O que o DPF Efetivamente Faz

O DPF é uma decisão de adequação emitida pela Comissão Europeia ao abrigo do artigo 45.º do RGPD. Uma decisão de adequação afirma que um país terceiro — neste caso, os Estados Unidos — oferece um nível de proteção de dados pessoais essencialmente equivalente ao da UE, mas apenas para organizações que aderem a um quadro específico. O DPF é o mecanismo de adesão voluntária. As empresas norte-americanas autocertificam-se junto do Departamento de Comércio, comprometem-se com um conjunto de Princípios de Privacidade e ficam sujeitas à aplicação da FTC ou do DOT relativamente a esses compromissos.

Para um editor da UE, o efeito prático é que os dados pessoais podem ser transferidos para um fornecedor americano certificado pelo DPF sem Cláusulas Contratuais Padrão (SCCs) separadas, Avaliações de Impacto de Transferência adaptadas a esse fornecedor, ou medidas suplementares do tipo exigido após a decisão Schrems II. O DPF faz o trabalho pesado ao nível da base jurídica.

Três coisas que o DPF não faz, e que os editores consistentemente entendem mal:

• Não substitui o consentimento. Colocar um cookie não essencial num visitante da UE ainda exige consentimento de nível RGPD/ePrivacidade independentemente de onde os dados acabem.
• Não abrange transferências para fornecedores americanos não certificados. Se o seu SSP ou fornecedor de análise não constar da lista DPF ativa, ainda precisa de SCCs e de uma TIA.
• Não abrange transferências para subsidiárias americanas que operam fora do âmbito certificado. Muitos grandes fornecedores certificam apenas linhas de negócio específicas.

O Consentimento de Cookies Continua a ser a Porta Principal

O DPF resolve a parte de transferência da jornada. Não faz nada relativamente ao momento em que um cookie é colocado, um ID de anúncio é lido ou um evento é enviado para uma tag. Esse momento é regido pela Diretiva ePrivacidade (artigo 5(3)) e pelo RGPD (artigos 6.º e 7.º). Ambos exigem consentimento prévio, informado, específico e livremente dado para qualquer acesso não estritamente necessário ao armazenamento de equipamento terminal.

Por outras palavras, mesmo que cada fornecedor na sua pilha seja certificado pelo DPF, ainda precisa de uma Plataforma de Gestão de Consentimento que:

• Bloqueie cookies e tags não essenciais antes de o consentimento ser capturado.
• Apresente uma escolha clara com paridade de rejeitar-tudo relativamente a aceitar-tudo (o EDPB foi explícito quanto a isso desde 2022).
• Registe o evento de consentimento com um carimbo temporal resistente a adulteração e uma cópia do aviso que o utilizador efetivamente viu.
• Encaminhe o estado do consentimento para cada ferramenta a jusante através do TCF v2.3, Google Consent Mode v2 ou APIs nativas do fornecedor.

O DPF substitui a base jurídica para a transferência; a CMP fornece a base jurídica para a recolha. Ignorar qualquer um dos lados deixa-o exposto.

Como Verificar o Estado DPF de um Fornecedor

O Departamento de Comércio dos EUA mantém a lista oficial DPF em dataprivacyframework.gov. Antes de confiar na alegação DPF de um fornecedor, verifique três coisas na sua listagem.

Estado de Certificação Ativo

As certificações devem ser renovadas anualmente. Um fornecedor cujo estado indique Inativo, Retirado ou Expirado não pode ser utilizado como mecanismo de transferência, mesmo que as suas páginas de marketing ainda exibam um distintivo DPF. Inclua a listagem no seu inventário de fornecedores e verifique novamente a cada trimestre.

Entidades e Afiliadas Abrangidas

Muitas holdings certificam algumas afiliadas mas não outras. A entidade contratual na sua DPA deve corresponder à entidade certificada. Um erro frequente é assinar com Acme Marketing UK Ltd quando a certificação DPF é detida pela Acme Inc. no Delaware — o fluxo de dados escapa então do âmbito certificado.

Categorias de Dados Abrangidas

O DPF permite certificações com âmbito limitado a apenas dados de RH, apenas dados não-RH, ou ambos. Uma certificação não-RH abrange os seus dados de anúncios e análise; uma certificação apenas de RH não abrange. Leia a listagem com atenção.

O que Fazer quando um Fornecedor Não é Certificado pelo DPF

Muitos fornecedores americanos úteis — especialmente players de ad-tech menores e ferramentas de análise de nicho — nunca se certificaram ou deixaram a certificação caducar. Para esses, o DPF é irrelevante e recorre ao kit de ferramentas pré-2023:

• Cláusulas Contratuais Padrão (SCCs) — as versões de módulo 2 ou módulo 3 de 2021, assinadas por ambas as partes e incorporadas na DPA.
• Avaliação de Impacto de Transferência (TIA) — uma análise específica do fornecedor sobre a lei de vigilância dos EUA, as categorias de dados em risco, e as medidas técnicas e organizativas que mitigam a exposição.
• Medidas suplementares — encriptação em trânsito e em repouso, pseudonimização, compromissos contratuais de transparência e um plano de resposta documentado para pedidos de acesso do governo americano.

Mantenha um registo que liste cada fornecedor americano na sua pilha, a base jurídica utilizada para cada um (DPF, SCCs, derrogação), e a data da revisão mais recente. Reguladores e auditores solicitarão este registo; não o ter é, por si só, uma constatação.

O Risco Schrems III e Como Garantir o Futuro

O ativista de privacidade Max Schrems e a sua organização NOYB interpuseram uma ação contra o DPF pouco depois da sua adoção, argumentando que a reforma da vigilância nos EUA ao abrigo da Executive Order 14086 ainda fica aquém dos padrões de direitos fundamentais da UE. Uma remessa para o CJEU é amplamente esperada, e o quadro tem uma probabilidade não negligenciável de ser derrubado — a terceira vez em vinte anos.

Os editores que trataram o Privacy Shield como o único mecanismo de transferência em 2020 tiveram de agir às pressas durante a noite quando o Schrems II o invalidou. O mesmo aperto pode ser evitado desta vez, tratando o DPF como mecanismo primário com uma alternativa pronta a entrar em ação.

Mantenha as SCCs em Cada DPA

Insista em que as suas DPAs incluam as SCCs de 2021 como cláusula de recurso que se ativa automaticamente caso a decisão de adequação do DPF seja invalidada ou a certificação do fornecedor caduque. Esta é agora linguagem padrão; se um fornecedor recusar, isso é um sinal de alerta.

Execute uma TIA de Qualquer Forma

O DPF elimina o requisito legal para uma TIA, mas executar uma TIA simplificada — particularmente para fornecedores que tratam sinais de anúncios sensíveis ou grandes populações da UE — fornece-lhe documentação defensável caso o quadro colapse. Reutilize o mesmo modelo para todos os fornecedores para manter os custos baixos.

Localize Onde a Matemática Funciona

Para alguns casos de uso — análise first-party, dados comportamentais de utilizadores com sessão iniciada, ou sites de conteúdo sensível — a mudança para um fornecedor alojado e controlado na UE elimina completamente a questão da transferência. A relação custo-benefício só se justifica para fluxos de alto risco ou alto volume, mas deve estar no roteiro como opção.

Integrar o DPF na Sua CMP

Uma CMP moderna não aplica o DPF diretamente — não existe nenhum campo GPP ou TCF que diga "esta transferência está abrangida pelo DPF." O que a CMP deve fazer é recolher consentimento para cada fornecedor de forma que suporte a documentação que um regulador acabará por solicitar.

Granularidade Por Fornecedor

Agrupar todos os fornecedores de ad-tech americanos num único interruptor de "Marketing" já não é defensável. A lista de fornecedores TCF v2.3, com a qual a maioria das CMPs certificadas sincroniza, fornece finalidades e bases jurídicas por fornecedor. Use-a. Quando um regulador perguntar "com base em que razão os dados pessoais fluíram para o Fornecedor X na data Y", deve conseguir apontar para uma string TCF, um registo de certificação DPF e uma DPA.

Espelhe a Política de Privacidade no Banner

A lista de destinatários na sua política de privacidade deve corresponder exatamente à lista de fornecedores carregados após o consentimento. As discrepâncias são o alvo de aplicação mais fácil — a AEPD espanhola e a CNIL francesa multaram editores em 2024 por listas de fornecedores que omitiam parceiros ativos.

Registe o Estado do Fornecedor no Momento do Consentimento

Armazene, para cada evento de consentimento, o instantâneo de quais fornecedores estavam na TCF GVL, quais eram certificados pelo DPF e em que base jurídica cada um se apoiava. Este é o trilho de auditoria que transforma uma carta stressante de um regulador numa resposta de rotina. A FlexyConsent e outras CMPs certificadas pela Google oferecem este registo de imediato; muitos banners mais antigos não o fazem.

Lista de Verificação Prática de Migração

Se está a migrar um site existente de uma configuração pré-DPF ou DPF parcial para uma configuração limpa de 2026, percorra esta lista:

• Faça um inventário de cada fornecedor americano no seu gestor de tags, pilha de anúncios e contentor server-side.
• Cruze cada um com a lista DPF ativa. Categorize como coberto pelo DPF, coberto pelas SCCs ou ação necessária.
• Atualize as DPAs para incluir as SCCs de 2021 como recurso automático.
• Execute uma TIA para fornecedores de alto risco independentemente do estado DPF.
• Confirme que a sua CMP expõe uma interface de consentimento por fornecedor e suporta TCF v2.3.
• Verifique se o Google Consent Mode v2 está ligado ao GA4, Ads e quaisquer ferramentas de perda de sinal.
• Defina uma revisão trimestral no calendário para reverificar certificações, membros do GVL e versões de DPA.
• Informe as equipas jurídica e de ad ops em conjunto sobre o que muda se o DPF for invalidado, para que o plano de resposta não seja improvisado sob pressão.

Equívocos Comuns

Alguns erros repetem-se em auditorias de editores e precisam de correção explícita.

"Certificado pelo DPF significa que não precisamos de consentimento." Não. O DPF é um mecanismo de transferência. O consentimento é um requisito de recolha. Situam-se em camadas jurídicas diferentes.

"O nosso CDN está sediado nos EUA, portanto o DPF cobre-o." Só se o CDN em si for certificado pelo DPF para as categorias de dados relevantes. Muitos fornecedores de infraestrutura oferecem regiões da UE que evitam completamente a questão.

"O Fornecedor X diz que está pronto para o DPF." Linguagem de marketing. Verifique a lista oficial, o nome da entidade certificada e as categorias de dados.

"O DPF substitui o banner de cookies." Não. A regra de consentimento prévio da Diretiva ePrivacidade é independente das regras de transferência do RGPD. Ambas se aplicam.

A Conclusão

O DPF torna o ad-tech transatlântico de 2026 operacionalmente mais simples do que era em 2021, mas não isenta os editores do consentimento de cookies, da diligência devida relativamente a fornecedores ou da documentação de transferências. Trate o DPF como um mecanismo de transferência válido entre vários, mantenha as SCCs como recurso contratual, execute uma CMP que registe o consentimento por fornecedor em relação a um inventário de fornecedores mantido, e assuma que a estabilidade jurídica do quadro é condicional. Os editores que constroem essa resiliência agora não terão de reestruturar do dia para a noite se uma decisão Schrems III vier a ser como as duas anteriores. Os que tratam o DPF como uma resposta permanente estão a preparar-se para o mesmo aperto que se seguiu à invalidação do Privacy Shield — só que desta vez os reguladores têm menos paciência e as multas são maiores.