A escolha de um Subcontratante

O RGPD define «Subcontratante» como sendo a pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

O tratamento de dados pessoais por um subcontratante deve ser regido por um contrato ou outro ato jurídico ao abrigo da legislação da União ou de um Estado-Membro. Uma consideração importante é que as condições do contrato significam que o subcontratante não tem fundamento para usar os dados para nenhuma das suas finalidades. Para além disso, o subcontratante não recolhe nenhum tipo de informação de per si. Todos os dados pessoais que detém em conexão com a prestação do serviço são fornecidos pelo responsável pelo tratamento.

Ao contrário da antiga diretiva, o RGPD regula diretamente os subcontratantes. O responsável pelo tratamento deve utilizar apenas subcontratantes que forneçam garantias suficientes, em especial em termos de conhecimentos especializados, fiabilidade e recursos, para implementar medidas técnicas e organizacionais que satisfaçam as obrigações do RGPD, incluindo a segurança do tratamento. A adesão de um subcontratante a um código de conduta aprovado ou a um mecanismo de certificação aprovado pode ser usada como um elemento para demonstrar garantias suficientes.

Além de atender aos requisitos do contrato, os subcontratantes deverão cumprir uma série de obrigações específicas, incluindo:

  • manter um registo das atividades de tratamento (Artigo 30.º);
  • aplicar normas de segurança adequadas (artigo 32º);
  • notificar o responsável pelo tratamento em caso de violação (artigo 33º);
  • realizar avaliações de impacto da proteção de dados (Artigo 35º);
  • nomear um encarregado da proteção de dados (Artigo 37º);
  • cumprir as regras sobre transferências internacionais de dados (Capítulo V);
  • cooperar com as autoridades nacionais de supervisão (artigo 31º).

Os subcontratantes estão diretamente sujeitos a sanções (artigo 83º) se não atenderem a esses critérios e também poderão enfrentar ações judiciais (artigo 79º).

Impacto nos responsáveis pelo tratamento?
As relações com subcontratantes existentes necessitam ser revistas e avaliadas para determinar a conformidade atual com o RGPD. Pode ser necessário promoverem-se Avaliações de impacto de privacidade de dados. As autoridades de controlo podem precisar de ser consultadas. Em muitos casos, os contratos existentes provavelmente precisarão de ser revistos e atualizados.

E se o subcontratantes estiver fora da UE?
O artigo 3.º, n.º 2, estabelece:
O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:
a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.