padrões de spam ou na pontuação de risco de reputação— o tratamento opera sobre metadados de envio e sinais agregados, e não sobre o conteúdo das mensagens dos seus destinatários para fins de perfilamento, e não tomamos decisões automatizadas com efeito jurídico sobre os titulares no sentido do artigo 22 do GDPR. Isso mantém o uso fora das categorias de alto risco do AI Act que exigiriam obrigações adicionais do lado do fornecedor. Onde um cliente integra a sua própria camada de IA por cima do nosso envio —geração de conteúdo, segmentação preditiva— essa é uma atividade de tratamento do controlador, e a responsabilidade de avaliá-la sob o GDPR e o AI Act é dele, ainda que possamos fornecer a informação técnica que a avaliação precisa. Documentamos com clareza onde há e onde não há tratamento por modelos sobre dados pessoais, porque uma resposta vaga aqui é o que transforma uma pergunta de due diligence simples num atraso.

O pano de fundo sancionatório e o que de fato reduz a exposição.

As multas do GDPR chegam a 20 milhões de euros ou 4% do faturamento global anual, o que for maior, e o histórico de aplicação mostra que as sanções grandes recaem com mais frequência sobre transferências internacionais mal fundamentadas e sobre falhas de base jurídica e de segurança do que sobre detalhes de papelório. Para a parte do e-mail, isso aponta para onde a exposição real se reduz. Manter o tratamento dentro do EEE com um operador que não está sujeito ao direito de um terceiro país elimina a categoria de risco que produziu as multas de transferência mais sonadas. Ter uma base jurídica clara para cada envio —consentimento ou interesse legítimo bem documentado— fecha a segunda categoria. Cumprir as medidas do artigo 32 de forma demonstrável fecha a terceira. A nossa contribuição para reduzir a sua exposição é concreta e não retórica: tratamento na UE por padrão sob uma entidade austríaca, um DPA com as cláusulas do artigo 28 e do artigo 32 detalhadas, um pacote de suporte ao registro e à avaliação, e a documentação de transferência onde algum fluxo a exija. Nenhum provedor pode garantir que você nunca enfrentará uma sanção, porque a maior parte da sua exposição depende das suas próprias decisões de tratamento, mas a parte que corresponde à infraestrutura de e-mail é a que deixamos coberta com evidência em vez de promessas.

Como resolvemos

As capacidades específicas que importam para este caso.

01

DPA conforme ao artigo 28(3)

Nosso DPA padrão em /dpa cobre as oito obrigações do artigo 28(3) de forma expressa, com texto vinculante e resumo em linguagem clara ao lado de cada cláusula.

02

Lista pública de suboperadores

Lista completa e atualizada de suboperadores em /dpa#sub-processors com nome, serviço, dados acessados, localização e mecanismo de transferência. Aviso prévio de 30 dias sobre mudanças com direito de objeção.

03

Notificação de incidente em 48h

Nos comprometemos a notificar você sobre um incidente de dados pessoais que afete seus dados em até 48 horas desde o conhecimento. Mais rigoroso que o piso de 72h do GDPR para deixar margem para sua notificação do artigo 33.

04

Assistência a direitos do titular

Ferramentas autoatendimento para solicitações habituais (gestão de suppression, busca em logs por destinatário, exportação, supressão). Além do autoatendimento, assistência em 5 dias úteis sem custo adicional.

05

DPO diretamente acessível

[email protected] — pessoa designada, não alias para fila. Responde em 1 dia útil. Disponível para chamadas diretas com seu DPO ou Encarregado durante DPIA, RIPD ou auditorias.

06

Direito de auditoria e evidências

Direito de auditoria in loco anual em planos Enterprise, evidência de controles alinhados a ISO 27001, evidência de controle pré-certificação (critérios SOC 2), sumário de pentest anual e respostas a questionários de segurança sob NDA.

Desafios comuns

O que costuma dar errado e como resolvemos.

GDPR + LGPD ao mesmo tempo

Empresas brasileiras com usuários europeus precisam cumprir os dois marcos. Em 90% das obrigações há equivalência funcional: licitude, finalidade, minimização, retenção, segurança, direitos. As diferenças relevantes: o GDPR tem categorias especiais do artigo 9 com regime mais rígido; a LGPD é mais flexível em base legal para email marketing (Art. 7º X e Art. 7º IX); o GDPR exige DPO sob certas condições, a LGPD exige Encarregado sempre. Nosso DPA padrão cobre ambos os marcos com cláusulas dual-compliance.

Categorias especiais do artigo 9

O artigo 9 do GDPR proíbe o tratamento de categorias especiais (saúde, etnia, opiniões políticas, etc.) sem base legal específica. Nosso DPA padrão presume que você não transmite categorias especiais. Clientes que precisam transmitir (saúde, certos contextos de RH) requerem anexo personalizado ao DPA com salvaguardas adicionais; fale com [email protected] antes de enviar.

Direito de acesso em escala

Um cliente grande de e-commerce ou B2B pode receber centenas de pedidos de direitos ao mês. Nossa ferramenta autoatendimento cobre cerca de 80% (busca em logs, gestão de suppression, exportação). Os 20% restantes (investigações forenses, eliminação complexa em períodos longos de retenção) requerem assistência do DPO e podem ultrapassar o prazo de 1 mês do GDPR; notificamos proativamente quando vai exceder os 30 dias para que invoque a prorrogação do GDPR.

Perguntas frequentes

As perguntas que mais recebemos.

01

Podem assinar nosso DPA personalizado em vez do padrão de vocês?

Nos planos Performance e Enterprise sim, após revisão jurídica. Nosso DPO revisa suas redlines, recusa cláusulas que conflitem com o direito europeu de proteção de dados ou com nosso modelo operacional, e em geral fecha a assinatura em 2-3 rodadas em 2-4 semanas. Taxa de revisão de €790 nos planos Starter e Standard; incluída em Performance e Enterprise.

02

Como tratam a notificação do artigo 33 do GDPR?

Procedimento documentado de resposta a incidentes: detecção dispara em 5 minutos (monitoramento automatizado); início de investigação em 30 minutos; avaliação preliminar de escopo em 4 horas; notificação a clientes afetados em 48 horas incluindo a informação obrigatória do artigo 33(3) (natureza do incidente, consequências prováveis, medidas tomadas, contato do DPO). Post-mortem final publicado em 5 dias úteis para incidentes materiais.

03

Têm representante na UE?

Somos sociedade constituída na UE (Áustria), portanto não precisamos de representante na UE do artigo 27. A entidade matriz é o próprio representante. Nosso DPO está em Viena e disponível para comunicação direta com as autoridades de supervisão europeias.

04

Como atendem ao direito de portabilidade do artigo 20?

Você pode exportar dados do cliente via painel ou API REST em formato JSON ou CSV a qualquer momento, sem limite de frequência. Ao término do contrato, o período de 90 dias de carência mantém o acesso para exportação. O export está em formato estruturado e legível por máquina, apto para portar diretamente a um provedor concorrente. Validamos migrações de saída para Amazon SES, SendGrid e Mailgun com clientes.

05

A LGPD aceita o DPA padrão de vocês?

Sim. Nosso DPA padrão foi redigido para satisfazer tanto o GDPR (artigo 28) quanto a LGPD (artigo 39): inclui as obrigações de instruções documentadas, confidencialidade, segurança, suboperadores, assistência ao controlador, notificação de incidentes, retorno/eliminação de dados, demonstração de conformidade. Para empresas brasileiras, a referência à LGPD aparece explicitamente nas cláusulas relevantes. Validado por bufete brasileiro em revisões dos últimos 12 meses.

06

Estão inscritos em alguma autoridade de controle?

OS Domains GmbH está estabelecida em Viena, Áustria. Nossa autoridade de controle principal é a Datenschutzbehörde austriaca (DSB). Para tratamentos transfronteiriços na UE, operamos sob o mecanismo de balcão único do GDPR com a DSB como autoridade principal. Não fomos objeto de nenhuma ação sancionatória sob o GDPR.

Vamos conversar

Agende uma ligação técnica de 45 minutos com um engenheiro.

Sem SDR, sem comissão, sem rondas de qualificação. Conta o que precisa, dizemos se faz sentido, e você sai com uma recomendação de qualquer jeito.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento