Responsable et sous-traitant : qui engage sa responsabilité ?

Gerente e subcontratado: quem é responsável?

Legal Watch nº 39 – Setembro de 2021

Gerente e subcontratado: quem é responsável? Muitos controladores de dados usam subcontratados, seja em gestão de recursos humanos, segmentação de publicidade ou segurança de dados.

O uso de um subcontratado não é insignificante em relação ao GDPR, que especifica e reforça as respectivas responsabilidades dos diferentes atores.

Quando falamos em subcontratação?

A CNIL menciona uma série de organizações para fins informativos:

  • Provedores de serviços de TI (hospedagem, manutenção, etc.), integradores de software, empresas de segurança de TI, empresas de serviços digitais,
  • Agências de marketing ou comunicação que processam dados pessoais em nome de clientes e
  • De forma mais geral, qualquer organização (pública ou privada) que ofereça um serviço ou prestação envolvendo o processamento de dados pessoais em nome de outra organização.

Editores de software ou fabricantes de hardware (leitor de crachá, equipamento biométrico, equipamento médico) que não têm acesso e não processam dados pessoais não são considerados subcontratados.

Responsabilidade do subcontratante reforçada pelo RGPD

O regulamento europeu visa tornar todas as partes interessadas envolvidas no processamento de dados pessoais mais responsáveis e de forma mais equilibrada.

Os subcontratados, em particular, estão vendo seu papel evoluir para uma maior proatividade: eles não mais simplesmente seguem as instruções do controlador, mas devem, de acordo com o Artigo 28 do GDPR, auxiliá-lo em seu processo de conformidade contínuo: análises de impacto, notificação de violação, segurança, destruição de dados, contribuição para auditorias.

Quem é responsável? Quais são os riscos para o controlador de dados?

Antes da entrada em vigor do RGPD, o responsável pelo tratamento tinha de prestar contas das ações do seu subcontratante: este último tinha de fornecer garantias suficientes para assegurar a implementação de medidas de segurança e confidencialidade dos dados, mas era da responsabilidade do responsável pelo tratamento garantir o cumprimento dessas obrigações: "a circunstância de uma violação de dados poder ter origem num erro cometido por um subcontratante não tem influência na obrigação do responsável pelo tratamento de garantir um controlo rigoroso das ações por este realizadas", conforme evidenciado por uma deliberação da CNIL de 6 de setembro de 2018, que impôs uma sanção pecuniária ao responsável pelo tratamento.

Embora o GDPR não isente o controlador de dados de suas próprias obrigações, ele prevê maior responsabilidade para o subcontratado.

Isso foi esclarecido pela CNIL este ano, em sua primeira decisão datada de janeiro de 2021.

Em um caso de preenchimento de credenciais*, o gerente e o subcontratado levaram mais de um ano para implementar a ferramenta para detectar e bloquear ataques ao site.

O gerente foi multado em 150.000 euros, e o subcontratado em 75.000 euros.

A CNIL especifica que "o responsável pelo tratamento deve decidir sobre a implementação de medidas e fornecer instruções documentadas ao seu subcontratado. Mas o subcontratado também deve buscar as soluções técnicas e organizacionais mais adequadas para garantir a segurança dos dados pessoais e propô-las ao responsável pelo tratamento".

Primeiro de tudo: estabeleça claramente funções e responsabilidades em um contrato

Este contrato pode ser baseado, no todo ou em parte, em cláusulas contratuais padrão (CCPs).

Desde 2019, três autoridades europeias de proteção de dados (Dinamarquesa, Eslovena e Lituana) adotaram Cláusulas Contratuais-Tipo (CCTs) para subcontratantes, sobre as quais o Comité Europeu para a Proteção de Dados (CEPD) emitiu um parecer. Em 4 de junho de 2021, a Comissão Europeia publicou as suas Cláusulas Contratuais-Tipo (CCTs) entre controladores e subcontratantes, ao abrigo do RGPD e do Regulamento (UE) 2018/1725.

A CNIL também fornece exemplos de cláusulas contratuais em seu guia de subcontratados.

O contrato deve definir:

  • A finalidade e a duração do serviço
  • A natureza e a finalidade do processamento
  • O tipo de dados pessoais processados
  • Categorias de pessoas envolvidas
  • Obrigações e direitos do cliente como responsável pelo tratamento de dados
  • As obrigações e direitos do subcontratante previstos no artigo 28.º do RGPD

O subcontratante está, em particular, vinculado às seguintes obrigações:

  • Nomear um responsável pela proteção de dados, se for uma autoridade ou um organismo público, se realizar uma monitorização regular e sistemática de indivíduos em larga escala ou processar em larga escala os chamados dados "sensíveis" ou dados relativos a condenações e infrações penais.
  • Documente suas atividades de subcontratação e mantenha um registro das operações de processamento
  • Oferecer ferramentas que respeitem os dados pessoais (por exemplo, interface de informações pessoais, link para cancelar a assinatura)
  • Ajudar o controlador de dados a responder às solicitações de exercício dos direitos dos indivíduos
  • Garantir a segurança dos dados coletados.

Questões de segurança estão entre as que mais frequentemente dão origem a violações e disputas. Portanto, recomenda-se ao controlador de dados que:

  • Exigir que o prestador de serviços comunique sua política de segurança de sistemas de informação;
  • Assegurar e documentar a eficácia das garantias oferecidas pelo subcontratante em termos de proteção de dados.
  • Para verificar a eficácia das medidas, por exemplo, por meio de auditorias de segurança ou uma visita às instalações.

* Credential stuffing é um tipo de ataque cibernético em que informações de contas roubadas, geralmente consistindo em listas de IDs de usuários e senhas associadas (geralmente obtidas de forma fraudulenta), são usadas para obter acesso não autorizado a contas de usuários por meio de solicitações de login automatizadas em larga escala em aplicativos da web.

E também

França:

Vazamento de dados dos Hospitais Públicos de Paris (AP-HP) A CNIL recebeu uma notificação sobre 1,4 milhão de pessoas testadas para COVID-19 em meados de 2020. A Comissão e o governo publicaram uma nota informativa para as pessoas afetadas.

A ANSSI publica recomendações relativas à segurança de objetos conectados.

UM serviço de monitoramento e proteção contra interferência digital estrangeira (Viginum) foi criado por decreto em 13 de julho. Sua missão é detectar e analisar conteúdo hostil à França em plataformas digitais, orquestrado do exterior.

Mensagens instantâneas são correspondências privadas : em uma sentença de 23 de julho, o Tribunal Industrial de Meaux decidiu que a empresa Eurodisney não poderia demitir um funcionário com base em uma conversa no Messenger à qual não estava autorizada a acessar, mesmo que esse serviço de mensagens não fosse protegido por senha.

Europa:

A Comissão Europeia anunciou em 15 de setembro uma iniciativa legislativa relativa à cibersegurança de objetos conectadosIsso complementará a proposta de diretiva NIS2 sobre segurança de rede.

Após mais de um ano de negociações, Os Estados Unidos e a Europa ainda não chegaram a um acordo sobre transferências transatlânticas de dadosEssas negociações visam resolver o vácuo legal deixado pela decisão Schrems II do Tribunal de Justiça Europeu, que anulou o Escudo de Proteção de Dados.

No entanto, há esforços de cooperação, por exemplo, no campo da inteligência artificial e da regulamentação de plataformas que distribuem conteúdo ilegal online.

É o que emerge do comunicado inaugural do Conselho de Comércio e Tecnologia UE-EUA de 29 de setembro.

Desde 27 de setembro, as transferências de dados para um país fora da União Europeia que não ofereça um nível de proteção adequado devem basear-se no seguinte: versão modernizada das cláusulas contratuais padrão da Comissão Europeia, publicado em 4 de junho.

A Autoridade Europeia para a Protecção de Dados publicou, a 24 de Setembro, um parecer sobre a proposta da Comissão Europeia relativa à a luta contra a lavagem de dinheiro, no qual enfatiza os princípios da necessidade e da proporcionalidade dos dados pessoais coletados.

A autoridade belga publicou em 23 de setembro um aviso sobre a extensão do uso do Covid Safe Ingresso para lugares e eventos da vida cotidiana.

Recorda a obrigação de demonstrar a necessidade e a proporcionalidade deste “passe sanitário” e a ingerência na vida privada que este implica.

A autoridade irlandesa ainda é considerada nos círculos de proteção de dados como o gargalo quando se trata de conformidade com o GDPR..

Notemos, no entanto, a sua comunicação de 17 de Setembro, juntamente com a autoridade italiana, sobre oimpacto das funções de vídeo e foto dos óculos do Facebook em questões de privacidade.

Ao mesmo tempo, A autoridade norueguesa anunciou a sua decisão de deixar de utilizar o Facebook para as suas comunicações, após uma avaliação de impacto da proteção de dados.

O Ministério da Defesa da Lituânia recomendou em comunicação datada de 21 de setembro não utilizar o telefones chineses como a Xiaomi Corp, que integra software para detectar e censurar certas mensagens.

Internacional:

O primeiro G7 de autoridades de proteção de dados reuniu nos dias 7 e 8 de setembro as autoridades da França, Itália, Canadá, Grã-Bretanha, Alemanha, Japão e Estados Unidos, sob a presidência do Reino Unido.

As autoridades discutiram questões internacionais de proteção de dados, incluindo fluxos de dados transfronteiriços, questões relacionadas à pandemia e o desenvolvimento da inteligência artificial.

Uruguai, considerado pela União Europeia como um país que garante um nível adequado de protecção de dados pessoais, atualizou sua própria avaliação dos países para os quais a transferência de dados é legalmente possível.

Esta avaliação exclui os Estados Unidos países com um nível adequado de proteção.

As transferências de dados entre o Uruguai e os Estados Unidos agora terão que oferecer garantias específicas, como o cumprimento de cláusulas contratuais apropriadas.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT