Subcontratação de acordo com o RGPD: Por que avaliar seus fornecedores de serviços se tornou uma questão vital para o seu negócio
A terceirização do processamento de dados para um provedor de serviços nunca exime a empresa de suas responsabilidades. Desde 2021, a CNIL aumentou as sanções contra organizações que não avaliaram ou regulamentaram adequadamente seus serviços. Subcontratado do RGPD € 1 milhão contra a Mobius Solutions em dezembro de 2025, € 1,5 milhão contra a Dedalus Biologie, € 600.000 contra o Canal+ Group, € 800.000 contra o Discord. A mensagem é clara: terceirize o processamento de dados pessoais Não se trata de delegar a conformidade.
Para os gestores, a questão passou de assuntos jurídicos para gestão de riscos. Avaliar fornecedores, formalizar o acordo de subcontratação do RGPDMonitoramento da cadeia ao longo do tempo: essas são obrigações legais cujo descumprimento é custoso.
Entendendo o papel do subcontratado em conformidade com o RGPD e suas obrigações.
Quem é considerado um subcontratado nos termos do RGPD?
O RGPD define um responsável pelo tratamento de dados como qualquer pessoa singular ou coletiva que processe dados. dados pessoais em nome de controlador de dadosAssim que um provedor de serviços acessa, hospeda, analisa ou armazena dados pessoais A quem você confia, ele é um subcontratado: provedores de nuvem, editores de SaaS, fornecedores de folha de pagamento, agências de marketing, call centers, CRM, provedores de e-mail, empresas de manutenção de TI.
A fronteira com o estatuto de controlador de dados Nem sempre é óbvio. Um prestador de serviços que decide sobre a finalidade ou os meios de processamento de dados passa a integrar uma categoria superior e, consequentemente, assume total responsabilidade. Foi precisamente nessa armadilha que a Mobius Solutions Ltd caiu, sendo multada em um milhão de euros pela [autoridade reguladora]. CNIL Em dezembro de 2025, por reutilizar dados da Deezer para melhorar seus próprios serviços, sem qualquer instrução de seu cliente.
As obrigações do subcontratado, conforme estipulado no Artigo 28.
O Artigo 28 do RGPD lista especificamente o obrigações do subcontratado Agir somente mediante instruções documentadas, garantir a confidencialidade do pessoal autorizado, implementar medidas de segurança técnicas e organizacionais adequadas, auxiliar o controlador de dados na gestão dos direitos dos indivíduos e na comunicação de violações, na eliminação ou devolução de dados no final do serviço e na manutenção de um registro de atividades de processamento específico para sua atividade.
Esta última obrigação é frequentemente negligenciada. No entanto, a CNIL (Autoridade Francesa de Proteção de Dados) a citou em diversas sanções recentes, incluindo o caso da Mobius Solutions. A falta de um registo implica a privação da principal prova de conformidade em caso de auditoria.
Subcontratação em cascata: autorização prévia obrigatória
Um subcontratado só pode contratar um subcontratado subsequente ("cascata") com autorização prévia por escrito, específica ou geral, do contratante. controlador de dadosNo caso de autorização geral, o provedor deve informar o cliente sobre quaisquer alterações para permitir que ele apresente objeções. Um provedor de SaaS que depende de um provedor de hospedagem em nuvem, que por sua vez utiliza um subprovedor de monitoramento, deve ser capaz de documentar cada elo da cadeia.
A obrigação de avaliar subcontratados: um dever frequentemente negligenciado.
Uma obrigação explícita e estruturante do RGPD
O artigo 28.º, parágrafo 1, do RGPD é inequívoco: controlador de dados "Utiliza apenas subcontratados que ofereçam garantias suficientes." Isso não é uma recomendação, mas sim uma obrigação. Antes de firmar um contrato, o gestor deve assegurar-se de que o prestador de serviços possui as competências, os procedimentos e a organização necessários para processar os dados em conformidade com a regulamentação.
Isso implica um procedimento de avaliação formalizado: matriz de critérios, questionário de conformidade, solicitação de documentos comprobatórios (política de segurança, certificações, etc.). DPA, registro, designação de um DPO), análise de subcontratados subsequentes, verificação da localização do servidor e quaisquer potenciais transferências de dados fora da UE. Esta avaliação deve ser monitorizada e arquivada — sem ela, o gestor não poderá demonstrar a sua diligência nem o seu cumprimento do princípio da responsabilização.
Sanções da CNIL que devem alertar os gestores
Em 2024, o CNIL A empresa aplicou 87 sanções, totalizando mais de 55 milhões de euros. Diversos casos recentes demonstram que a avaliação e a regulamentação de seus prestadores de serviços se tornaram uma área fundamental de controle.
O caso da Dedalus Biologie (abril de 2022, 1,5 milhões de euros) continua a ser emblemático. CNIL A Autoridade Francesa da Concorrência sancionou esta editora de software para laboratórios médicos após uma enorme violação de dados envolvendo informações de saúde. Além da falha de segurança, a principal razão apontada foi a ausência de cláusulas obrigatórias do Artigo 28 em seus contratos padrão. Essa decisão marcou uma virada: agora, um subcontratado pode ser penalizado diretamente por não formalizar adequadamente a relação contratual, independentemente da responsabilidade do cliente.
O caso Mobius Solutions Ltd / Deezer (dezembro de 2025, 1 milhão de euros) ilustra as deficiências mais frequentes: retenção de dados após o término do contrato, processamento fora das instruções do cliente, falta de registro, falta de medidas de segurança que levaram à publicação dos dados de vários milhões de usuários na darknet.
O caso Discord (2022, €800.000) é uma sanção imposta ao partido controlador de dados A ausência de um contrato em conformidade com o Artigo 28. O Grupo Canal+, multado em € 600.000 em 2022, foi penalizado, em particular, pela falta de acordos contratuais suficientes. A partir de 27 de janeiro de 2021, o CNIL inaugurou sua doutrina sancionando simultaneamente um controlador de dados (€150.000) e sua subcontratada (€75.000) por não tomarem medidas contra o preenchimento de credenciais.
O que a CNIL examina em suas auditorias
À medida que as decisões são tomadas, a rede de controle do CNIL Os detalhes ficaram mais claros. A autoridade está verificando a existência de um Acordo de subcontratação em conformidade com o RGPD redigida e em conformidade com o Artigo 28, a documentação das instruções, a lista atualizada dos subcontratados subsequentes, as medidas técnicas e organizacionais efetivamente implementadas, os procedimentos de notificação para um violação de dados, as medidas para auxiliar os indivíduos no exercício de seus direitos, as condições para a rescisão do contrato e a rastreabilidade das auditorias realizadas.
Para preparar sua organização para esses pontos de verificação, nosso Um guia completo para auditorias de conformidade com o RGPD Detalha a metodologia a ser aplicada.
Deseja proteger sua cadeia de subcontratação e demonstrar sua conformidade?
Construindo uma estrutura contratual sólida: o acordo de subcontratação do RGPD
As cláusulas obrigatórias do Artigo 28, parágrafo 3
O DPA (Acordo de Processamento de Dados), Ou Acordo de subcontratação em conformidade com o RGPDdeve incluir um conjunto essencial de cláusulas exigidas pelo regulamento: objeto e duração do tratamento, natureza e finalidade, tipo de dados e categorias de pessoas, obrigações e direitos do titular dos dados. controlador de dadosO contrato também deve incluir oito compromissos específicos do subcontratado: agir de acordo com as instruções documentadas, garantir a confidencialidade, tomar as medidas de segurança necessárias, contratar subcontratados subsequentes somente com autorização, ajudar a responder às solicitações de indivíduos, auxiliar em questões de segurança e notificação, devolver ou excluir os dados ao término do contrato e disponibilizar todas as informações necessárias para auditorias.
Os termos e condições padrão de uma editora geralmente são insuficientes, como por exemplo... CNIL A Dedalus e vários outros prestadores de serviços, que já foram sancionados, foram criticados por isso. Uma revisão contrato por contrato é essencial.
Armadilhas a evitar na escrita
Diversos erros comprometem regularmente o cumprimento das normas. Uma cláusula que concede isenção total de responsabilidade ao subcontratado é inexequível contra o contratante. CNIL quanto à vítima de um vazamento. Uma lista ausente ou desatualizada de subcontratados subsequentes expõe a controlador de dados ao fracasso. Medidas de segurança descritas de forma vaga são insuficientes: o CNIL Aguarda-se um documento de referência concreto, verificável e datado. A ausência de um procedimento de notificação de infrações, ou prazos incompatíveis com as 72 horas impostas ao controlador de dados, é sistematicamente retida contra subcontratados inadimplentes.
O papel central do DPO e a governança de dados
O DPO O Encarregado da Proteção de Dados (DPO) desempenha um papel fundamental: lidera a avaliação dos prestadores de serviços, valida as cláusulas contratuais, supervisiona o cadastro de subcontratados e alerta a gerência sobre os riscos. Na ausência de DPOEssas missões devem ser executadas por uma função claramente identificada. governança de dados depende em grande parte dessa capacidade de manter o relacionamento com os subcontratados ao longo do tempo.
Gerenciando o relacionamento ao longo do tempo: auditorias, monitoramento e incidentes.
Uma obrigação contínua, não uma mera formalidade de assinatura.
Incluir isso em um contrato não é suficiente. controlador de dados deve assegurar, ao longo do tempo, que o seu prestador de serviços respeite os seus compromissos: auditorias periódicas, revisão anual do DPAAtualização sistemática em caso de alteração (novo subcontratado subsequente, novo escopo, nova localização do servidor).
Lá CNIL É explícito: usar um subcontratado nunca isenta o controlador de dados de seu dever de cuidado. A sanção imposta à Canal+ baseou-se precisamente na constatação de que não houve supervisão eficaz dos prestadores de serviços. Por outro lado, uma empresa capaz de produzir relatórios de auditoria, questionários preenchidos e planos de ação demonstra sua diligência, mesmo em caso de incidente.
O Módulo de Subcontratados Viqtor Centraliza a avaliação, o contrato, os subcontratados subsequentes, as auditorias e o histórico das trocas em um único repositório.
Respondendo a uma violação de dados envolvendo um provedor de serviços.
Uma proporção significativa das violações relatadas anualmente ao CNIL envolve um subcontratado. controlador de dados Portanto, um sistema de alerta rápido deve ser incluído no contrato desde o início. O subcontratado é obrigado a informar o cliente "o mais breve possível", o que na prática significa entre 24 e 48 horas para permitir a notificação dentro do prazo legal de 72 horas. CNILNossa página dedicada a declaração de violação de dados Ele detalha os passos.
O que você precisa observar
- Qualquer prestador de serviços que lide com dados pessoais para sua conta é um Subcontratado do RGPD, e implica em sua responsabilidade, assim como na dele.
- A avaliação prévia de um subcontratado é uma obrigação explícita nos termos do artigo 28.º, n.º 1, do RGPD, e não uma boa prática.
- O Acordo de subcontratação (DPA) do RGPD Deve incluir todas as cláusulas obrigatórias do Artigo 28; os termos e condições gerais padrão quase nunca são suficientes.
- As sanções CNIL Casos recentes (Mobius €1 milhão, Dedalus €1,5 milhão, Canal+ €600 mil, Discord €800 mil) mostram que a autoridade sanciona tanto os prestadores de serviços inadimplentes quanto os clientes negligentes.
- A conformidade é comprovada por meio de documentação: registros, auditorias, relatórios e planos de ação.
- Uma relação de subcontratação é gerenciada ao longo do tempo, e não apenas no momento da assinatura.
Perguntas frequentes — Subcontratação de acordo com o RGPD
Quais são as obrigações de um subcontratado ao abrigo do RGPD?
O subcontratado deve agir somente mediante instruções documentadas do contratante. controlador de dados, garantir a confidencialidade, implementar medidas de segurança adequadas, manter um registro de suas atividades, auxiliar seu cliente na gestão de direitos e violações, utilizar subcontratados subsequentes somente com autorização por escrito e devolver ou excluir os dados ao término do contrato.
Um subcontratado pode utilizar outro subcontratado (subcontratação em cascata)?
Sim, mediante autorização prévia por escrito da controlador de dadosAutorização específica ou geral. No caso de autorização geral, o subcontratado deve informar o cliente sobre quaisquer alterações para permitir que este apresente objeções. O subcontratado inicial permanece totalmente responsável pelo cumprimento das obrigações do subcontratado subsequente e deve impor a este as mesmas obrigações contratuais.
Quais são as penalidades que um subcontratado enfrenta por descumprimento do RGPD?
Um subcontratado pode ser sancionado por CNIL até 10 milhões de euros ou 2.140.000 euros do seu volume de negócios anual mundial, consoante o que for mais elevado. A Mobius Solutions Ltd (1 milhão de euros em dezembro de 2025) e a Dedalus Biologie (1,5 milhões de euros em abril de 2022) são exemplos recentes. O subcontratado poderá também ser responsabilizado perante as pessoas em causa, nos termos do artigo 82.º.
Que cláusulas devem ser incluídas em um contrato de subcontratação em conformidade com o RGPD?
O DPA Deve descrever o objeto, a duração, a natureza e a finalidade do tratamento, as categorias de dados e indivíduos, e incorporar os oito compromissos do artigo 28.º, n.º 3: instruções documentadas, confidencialidade, segurança, supervisão dos subcontratantes subsequentes, assistência no exercício dos direitos dos titulares dos dados, assistência na notificação, devolução ou destruição dos dados no final do contrato e disponibilização de informações para fins de auditoria. Deve ser anexada a lista dos subcontratantes subsequentes.
Como escolher um subcontratado em conformidade com o RGPD para uma PME?
A avaliação baseia-se em alguns critérios principais: a existência de um DPA conforme, presença de um DPOLocalização dos dados (preferencialmente na UE), certificações de segurança (ISO 27001, HDS para o setor da saúde), uma lista atualizada de subcontratados subsequentes, referências e histórico de incidentes. Um questionário formal de conformidade preenchido e arquivado serve como comprovante da sua diligência prévia em caso de auditoria.
Quais são as responsabilidades de um provedor de hospedagem em nuvem como subcontratado no âmbito do GDPR?
Um provedor de hospedagem em nuvem que hospeda dados pessoais Para um cliente, isso significa contratar um subcontratado. O subcontratado deve garantir a segurança (criptografia, controle de acesso, backups), informar o cliente em caso de violação, supervisionar os subcontratados subsequentes, viabilizar a portabilidade e a exclusão efetiva dos dados e fornecer transparência quanto à localização e às transferências de dados. Para dados de saúde, são necessárias certificações específicas, como a HDS.
Avaliar, supervisionar e gerenciar seus subcontratados não é algo que possa ser improvisado.
Para saber mais, encontre todos os nossos recursos sobre conformidade com o RGPD em [link para o RGPD]. Plataforma Viqtor.