Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Requisitos do GDPR para conformidade offline

Um dos equívocos mais comuns é pensar que o GDPR só se aplica ao ambiente online: não é bem assim! O GDPR é “neutro” do ponto de vista tecnológico: aplica-se a qualquer tipo de tratamento de dados pessoais, independentemente da forma como ocorra (online, offline, via site, via app, na relação de trabalho, etc.).

O GDPR se aplica a qualquer tipo de tratamento de dados pessoais independentemente da forma como ocorra (online ou offline)

Este artigo aborda algumas das obrigações ao tratamento de dados offline, que vamos chamar de “conformidade offline”. Saiba as obrigações mais relevantes para conformidade offline abaixo:

  1. Nomeação de um representante na UE
  2. Processadores de dados (ou Subcontratante, segundo o GDPR) e o Contrato de Processamento de Dados (DPA)
  3. Encarregado de Proteção de Dados (EPD)
  4. Obrigações de confidencialidade dos funcionários
  5. Avaliação de Impacto Sobre Proteção de Dados (AIPD)

1. Nomeação de um representante na UE

Se você é um controlador de dados que não possui sede na UE, mas está oferecendo bens ou serviços (mesmo gratuitamente) para usuários localizados na UE ou se você estiver monitorando o comportamento de usuários dentro da UE, você terá que nomear um representante estabelecido em um dos países da UE onde os titulares dos dados estão localizados.

O representante na UE pode ser uma pessoa física ou jurídica.

O que o representante na UE faz?

O representante na UE atua como contato principal para quaisquer solicitações ou reclamações dirigidas ao controlador de dados pelos titulares dos dados ou pelas autoridades reguladoras. Isso significa que o representante deve encaminhar essas solicitações ao controlador com todas as informações relacionadas que estejam ao seu alcance. O representante deve ajudar o controlador de dados a cumprir todas as disposições do GDPR, como a notificação de violações de dados pessoais ou a cooperação com as autoridades reguladoras. Geralmente, o controlador de dados é o responsável por todas as atividades de tratamento de dados, e não o representante.

No entanto, o representante da UE também tem obrigações específicas que deve cumprir (e consequentemente, possui responsabilidades associadas). Por exemplo, ele deve manter um registro das atividades de tratamento de dados.

Como nomear o representante na UE (modelo)

O GDPR exige que a nomeação do representante na UE seja efetuada “por escrito”. Você pode usar o modelo de nomeação e compromisso que criamos e disponibilizamos no Quip (você pode encontrar as opções para exportar o documento no canto superior esquerdo) e no formato .docx:


2. Processador de dados e Contrato de Processamento de Dados (DPA)

Ao tratar dados pessoais como o controlador, você frequentemente precisará delegar parte das atividades de tratamento a um fornecedor externo. Na maioria das vezes, esse fornecedor processará dados pessoais relacionados aos seus clientes em seu nome, e não pelo no próprio interesse dele. Esses fornecedores são definidos como processadores ou “subcontratantes” pelo GDPR e o relacionamento que os liga ao controlador dos dados é uma ordem de tratamento de dados pessoais.

Vamos ver alguns exemplos práticos

Você tem uma loja online de sapatos. Quando os consumidores fazem um pedido, os sapatos são embalados e preparados para entrega pelo seu fornecedor externo, que inevitavelmente precisa receber todos os dados pessoais necessários para o cumprimento do pedido. O fornecedor externo está, portanto, processando os dados dos clientes em seu nome como um processador de dados.

O que eu preciso fazer?

De acordo com o art. 28 do GDPR, os controladores e processadores de dados devem celebrar um “Contrato de Processamento de Dados” por escrito – incluindo em formato eletrônico. Este contrato visa especificar os direitos e obrigações das partes na execução das atividades de tratamento pelo processador. Só para citar alguns deveres, o processador deve atuar no limite da instrução do controlador de dados, adotar medidas técnicas e organizacionais de segurança adequadas para garantir a proteção dos dados pessoais, colaborar com o titular em caso de solicitações de interessados ​​ou investigações autoridades reguladoras, etc.

A alteração mais importante introduzida pelo GDPR é que, nos termos do art. 82, o controlador e o processador do tratamento são solidariamente responsáveis ​​perante terceiros. Isto significa que, se um titular de dados acreditar que os seus dados foram tratados ​​ilegalmente, o titular poderá contatar o controlador ou o processador e exigir uma indenização pelo dano sofrido. Consequentemente, a parte que pagou a indenização, poderá exercer seu direito de regresso contra a outra.

Exemplo (continuação)

O titular de dados recebe um par de sapatos entregue em seu endereço residencial, embora nunca os tenha encomendado. Ele opta por reivindicar uma compensação por parte do fornecedor (processador). O processador então paga e subsequentemente recorre contra o controlador, uma vez que foi este quem deu a instrução para entregar o par de sapatos ao titular de dados.

O que acontece se eu não nomear todos os meus fornecedores como processadores de dados?

Qualquer entidade que não é nomeada como processador é “um terceiro“. Portanto, se você encaminhar dados pessoais de seus clientes para entidades que não foram nomeadas como processadores, você está transferindo dados para terceiros, do ponto de vista jurídico, o que você só pode fazer quando houver uma base legal que justifique – na maioria das vezes constituída pelo consentimento dos titulares de dados. No entanto, muitas vezes não é fácil cumprir todos os requisitos para consentimento válido ao transferir dados para terceiros.

DPA e transferência de dados para outros países

Às vezes, os processadores de dados nomeados para atividades específicas de tratamento de dados estão baseados fora da UE. Isso traz também o problema de identificar uma base jurídica para a transferência de dados pessoais para fora da UE. Explicamos as diferentes bases jurídicas aqui. No entanto, é válido ressaltar que a base legal da transferência e o contrato de processamento de dados (DPA) são duas questões distintas que não necessariamente coincidem no mesmo documento.

Exemplo (continuação)
  • Caso você transfira dados para o Google (por exemplo, Google Analytics). Você precisará assinar um DPA com o Google.
  • Transferência de dados para uma empresa com sede na Austrália. No momento, não há decisão de adequação ou outro acordo aplicável à transferências para a Austrália (da UE ou Suíça). Portanto, você pode fazer a transferência com base em “cláusulas contratuais padrão”. Neste caso, o DPA com o destinatário de dados estabelecido na Austrália incluirá também as cláusulas contratuais padrão previstas na Decisão 78/2010 da Comissão Europeia. Neste caso, a base legal da transferência coincidirá com o DPA.

Modelo

Tenha como base o modelo de Contrato de Processamento de Dados que criamos e oferecemos no Quip (disponíveis em inglês) – você pode encontrar as opções para exportar o documento no canto superior esquerdo e no formato .docx:


3. Encarregado de Proteção de Dados (EPD)

De acordo com o art. 37 do GDPR, em certas ocasiões, o controlador deve nomear um Encarregado de Proteção de Dados (EPD). Mas o que é um Encarregado de Proteção de Dados?

O que é um EPD?

Um EPD é uma pessoa física (ou jurídica) que deve supervisionar o cumprimento, por parte do controlador (ou processador) de dados, das disposições de proteção de dados pessoais. Quando as condições para uma nomeação obrigatória forem atendidas, o encarregado de proteção de dados deve ao menos:

  • informar e aconselhar o controlador (ou processador) e seus funcionários sobre as normas de proteção de dados;
  • fiscalizar o cumprimento das disposições aplicáveis, principalmente o GDPR;
  • se houver solicitação, auxilie o controlador (ou processador) na realização da avaliação de impacto da proteção de dados (AIPD) e supervisione sua implementação;
  • cooperar e atuar como ponto de contato para as autoridades reguladoras em qualquer assunto relacionado ao tratamento de dados pessoais;
  • atuar como um ponto de contato para as partes interessadas em questões relacionadas ao tratamento de dados pessoais e ao exercício de seus direitos sob o GDPR.

O GDPR não exige expressamente que o responsável pela proteção de dados seja uma pessoa física: isto significa que, em princípio, mesmo uma pessoa jurídica, como uma empresa de consultoria, pode ser nomeada como encarregado pela proteção de dados. No entanto, a partir de agora, vários comentaristas apontam que algumas das disposições do GDPR só podem ser aplicadas a uma pessoa física: por exemplo, “as qualidades profissionais, em particular o conhecimento especializado da legislação e práticas de proteção de dados, para realizar as funções a que se refere o artigo 39 do GDPR” apenas podem se referir a uma pessoa física e não jurídica.

No entanto, até hoje não é possível resolver a questão de forma clara: temos que esperar para ver que atitude será adotada pelas autoridades reguladora e/ou pelos tribunais.

Como o EPD realiza suas atividades?

Em primeiro lugar, o EPD pode ser integrado à organização do controlador (geralmente um funcionário) ou fornecedor externo (profissional autônomo). Nos dois casos, ele pode também cumprir outras funções no exercício das suas atividades de encarregado pela proteção de dados. Entretanto, deve ser sempre garantido que não haja conflito de interesses: o administrador da empresa, por exemplo, não pode ser nomeado encarregado da proteção de dados. O mesmo se aplica ao CTO: seria no mínimo curioso delegar a avaliação da conformidade da infraestrutura de TI em proteção de dados pessoais à mesma pessoa que a desenvolveu.

No geral, o EPD é obrigado a cumprir uma obrigação legal de sigilo em relação a qualquer informação adquirida no desempenho de suas funções e deve sempre manter total independência (mesmo que seja formalmente um funcionário). Isso significa que o EPD deve receber todos os meios e recursos necessários para cumprir suas tarefas e que não deve estar sujeito ao direcionamento de terceiros.

Vamos ver alguns exemplos práticos

A autoridade de proteção de dados realiza uma revisão da proteção de dados e solicita acesso ao registro de processamento nos termos do art. 30 do GDPR. O EPD sabe que não há registro porque o controlador nunca deu muita atenção à este dever legal. No entanto, o encarregado pela proteção de dados deve ser neutro e não pode “defender” o controlador: por isso, ele deve declarar que o registro não existe.

Relacionando isso a responsabilidade, é importante observar que o EPD não é o responsável pelo cumprimento ou não da lei por parte do controlador. A função do EPD é informar, aconselhar e colaborar conforme descrito anteriormente. O controlador é unicamente responsável por seguir ou não os conselhos do EPD. O encarregado pela proteção de dados, por outro lado, é responsável perante o controlador de dados por quaisquer opiniões ou conselhos equivocados. Mesmo neste caso, perante os interessados e titulares dos dados, o controlador será sempre o responsável.

Quando devo nomear um EPD?

No GDPR, a nomeação de um EPD é obrigatória em três cenários:

  1. o controlador (ou processador) é um órgão ou autoridade pública (por exemplo, uma agência administrativa ou governamental);
  2. as principais atividades do controlador (ou processador) consistem no tratamento em grande escala de dados sensíveis ou dados pessoais relativos a condenações criminais e infrações;
  3. as principais atividades do controlador (ou processador) consistem em atividades de tratamento que requerem monitoramento regular e sistemático dos titulares dos dados em grande escala;

Cenários nº 1 e 2 são relativamente claros: dados “sensíveis” são dados que revelam origens raciais ou étnicas, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos com o propósito de identificar exclusivamente uma pessoa física, dados relacionados a saúde, dados relativos à vida ou orientação sexual de uma pessoa física.

Mas o que dizer do “monitoramento regular e sistemático dos titulares dos dados em grande escala”? Isto se aplica somente às empresas como Facebook ou Google, cujo modelo de negócio é praticamente baseado no tratamento de um excesso de dados pessoais, ou já é aplicável se, por exemplo, você integrar o Google Analytics em sua loja online porque esta ferramenta permite o rastreamento de seus clientes?

No momento, ainda não sabemos. Várias autoridades, observadores e especialistas, como WP29, expressaram suas opiniões sobre o assunto, mas nenhuma delas é juridicamente vinculativa. Portanto, mesmo neste caso, tudo o que podemos fazer é aguardar para ver que medida será adotada pelas autoridades de supervisão e/ou pelos tribunais.

Modelo

Criamos um modelo para a nomeação do EPD, disponível no Quip (você encontra as opções para exportar o documento no canto superior esquerdo) e no formato .docx:


4. Obrigações de confidencialidade dos funcionários

Embora o GDPR, ao contrário de certas legislações anteriores ao GDPR (como a italiana e a alemã), não prevê a obrigação de sujeitar os funcionários ou, de forma geral, as pessoas envolvidas nas atividades de tratamento como uma obrigação de confidencialidade, é sempre aconselhável instruir os funcionários sobre a obrigação de sigilo e submetê-los à obrigação contratual de cumprir as condições estabelecidas no GDPR, tais como:

  • O controlador e processador devem garantir que qualquer pessoa que atue sob a sua autoridade e tenha acesso aos dados pessoais, trate estes dados nos limites da instrução dada pelo controlador, a menos que seja exigido de outra forma pela legislação da União ou pelos Estados-Membros (artigo 32. n.º 4).
  • O controlador de dados garante que as pessoas autorizadas a tratar dados pessoais estão comprometidas com a confidencialidade ou tem uma obrigação legal adequada de confidencialidade; (Artigo 28 par. 3 b).
  • O encarregado da proteção de dados deve informar e aconselhar o controlado, processador, e os funcionários que realizam o tratamento, sobre as obrigações decorrentes do regulamento, bem como de outras disposições da União ou dos Estados-Membros relacionadas com a proteção de dados (artigo 39., n.º 1, alínea a).

Além disso, o art. 24 exige que o controlador de dados “consiga demonstrar que o tratamento é realizado de acordo com este regulamento” e, também deve demonstrar que funcionários e outros membros da equipe trataram dados pessoais em conformidade com o GDPR.

Sugerimos então, que você feche um acordo de confidencialidade e não divulgação com todos os colaboradores, referindo-se às instruções sobre o correto tratamento dos dados pessoais que lhes seja fornecido. É necessário garantir que essas instruções sejam entregues e assinadas, para poder ser usado como evidência, se necessário.

Modelo

Criamos um modelo para não divulgação e confidencialidade dos colaboradores, que está disponível no Quip (encontre as opções para exportar o documento no canto superior esquerdo) e no formato .docx:


5. Avaliação de impacto na proteção de dados (ou AIPD)

De acordo com o art. 35 do GDPR, os controladores devem realizar o Avaliação de impacto na proteção de dados (AIPD). Mas o que exatamente é uma avaliação de impacto na proteção de dados?

O que é uma AIPD?

A AIPD é um procedimento adotado para ajudar o controlador a cumprir o GDPR de maneira eficaz e garantir que os princípios de responsabilidade, “privacy by design” e “privacy by default” sejam implementados.

A AIPD deve incluir:

  • Descrição completa dos dados tratados
  • O objetivo do tratamento (e, se aplicável, uma indicação dos interesses legítimos do controlador dos dados)
  • Uma avaliação da extensão e necessidade do tratamento em relação às suas finalidades
  • Uma avaliação do risco a que os titulares dos dados estão expostos
  • Medidas tomadas para neutralizar este risco

É recomendável que você mantenha um registro escrito deste relatório.

Quando é obrigatório?

Em geral, a AIPD é obrigatório apenas nos casos em que a atividade de tratamento de dados pode envolver um alto risco para os titulares dos dados (por exemplo, ao introduzir uma nova tecnologia de tratamento). Caso não esteja claro se uma atividade pode ser considerada de “alto risco”, recomenda-se a realização de uma AIPD, principalmente por ser uma ferramenta útil para garantir o cumprimento da legislação.

As atividades de tratamento de dados de “alto risco” incluem:

  • Tratamento em grande escala de dados sensíveis
  • Monitoramento sistemático de uma área pública (por exemplo, via CFTV)
  • Situações em que haja avaliação sistemática e abrangente com base no tratamento automatizado de dados pessoais, para influenciar decisões que afetam de forma significativa a vida dos usuários

A realização de uma AIPD também pode ser necessária em outras circunstâncias (a serem avaliadas caso a caso), como o tratamento de dados relativos a indivíduos vulneráveis ​​(como crianças ou idosos), a transferência de dados para fora da UE o tratamento de dados para fins de criação de perfis (por exemplo, análise de crédito). Se você estiver interessado, pode ler mais sobre os critérios aqui [PDF].

Embora o GDPR não prevê que o resultado da AIPD deva ser disponibilizado ao público, você pode considerar a hipótese de publicar a AIPD no todo ou em parte como uma medida de transparência e responsabilidade, especialmente nos casos em que o tratamento diz respeito ao interesse público (por exemplo, no caso de uma autoridade pública realiza uma AIPD).

Uma AIPD bem desenvolvida também é útil para atender aos requisitos de “Privacy by design”, pois permite ao proprietário identificar e resolver problemas em um estágio inicial, reduzindo assim os riscos para a segurança dos dados do usuário e o risco de incorrer em multas, sanções e danos à reputação e imagem.

Modelo

Baixe o modelo para a avaliação de impacto na proteção de dados (AIPD) aqui: