Contratos entre controlador e processador


Um aspecto relevante no âmbito da proteção de dados diz respeito aos contratos entre controlador e processador – ou, como se diz no RGPD, entre os responsáveis pelo tratamento e os subcontratantes.

Em abril deste ano o European Data Protection Supervisor (EDPS) abriu uma investigação em relação aos contratos estabelecidos pelas instituições da União Europeia com a Microsoft, que oferece produtos e serviços à primeira. E em nota divulgada ontem (21/out), o EDPS indicou que “embora a investigação ainda esteja em andamento, os resultados preliminares revelam sérias preocupações com a conformidade dos termos contratuais relevantes com as regras de proteção de dados e com o papel da Microsoft como processadora de instituições da UE que usam seus produtos e serviços. Avaliações de risco semelhantes foram realizadas pelo Ministério da Justiça e Segurança dos Países Baixos, confirmando que as autoridades públicas dos Estados-Membros enfrentam problemas semelhantes” (destaques no original).

É interessante notar, ainda conforme o EDPS, que “ao usar os produtos e serviços de provedores de serviços de TI, as instituições da UE terceirizam o processamento de grandes quantidades de dados pessoais. No entanto, elas [as instituições da União Europeia] permanecem responsáveis por quaisquer atividades de processamento realizadas em seu nome. Elas devem avaliar os riscos e ter salvaguardas contratuais e técnicas apropriadas para mitigar esses riscos. O mesmo se aplica a todos os controladores que operam no EEE” (destaques meus).

Uma dica

Se você trabalha na área de proteção de dados, vale a dica: é necessário verificar os contratos feitos com todos os eventuais subcontratados – não apenas aqueles que irão tratar os dados dos seus consumidores, mas também aqueles que tratam dados pessoais internos, ou seja, dos seus colaboradores. Os contratos entre controlador e processador são peça fundamental na comprovação da accountability de sua empresa com as leis e regulamentos de proteção de dados.

A nota original está disponível aqui: https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-investigation-it-contracts-stronger_en

Dúvidas? Entre em contato!

Deixe um comentário:

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

 
%d blogueiros gostam disto: