AVALIAÇÃO DE SUBCONTRATAÇÃO EM CONFORMIDADE COM O RGPD

O GDPR (Regulamento Geral sobre a Proteção de Dados) exige que as empresas que terceirizam o processamento de dados pessoais a processadores garantam que estes forneçam um nível adequado de proteção de dados. Isso significa que as empresas devem avaliar a conformidade de seus processadores com o GDPR.

Para avaliar a conformidade dos subcontratados, as empresas devem:

• Identifique subcontratados que processam dados pessoais em seu nome.
• Revise os contratos de subcontratação existentes para garantir que eles contenham todas as cláusulas obrigatórias exigidas pelo GDPR.
• Solicite que os subcontratados forneçam informações sobre suas práticas de processamento de dados pessoais, como medidas de segurança implementadas, políticas de privacidade, práticas de retenção de dados, etc.
• Verifique se os subcontratados implementaram medidas técnicas e organizacionais apropriadas para proteger os dados pessoais processados em nome da empresa.
• Verifique se os subcontratados são capazes de responder às solicitações para exercer os direitos dos titulares dos dados, como o direito de acesso, retificação, exclusão e oposição.
• Avalie regularmente a conformidade dos subcontratados e realize auditorias no local, se necessário.
• Manter registros de processamento de dados que incluam informações sobre subprocessadores e sua conformidade.

Em suma, é essencial que as empresas garantam que seus subcontratados cumpram o GDPR para evitar violações de proteção de dados pessoais e manter a confiança de seus clientes.

Os perfis dos subcontratados da empresa para o tratamento de dados pessoais podem variar dependendo das atividades da empresa e das necessidades de tratamento de dados. Aqui estão alguns exemplos de perfis comuns de subcontratados:

• Provedores de serviços de TI que gerenciam os sistemas de TI da empresa, incluindo data centers, provedores de nuvem, gerentes de rede, provedores de serviços de backup, provedores de serviços de suporte técnico, etc. Em suma, todos os parceiros que têm acesso de uma forma ou de outra aos dados pessoais da sua empresa... Isso pode rapidamente se tornar um grande número de pessoas.
• Provedores de serviços de marketing que gerenciam campanhas de marketing on-line, incluindo agências de publicidade, agências de marketing digital, provedores de soluções de segmentação de anúncios, provedores de serviços de marketing por e-mail, gerentes de mídia social, etc.
• Provedores de serviços de pagamento que lidam com as transações financeiras da empresa, incluindo bancos, provedores de serviços de pagamento on-line, provedores de soluções de pagamento móvel, etc.
• Prestadores de serviços de RH que gerenciam dados pessoais de funcionários, incluindo prestadores de serviços de folha de pagamento, empresas de contabilidade, provedores de soluções de gerenciamento de folha de pagamento, empresas de recrutamento, organizações de treinamento que você contrata para desenvolver as habilidades de seus funcionários, mas também aqueles a quem você confia entrevistas anuais, auditorias e avaliações de habilidades, prestadores de serviços de gerenciamento de benefícios, etc.
• Prestadores de serviços de processamento de dados de clientes que lidam com dados pessoais dos clientes da empresa, incluindo call centers, prestadores de serviços de gerenciamento de pesquisas, prestadores de serviços de processamento de dados de vendas, como empresas de entrega, etc.

É importante que a empresa identifique todos os subcontratados que processam dados pessoais em seu nome e garanta que eles garantam um nível adequado de proteção de dados, conforme exigido pelo GDPR.