Praticamente todas as empresas dependem de terceiros para processar dados pessoais. Seja um cliente de e-mail, um serviço de armazenamento em nuvem ou um software de análise de sites, você deve ter um adendo de processamento de dados com cada um desses serviços para atingir a conformidade com o GDPR.

 

O Regulamento Geral de Proteção de Dados da UE adota uma abordagem mais séria dos contratos do que os regulamentos anteriores de dados da UE. Se a sua organização estiver sujeita ao GDPR , você deve ter um adendo de processamento de dados por escrito em vigor com todos os seus processadores de dados. Sim, um adendo de processamento de dados é também uma das etapas mais básicas da conformidade com o GDPR e necessária para evitar multas GDPR, e o mesmo pode ocorrer com a Lei Geral de Proteção de Dados (LGPD).

Este guia serve como uma introdução aos contratos de processamento de dados ou adendo de processamento de dados – o que são, por que são importantes, para quem servem e o que precisam dizer. 

Nas definições de GDPR , o processamento refere-se essencialmente a qualquer coisa que você possa fazer com as informações pessoais de alguém: coletá-las, armazená-las, monetizá-las, destruí-las etc. Na LGPD também encontramos o papel do “processador”, no entanto, para a Lei Geral de Proteção de Dados, o termo correto é operador, já o termo controlador permanece igual.

 

Noções básicas do adendo de processamento de dados (DPA)

A conformidade com o GDPR exige que os controladores de dados assinem um “adendo de processamento de dados” com todas as partes que atuam como processadores de dados em seu nome. Se você precisar de algumas definições desses termos, poderá encontrá-los em no artigo “ O que é o GDPR ”, mas normalmente um processador (operador para a LGPD) de dados é outra empresa que você usa para ajudá-lo a armazenar, analisar ou comunicar informações pessoais. 

Por exemplo, se você é uma empresa de seguro de saúde e compartilha informações sobre clientes via e-mail criptografado , esse serviço de e-mail criptografado é um processador de dados. Ou, se você usar o Matomo, Intercom, Mailchimp, para analisar o tráfego no seu site, o eles também serão um processadores de dados.

Um adendo de processamento de dados é um contrato juridicamente vinculativo que estabelece os direitos e obrigações de cada parte em relação à proteção de dados pessoais, onde dados pessoais são definidos como: “informação relacionada a pessoa identificada ou identificável”.

A definição de dados pessoais é a mesma para ambas as leis, ainda para a LGPD e também para a GDPR, temos outro termo o “dados pessoais sensíveis”, que por definição são aqueles que se referem à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”

 

O Artigo 28 do GDPR cobre os acordos de processamento de dados sob a Seção 3:

O tratamento por um transformador será regido por um contrato ou outro ato jurídico nos termos do direito da União ou de um Estado-Membro, vinculando o subcontratante perante o responsável pelo tratamento e indicando o objeto e a duração do tratamento, a natureza e o objetivo do processamento, o tipo de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento.

Se você é proprietário de uma empresa sujeita ao GDPR, é de seu interesse ter um adendo de processamento de dados em vigor: em primeiro lugar, é necessário para a conformidade com o GDPR, mas o DPA também oferece garantias de que o processador de dados é qualificado e capaz. 

Como indicado no considerando 81:

Ao confiar a um processador as atividades de processamento, o responsável pelo tratamento deve utilizar apenas processadores que forneçam garantias suficientes, nomeadamente em termos de conhecimentos especializados, fiabilidade e recursos, para implementar medidas técnicas e organizacionais que satisfaçam os requisitos do presente regulamento, incluindo a segurança dos dados. em processamento. 

 

Exemplo de acordo de processamento de dados

Este site, como você deve saber, é operado pelo provedor de e-mail criptografado ProtonMail (e parcialmente financiado pelo programa Horizonte 2020 da União Europeia). Como parte de nossos esforços de conformidade com o GDPR, disponibilizamos nosso próprio adendo de processamento de dados a todos os nossos usuários corporativos para fazer o download, revisar e assinar.

Nosso DPA faz uma série de garantias para as empresas que nos confiam dados pessoais. Por exemplo, o adendo de processamento de dados ProtonMail promete o uso de medidas técnicas de segurança, como a criptografia, conforme indicado no Artigo 32 do GDPR . Também oferece assistência razoável aos controladores ao conduzir uma avaliação de impacto de proteção de dados .

Para mais detalhes, você pode ler o adendo de processamento de dados do ProtonMail ou verificar o modelo genérico de adendo de processamento de dados que disponibilizamos neste site.

 

O que precisa estar em um adendo de processamento de dados 

O Artigo 28 , Seção 3 do GDPR , explica em detalhes os oito tópicos que precisam ser cobertos em um DPA. Em resumo, aqui está o que você precisa incluir:

  • O processador concorda em processar dados pessoais apenas com instruções escritas do controlador.
  • Todos que entram em contato com os dados estão comprometidos com a confidencialidade.
  • Todas as medidas técnicas e organizacionais apropriadas são usadas para proteger a segurança dos dados.
  • O processador não subcontratará a outro processador, a menos que seja instruído a fazê-lo por escrito pelo controlador, caso em que outro DPA precisará ser assinado com o subprocessador (de acordo com as Seções 2 e 4 do Artigo 28).
  • O processador ajudará o controlador a manter suas obrigações no âmbito do GDPR, particularmente em relação aos direitos dos titulares de dados .
  • O processador ajudará o controlador a manter a conformidade com o GDPR em relação ao Artigo 32(segurança do processamento) e ao Artigo 36 (consultar a autoridade de proteção de dados antes de executar o processamento de alto risco).
  • O processador concorda em excluir todos os dados pessoais após o término dos serviços ou devolver os dados ao controlador.
  • O processador deve permitir que o controlador realize uma auditoria e fornecerá todas as informações necessárias para comprovar a conformidade.

 

 

Multas da GDPR e LGPD aguardam aqueles que não cumprem 

Desde que o GDPR entrou em vigor em 2018, as autoridades de proteção de dados demonstraram sua disposição de aplicar penalidades. E pequenas e médias empresas não foram negligenciadas. As multas do GDPR podem chegar a € 20 milhões ou 4% da receita global da empresa.

No entanto, existem dois níveis de multas, dependendo da gravidade e do tipo de violação. 

As multas do GDPR emitidas por violações relacionadas a processadores de dados geralmente se enquadram no primeiro nível, cujo estado de diretrizes pode ser tão severo quanto € 10 milhões ou 2% da receita global. Na LGPD as multas não são muito diferentes e também tem um valor bem elevado para quem não cumprir a lei, variam de 2% do faturamento bruto até R$ 50 milhões (por infração).


Em qualquer caso, é muito menos doloroso assinar um adendo de processamento de dados e aderir aos termos do que pagar uma multa GDPR

 

Adaptado e traduzido de: https://gdpr.eu/what-is-data-processing-agreement/