ABC do RGPD – Parte 13 – A escolha / seleção de Subcontratantes

O artigo 28.º do RGPD estabelece que sempre que o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas, de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos dos titulares dos dados.

Para garantir que os subcontratantes selecionados / escolhidos cumprem com o RGPD é necessário verificar algumas informações relevantes.

Inexistindo, de momento, uma certificação de compliance com o RGPD a garantia de cumprimento do RGPD deve assentar na apresentação de ferramentas e elementos que evidenciem essa conformidade, nomeadamente:

• Contacto do EPD? Este é interno ou externo? Se não existe, qual é a razão?
• Manual de normas / registo de atividades de tratamento conforme artigo 30.º do RGPD?
• Todas as operações que incluem dados pessoais estão triadas e registadas?
• Os acessos aos dados pessoais são limitados e minimizados por utilizador?
• Os colaboradores estão sensibilizados regularmente para o RGPD?
• O que consideram um “incidente”?
• Quais são os procedimentos utilizados em caso de incidente?
• entre outros…

Algumas destas respostas são chave para compreender a conformidade de um subcontratante.

Como por exemplo:

• se um subcontratante não tiver EPD, é necessário compreender se tal sucede por não ser legalmente exigido a sua nomeação ou, pelo contrário, por não estar conforme com o RGPD;
• a inexistência de um Código de Conduta ou Manual de Procedimentos podem evidenciar, por si só, o incumprimento do Regulamento ou a dimensão da empresa não o justifica;
• caso de os utilizadores do subcontratante não terem user/password ou outro método de identificação não há forma de aplicar a rastreabilidade dos acessos, logo não estará conforme.

Para mais informações acerca deste tema contacte-nos.