O recurso a subcontratantes e a deliberação da CNPD que aplica uma coima de 4,3 milhões ao INE
Incumbe ao responsável pelo tratamento aplicar e/ou exigir ao subcontratante que sejam implementadas as medidas necessárias e adequadas no que toca à proteção de dados pessoais.
No passado mês de dezembro, a CNPD publicou no seu site a Deliberação/2022/1072, relativa ao processo movido contra o Instituto Nacional de Estatística (INE) no âmbito da realização dos Censos de 2021, mediante a qual aplica ao INE uma coima de 4,3 milhões de euros, pela prática de 5 infrações ao RGPD. Entre estas, destaca-se a violação dos deveres de diligência na escolha do subcontratante.
Quanto à escolha do subcontratante, fixa o RGPD que o responsável pelo tratamento (INE) apenas pode recorrer a subcontratantes que «apresentem garantias suficientes de medidas técnicas e organizativas adequadas», de modo a que o tratamento realizado satisfaça os seus requisitos.
Por sua vez, quanto à regulação da relação entre o responsável pelo tratamento e o subcontratante, torna-se necessário que esta seja regulada por escrito, estipulando os elementos exigidos pelo n.º 3 do art. 28.º do RGPD.
Na Deliberação aludida, conclui a CNPD que, embora existisse um contrato entre as partes com um clausulado conforme a informação e obrigações legalmente exigidas, não basta existir apenas uma verificação formal de tais requisitos através de um clausulado tipo, sendo necessária uma verificação substantiva dos mesmos, ou seja, que as práticas adotadas correspondam às obrigações e garantias assumidas contratualmente.
Ora, não bastasse o bom senso na matéria, torna-se claro que, ainda que os contratos/acordos de tratamento de dados celebrados correspondam ao exigido pelo RGPD, tal não é, só por si, fator suficiente para garantir a conformidade da relação com o subcontratante.
Mais remata a CNPD de que o INE «não fez a due diligence necessária a assegurar a adoção de medidas aptas a garantir o respeito pelos princípios do RGPD», concluindo que «as pretensas ponderações sobre proteção de dados na contratação da Cloudfare, Inc., não ficaram, assim, demonstradas…».
Embora as conclusões a que a CNPD chega já resultem do RGPD, a verdade é que a prática na contratação de subcontratantes, muitas das vezes, despreza a necessidade de se proceder a uma prévia due diligence ao nível da proteção de dados; ficando a escolha de contratar dependente de critérios quase exclusivamente comerciais.
Veja-se que esta análise prévia do subcontratante pode facilmente ser implementada mediante, por exemplo, o envio de questionários ao subcontratante e/ou a solicitação de documentos chave relativos às garantias apresentadas pelo mesmo referentes à proteção de dados pessoais.
Reitera-se, assim, este dever de due diligence, devendo o responsável pelo tratamento promover as ações necessárias a averiguar a idoneidade e garantias apresentadas pelo subcontratante quanto ao tratamento de dados que este irá realizar, devendo este processo ser devidamente documentado e fundamentada a escolha do subcontratante. Quanto à documentação resultante desta diligência, esta deve ser conservada como forma de comprovar a sua realização, podendo – como acima se viu – vir a ser necessária e fulcral em caso de fiscalização por parte da CNPD, demonstrando o cumprimento deste dever.
Por fim, cumpre também ressalvar que incumbe ao responsável pelo tratamento aplicar e/ou exigir ao subcontratante que sejam implementadas as medidas necessárias e adequadas no que toca à proteção de dados pessoais, podendo, durante toda a relação – e, sobretudo, devendo –, auditar o cumprimento das obrigações assumidas por aquele.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
O recurso a subcontratantes e a deliberação da CNPD que aplica uma coima de 4,3 milhões ao INE
{{ noCommentsLabel }}