Responsabilidade compartilhada dos subcontratados

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Ao longo do texto, os subcontratantes são mencionados juntamente com os controladores de dados. De acordo com o Artigo 4-8, um subcontratante é "uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento". Ele só pode atuar no âmbito de um contrato ou outro ato jurídico da União Europeia, que reitera as suas obrigações em matéria de proteção de dados (Artigo 28-3).

Em setembro de 2017, a CNIL publicou um Guia do Subcontratante que esclarece seu papel e natureza na cadeia de processamento e proteção de dados.

Apesar de sua definição precisa, o termo subcontratado pode ser aplicado a muitas estruturas, listadas a seguir:

“– Prestadores de serviços de TI (hospedagem, manutenção, etc.), integradores de software, empresas de segurança de TI, empresas de serviços digitais ou anteriormente empresas de serviços e engenharia de TI (SSII) que têm acesso aos dados;

– agências de marketing ou comunicação que processam dados pessoais em nome de clientes;

– de modo mais geral, qualquer organização que ofereça um serviço ou prestação que envolva o processamento de dados pessoais em nome de outra organização;

– um organismo público ou uma associação também poderá ser obrigado a receber tal qualificação”.

Observe que, ao processar dados em seu próprio nome (por exemplo, gestão de pessoal), o subcontratado é responsável pelo processamento. Isso também se aplica se ele próprio determinar a finalidade e os meios do processamento.

Em caso de dúvida sobre o estatuto – responsável pelo tratamento ou subcontratante – a CNIL remete para o parecer de 16 de fevereiro de 2010 das autoridades europeias de controlo, que indica um conjunto de pistas que podem ser utilizadas:

– a autonomia do prestador de serviços na execução do seu serviço;

– monitoramento do serviço;

– o valor acrescentado, ou seja, a competência, fornecida pelo prestador de serviços;

– o grau de transparência quanto à utilização de um prestador de serviços (a sua identidade é conhecida pelas pessoas interessadas que utilizam os serviços do cliente?).

De acordo com o GDPR, o processador é solidariamente responsável. Ele "auxilia o controlador a garantir o cumprimento das obrigações" (Art. 28-3f). Mantém um "registro de todas as categorias de atividades de tratamento realizadas em nome do controlador" (Art. 30-2). E, na maioria das vezes, também deve nomear um encarregado da proteção de dados (Art. 37), ao qual voltaremos mais adiante.

A CNIL especifica no seu guia o que se entende por “garantias suficientes” que o subcontratante deve fornecer para poder realizar o seu trabalho:

– transparência e rastreabilidade (contrato, instruções, registro e todas as informações necessárias para comprovar o cumprimento das obrigações);

– proteção de dados desde a concepção e por defeito (tratamento mínimo, relacionado com a finalidade e apenas essa finalidade, duração limitada);

– segurança dos dados processados (confidencialidade, notificação em caso de violação de dados, eliminação ou devolução dos dados no final do serviço);

– assistência, alerta e conselho.

Caso o subcontratante também subcontrate, deverá primeiro obter autorização por escrito do responsável pelo tratamento (Art. 28-2). Este segundo subcontratante está sujeito às mesmas obrigações, mesmo que esteja estabelecido fora da União Europeia. Caso não as cumpra, o primeiro subcontratante será responsabilizado. Por outras palavras, em caso de problema, não se pode justificar o tratamento em desacordo com o RGPD, alegando a localização de um prestador de serviços em Marrocos ou Singapura.

A CNIL recomenda a modificação dos contratos vigentes, por meio de aditivos, para incluir as cláusulas obrigatórias previstas no regulamento europeu.

Se um subcontratado operar em vários países da UE, é possível criar um balcão único. O Artigo 56-1 prevê que a "autoridade principal" será a do estabelecimento principal. Se um subcontratado não tiver um estabelecimento na UE, deverá nomear um representante, que será a pessoa de contato para os titulares dos dados e as autoridades de supervisão.

As sanções aplicadas a um subcontratado em caso de incumprimento das suas obrigações podem ser tão severas quanto as impostas a um responsável pelo tratamento de dados.