Conformidade do subcontratado com o RGPD: 8 obrigações a serem cumpridas
Se uma entidade for um fornecedor de software SaaS, um editor de aplicativos da Web, um integrador, um fornecedor de serviços digitais e de TI, ou se usar esses serviços, há uma boa chance de que ela esteja sujeita ao futuro Regulamento Geral de Proteção de Dados (GDPR ), que entrará em vigor em 25 de maio de 2018, e que terá de lidar com questões relacionadas à terceirização de dados pessoais.
Como resultado, os subcontratados precisarão alinhar suas atividades com as novas obrigações do GDPR para não correrem o risco de serem penalizados pelas autoridades de supervisão. Mas, para fazer isso, você ainda precisa saber quais são elas.
RESUMO :
Operação preliminar: Identificação de relações de subcontratação
Para cumprir o RGPD, é necessário identificar com precisão as relações de subcontratação de dados pessoais e classificar as partes envolvidas de acordo com o papel de cada uma, controlador de dados ou subcontratante.
Esta é uma operação crucial, pois determinará as obrigações que uma entidade terá de cumprir.
Um processador é qualquer pessoa que processa dados pessoais em nome de outra entidade, o controlador.
O processador difere do último pelo fato de não definir nem a finalidade do processamento (para que os dados são processados) nem os meios essenciais de processamento (os processos pelos quais os dados serão processados principalmente).
Como essa distinção é feita com base em cada processamento de dados, é concebível que a mesma entidade, em seu relacionamento com um parceiro comercial e no caso de várias operações de processamento, possa ser o controlador de dados para uma operação, mas um processador de dados para outra.
Com essa definição, deve-se observar que a noção de processador no sentido da lei de dados pessoais é um falso amigo da noção de processador no sentido usual ou comercial.
Um processador no sentido comercial do termo pode muito bem ser um controlador de dados no sentido da lei de dados, e vice-versa.
Portanto, é necessário estar particularmente atento a esse aspecto e abordar esse estágio de conformidade com uma mente aberta.
Depois que uma entidade tiver identificado claramente as finalidades para as quais está processando dados pessoais, ela terá que cumprir oito obrigações principais.
Obrigação n.º 1: cumprir a forma dos contratos de subcontratação
O RGPD exige que a relação entre o responsável pelo tratamento de dados e o processador de dados seja estritamente regulada e formalizada em um contrato escrito.
Esse contrato deve conter uma série de cláusulas obrigatórias, incluindo uma cláusula que autorize o controlador a auditar a forma como o processador processa os dados em seu nome, e uma cláusula que organize o acesso aos dados pela equipe do processador.
Para estar em conformidade com essas novas regras, os processadores devem, portanto, atualizar seus contratos existentes e seus modelos de contrato para o futuro.
Obrigação nº 2: escolha seus subcontratados
De acordo com o RGPD, o processador é obrigado a recrutar outro processador somente com a autorização prévia por escrito do controlador.
Essa autorização pode ser específica, para um determinado processador de segundo nível, ou geral, para qualquer processador de segundo nível que o processador já tenha ou que venha a contratar no futuro.
Nesses casos, o contrato entre o processador e o processador de segundo nível deve fornecer, no mínimo, o mesmo nível de garantias de proteção de dados que o contrato celebrado entre o controlador e o processador.
Novamente, a conformidade de uma entidade que processa dados pessoais envolverá a revisão dos contratos existentes com seus parceiros e a atualização dos modelos contratuais para o futuro.
Obrigação nº 3: cumprir as instruções do controlador
O GDPR deixa muito pouca margem de manobra para a entidade que processa dados pessoais em nome de um controlador.
Como resultado, o processador só poderá realizar o processamento se estiver em conformidade com as instruções dadas pelo controlador.
Essas instruções podem ser especificadas no contrato inicialmente celebrado entre o processador e o controlador ou podem ser dadas posteriormente pelo controlador.
Entretanto, essa obrigação não significa que o processador deva permanecer passivo em seu relacionamento com o controlador.
Eles são obrigados a informar o controlador imediatamente se acreditarem que uma instrução que receberam é contrária ao RGPD ou, de forma mais geral, à legislação da União Europeia ou nacional.
Obrigação nº 4: manter um registro de processamento
Para os processadores que empregam mais de 250 pessoas, aqueles que realizam regularmente um processamento particularmente arriscado ou aqueles que processam dados sensíveis (dados de saúde, dados relacionados a condenações criminais, etc.), o RGPD exige que eles mantenham um registro de suas atividades de processamento.
O objetivo desse registro é permitir que as autoridades de supervisão (na França, a CNIL) facilitem suas auditorias. Ele deve conter todas as informações necessárias para fornecer uma visão geral da maneira pela qual os dados são processados por um processador: em nome de quem os dados são processados, quais medidas de segurança foram implementadas, quais tipos de processamento são realizados e assim por diante.
Essa é uma etapa importante da conformidade, pois às vezes exige uma investigação interna real.
Obrigação nº 5: manter um nível proporcional de segurança
A falta de segurança no processamento de dados pessoais realizado por um processador em nome de um controlador de dados é um dos motivos frequentes de sanções da CNIL.
Por isso, é importante ser particularmente diligente em relação a essas questões e garantir que as medidas implementadas pelo processador para evitar violações de dados sejam adequadas, conforme exigido pelo RGPD.
Vários critérios são usados para determinar se essas medidas são apropriadas. O principal deles é levar em conta o nível de risco gerado pelo processamento para as pessoas cujos dados estão sendo processados.
No entanto, e isso é louvável, a conformidade com as obrigações de segurança nos termos do RGPD não exige que o processador gaste todo o seu orçamento anual em segurança.
O nível de expectativa dependerá, portanto, dos recursos do subcontratado, sejam eles humanos, materiais ou técnicos.
Garantir que o subcontratado esteja em conformidade em termos de segurança de dados significa garantir que ele esteja fazendo o melhor possível com o que tem. Isso significa realizar uma auditoria de segurança para identificar possíveis pontos fracos e fazer as correções necessárias para solucioná-los.
Se os recursos da entidade permitirem, recomenda-se o uso de um prestador de serviços especializado em segurança cibernética.
Obrigação nº 6: informar o controlador de dados no caso de uma violação de dados pessoais
Em segurança cibernética, é comum dizer que não se trata tanto de saber se uma entidade será vítima de uma violação de dados, mas sim de saber quando ela será.
Uma violação de dados pode assumir várias formas, como destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados.
Infelizmente, existe uma grande chance de um processador de dados pessoais sofrer uma violação de dados pelo menos uma vez em sua vida útil.
O GDPR coloca a grande maioria das obrigações relacionadas a violações de dados pessoais sobre os ombros do controlador.
O processador, por sua vez, tem apenas duas obrigações: em primeiro lugar, notificar o controlador o mais rápido possível se sofrer uma violação dos dados que estiver processando em seu nome e, em segundo lugar, cooperar com o controlador assim que este solicitar.
Como parte do projeto de conformidade do subcontratado, portanto, é útil definir antecipadamente os procedimentos a serem seguidos no caso de uma violação de dados, para garantir que as informações circulem rapidamente e para responder melhor à urgência de tais situações.
Obrigação nº 7: Nomear um responsável pela proteção de dados (DPO)
Quando as atividades de um subcontratante envolvem o processamento de uma grande quantidade de dados pessoais ou de dados particularmente sensíveis, o RGPD exige que ele nomeie uma pessoa para lidar com todas as suas questões de proteção de dados: o Encarregado de Proteção de Dados (DPO ), que deve se reportar diretamente ao nível mais alto da administração do subcontratante.
Para esse fim, o RGPD permite que o processador tenha uma certa margem de manobra para nomear seu DPO. Pode ser um membro da equipe do processador ou um prestador de serviços se a função de DPO for terceirizada.
Também é possível que várias entidades, sejam elas subcontratadas ou controladoras de dados, reúnam seus recursos nomeando um DPO conjunto.
Depois que o DPO for nomeado, o subcontratado, em seu relacionamento com o DPO, deverá garantir que o DPO tenha os recursos necessários para desempenhar suas funções, em outras palavras, que o DPO esteja sistematicamente envolvido em questões de proteção de dados, que tenha recursos suficientes e que possa operar com total independência.
A nomeação do DPO0 é, portanto, uma etapa importante para garantir a conformidade com os regulamentos de proteção de dados, pois é o DPO0 que, em primeiro lugar, gerenciará o projeto para colocar o processador em conformidade e, em segundo lugar, garantirá que a conformidade seja mantida.
Obrigação nº 8: garantir que as transferências de dados para países terceiros sejam legais
Muitas atividades no setor digital exigem que os dados pessoais sejam transferidos de um país para outro, seja entre entidades pertencentes ao mesmo grupo de empresas ou como parte da prestação de serviços.
A esse respeito, o RGPD exige que sejamos particularmente escrupulosos quanto às condições em que essas transferências ocorrem.
Um processador só pode transferir dados para o exterior em determinadas circunstâncias limitadas.
Como resultado, um processador só pode transferir dados para o exterior em determinadas circunstâncias limitadas: se o destinatário dos dados estiver localizado na União Europeia ou em um país que a Comissão Europeia tenha considerado que oferece um nível suficiente de proteção de dados, se a entidade que recebe os dados apresentar pessoalmente um determinado número de garantias (especialmente por meio da adoção de regras corporativas obrigatórias, adesão a um código de conduta aprovado pelas autoridades competentes ou organização contratual adequada da transferência).
Para estar em conformidade com o GDPR, o processador deve, portanto, identificar as transferências de dados que realiza e reorganizá-las caso não se enquadrem no escopo do regulamento.
Conclusão
Alinhar as atividades de um processador de dados com o RGPD não é uma tarefa fácil. Há muitas obrigações a cumprir, algumas das quais exigem conhecimentos especializados.
Mas, à medida que os parceiros comerciais se tornam cada vez mais exigentes em relação à conformidade com os regulamentos de proteção de dados, é possível ver a conformidade não como uma tarefa, mas como uma oportunidade de obter uma vantagem competitiva.
Artigo traduzido do francês