Ir para o conteúdo principal

É possível ser outra entidade a efetuar o tratamento de dados em nome da minha organização?

Resposta

Uma outra entidade (uma pessoa singular ou coletiva ou qualquer outro organismo) pode efetuar o tratamento de dados pessoais em seu nome desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado por si apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento cumprirá as normas do Regulamento Geral sobre a Proeção de Dados (RGPD) e a garantir a proteção dos direitos das pessoas.

O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a sua autorização prévia, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre a sua empresa/organização e o subcontratante deve incluir os seguintes elementos:

  • o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
  • o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
  • o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
  • o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.

Exemplos

Uma empresa de construção subcontratou uma outra entidade para realizar obras de construção específicas e forneceu-lhe os contactos dos clientes onde as obras de construção devem ser realizadas. A entidade subcontratada utiliza ainda os dados para enviar material comercial aos clientes. Neste caso, a entidade subcontratada não se qualifica como um mero «subcontratante» na aceção do RGPD, uma vez que não efetua o tratamento de dados pessoais apenas em nome da empresa de construção, mas também para as suas próprias finalidades. Atua, por conseguinte, como um «responsável pelo tratamento».

Uma empresa do setor retalhista decide armazenar uma cópia de segurança da sua base de dados de clientes num servidor em nuvem. Para isso, celebra um contrato com um prestador de serviços na nuvem conhecido pelas suas normas de proteção de dados e que também possui um sistema certificado de cifragem de dados. O prestador de serviços na nuvem funciona como o subcontratante da empresa, uma vez que, ao armazenar os dados pessoais dos clientes da empresa nos seus servidores, irá efetuar o tratamento dos dados pessoais dos clientes em nome da empresa.

Referências

Examples

A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.

You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.