
ABC do RGPD – Parte 13 – A escolha / seleção de Subcontratantes
O artigo 28.º do RGPD estabelece que sempre que o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas, de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos dos titulares dos dados.
Para garantir que os subcontratantes selecionados / escolhidos cumprem com o RGPD é necessário verificar algumas informações relevantes.
Inexistindo, de momento, uma certificação de compliance com o RGPD a garantia de cumprimento do RGPD deve assentar na apresentação de ferramentas e elementos que evidenciem essa conformidade, nomeadamente:
- Contacto do EPD? Este é interno ou externo? Se não existe, qual é a razão?
- Manual de normas / registo de atividades de tratamento conforme artigo 30.º do RGPD?
- Todas as operações que incluem dados pessoais estão triadas e registadas?
- Os acessos aos dados pessoais são limitados e minimizados por utilizador?
- Os colaboradores estão sensibilizados regularmente para o RGPD?
- O que consideram um “incidente”?
- Quais são os procedimentos utilizados em caso de incidente?
- entre outros…
Algumas destas respostas são chave para compreender a conformidade de um subcontratante.
Como por exemplo:
- se um subcontratante não tiver EPD, é necessário compreender se tal sucede por não ser legalmente exigido a sua nomeação ou, pelo contrário, por não estar conforme com o RGPD;
- a inexistência de um Código de Conduta ou Manual de Procedimentos podem evidenciar, por si só, o incumprimento do Regulamento ou a dimensão da empresa não o justifica;
- caso de os utilizadores do subcontratante não terem user/password ou outro método de identificação não há forma de aplicar a rastreabilidade dos acessos, logo não estará conforme.
Para mais informações acerca deste tema contacte-nos.