Nota do editor: este blog foi publicado, originalmente, em março de 2018 e foi atualizado com conteúdo adicional em dezembro de 2020.
As notícias sobre o novo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia – no Brasil chama-se Lei Geral de Proteção de Dados (LGPD) e entrou em vigor em 2020 - estava ganhando força conforme se aproximava a data em que entrou em vigor, em 25 de maio de 2018. Um dos elementos mais discutidos dessa lei são as novas diretrizes que ela estabeleceu para controladores e processadores de dados. Embora a GDPR mantenha algumas das obrigações que a Diretiva de Proteção de Dados impõe a ambas as partes envolvidas, também introduziu algumas obrigações novas. Neste blog, discutiremos as responsabilidades do profissional responsável pelo processamento de dados e do controlador desses dados que a GDPR delegou a cada um. Também forneceremos insights sobre como uma empresa pode começar a se preparar para estar pronta para o GDPR, sejam as atividades conduzidas por um profissional um controlador de dados ou um processador dos dados. A LGPD, em vigor no Brasil, tem muita similaridade com a GDPR, então consideramos a leitura desse blog pertinente. No entanto, recomendamos também a leitura de material próprio emitido pela WSI no Brasil, como o seu ebook sobre a LGPD e um Manual sobre LGPD, que apresentamos no final desse blog.
No mundo digital atual, a coleta e o armazenamento de dados é algo que ocorre com frequência e, logo, é muito mais uma norma do que uma exceção. As empresas podem coletar dados individuais para fins publicitários, de marketing, analíticos ou de pesquisa. Cada vez que uma empresa coleta e processa os dados pessoais de um indivíduo, ela o faz como um ‘controlador’ ou um ‘processador’ desses dados. No Capítulo 1, Artigo 4 da GDPR, a definição de cada um é:
‘Controlador’ é “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os fins e os meios do tratamento de dados pessoais.”
‘Processador’ refere-se a “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador”.
Se uma empresa controla e é responsável pelos dados pessoais que mantém, ela é o controlador desses dados. Se, por outro lado, alguém detém os dados pessoais, mas alguma outra empresa decide e é responsável pelo que acontece com esses dados, então essa outra empresa é o processador desses dados.
A resposta é ambas. De acordo com a Diretiva de Proteção de Dados 95/46 / EC, apenas os controladores são responsáveis pelo não cumprimento com a proteção dos dados. No entanto, o Regulamento Geral de Proteção de Dados da UE (GDPR) busca um equilíbrio entre os dois, ao atribuir obrigações diretas também aos processadores de dados.
De acordo com o artigo 83, em caso de não conformidade, as multas podem ser aplicadas tanto aos controladores quanto aos processadores. Essas multas devem ser impostas considerando o "grau de responsabilidade do controlador ou do processador, levando em consideração as responsabilidades técnicas e organizacionais implementadas por eles".
Isso representa uma mudança significativa e aumentará drasticamente o perfil de risco para as empresas que atuam como provedores de nuvem e data centers, que atuam como processadores de dados para terceiros. No entanto, o impacto também será sentido pelos controladores que contratam esses serviços, pois o aumento do custo de conformidade pode levar a um consequente aumento no custo dos serviços desses processadores de dados. Os controladores também terão que ficar bastante atentos à atuação dos processadores de dados, com os quais trabalham, para garantir que as devidas responsabilidades técnicas e operacionais necessárias, para cumprir com a GDPR, estão sendo atendidas.
Agora que sabemos que ambos, tanto o controlador de dados quanto o processador de dados, compartilharão as obrigações de proteção dos dados, vamos aprofundar um pouco nas responsabilidades de cada um.
O controlador de dados é o principal responsável pela coleta de dados. Essas responsabilidades do controlador incluem: obter o consentimento do indivíduo, armazenar os respectivos dados, gerenciar a revogação do consentimento dado pelo indivíduo, permitir o direito de acesso, etc. Ele deve ser capaz de demonstrar conformidade com os princípios relativos ao processamento de dados pessoais. Esses princípios estão listados na GDPR como "legalidade, justiça e transparência, limitação de dados pessoais, precisão, limitação e integridade do armazenamento desses dados pessoais e confidencialidade de dados pessoais".
O GDPR fornece detalhes adicionais sobre como as empresas podem demonstrar que suas atividades de processamento de dados estão em conformidade com essa legislação.
Se um indivíduo revogar seu consentimento, o controlador será responsável por dar início ao processo para atender à esta solicitação. Portanto, ao receber esta solicitação do terceiro, será necessário comunicar ao processador de dados a necessidade de remover os dados solicitados de seus servidores.
Se houverem várias empresas envolvidas, que compartilham as responsabilidades de controlador do processamento de dados pessoais, a GDPR da UE reconhece a existência de um controlador conjunto. O controlador conjunto, por sua vez, é quem determina as respectivas responsabilidades de cada controlador e firma esse entendimento em contrato com as partes. Ele também é quem fornece o contrato aos titulares dos dados, definindo os meios de comunicação com os processadores e um único ponto de contato. A GDPR torna os controladores conjuntos totalmente responsáveis.
A Diretiva dessa lei, isenta os responsáveis pelos danos causados em casos de força maior ou caso fortuito que os impeçam de cumprir o seu acordo contratual. O GDPR não contém essa isenção, logo os controladores podem ser obrigados a assumir o risco em casos de força maior.
O controlador terá que registrar todas as violações de dados ocorridas. Eles são obrigados a divulgar quaisquer violações de dados às autoridades responsáveis pelo cumprimento da GDPR. Uma vez que o prazo para relatar violações de dados é de 72 horas, provavelmente será extremamente desafiador para um controlador de dados atender esse prazo. Os especialistas recomendam as empresas a nomearem uma pessoa para assumir a responsabilidade de revisar e relatar as violações de dados, quando ocorridas, e essa pessoa também será responsável por implementar políticas e procedimentos claros de como essas violações de dados devem ser reportadas.
Recomenda-se que o controlador trabalhe apenas com processadores de dados que possuem capacitação técnica e organizacional adequadas para atender às diretrizes da GDPR. Em outras palavras, os controladores de dados, ou seja, os clientes de processadores de dados devem escolher apenas processadores que assegurem o cumprimento com a GDPR para evitarem risco de multas.
À medida que as autoridades apliquem penalidades aos controladores por falta de verificação adequada, os processadores de dados podem se ver obrigados a obter certificações de conformidade independentes para tranquilizar os controladores que desejam fazer uso de seus serviços. Eles podem precisar também introduzir medidas para proteger os dados, como criptografia e pseudonimização, estabilidade e tempo de atividade, backup e recuperação de desastres e testes de segurança contínuas. É provável que os processadores de dados localizados fora da UE não vão aderir à essas novas obrigações, tornando bem mais difícil para os controladores escolherem os processadores que estejam em conformidade com a legislação em vigor, e por isso resultando em negociações mais complexas de acordos de terceirização.
O processador de dados está proibido de usar os dados pessoais que são lhe dado acesso para fins diferentes dos indicados pelo controlador de dados. No final do contrato de serviço, mediante solicitação, o processador de dados deve excluir ou devolver todos os dados pessoais ao controlador.
O processador de dados pode transferir dados pessoais para um terceiro país somente após receber autorização legal.
Por sua vez, antes de contratar algum subcontratado, ele deve obter permissão por escrito do controlador. Ele assumirá também total responsabilidade por eventuais falhas dos subcontratados no cumprimento da GDPR.
O processador de dados deve habilitar e colaborar com as auditorias de conformidade a serem executadas pelo controlador ou por um representante do controlador.
Se houver violação de dados, o processador desses dados deve notificar os controladores de dados sem atrasos não justificados.
Um processador de dados é ainda obrigado a manter um registro das atividades de processamento de dados caso o processador se qualifique em um ou mais dos seguintes casos:
Os processadores de dados também precisarão revisar os acordos de processamento de dados existentes para garantir que cumpriram suas obrigações em conformidade com a GDPR.
A nomeação de um “Oficial de Proteção de Dados” (OPD), ou (‘Data Protection Officer’ - DPO), em empresas que processam dados pessoais, tem sido obrigatório em apenas alguns países e/ou considerada apenas como melhores práticas em outros. No entanto, a GDPR tornou a nomeação de um OPD obrigatória nas empresas, independentemente do seu tamanho ou se estão processando dados pessoais e atuando como controlador ou processador de dados em apenas determinadas circunstâncias.
De acordo com a GDPR (Artigo 37), existem três cenários principais onde a nomeação de um OPD por um controlador de dados ou um processador de dados é obrigatória:
As atividades principais mencionadas aqui se referem às principais atividades operacionais de um controlador ou processador de dados. Isso não inclui atividades de apoio, como folha de pagamento ou suporte de TI, que são funções auxiliares.
As organizações levam em consideração uma série de fatores ao determinar se seu processamento é em "grande escala". Esses incluem:
O monitoramento regular e sistemático inclui todas as formas de rastreamento e criação de perfil na Internet. No entanto, não está restrito ao ambiente online e também pode incluir atividades offline. O monitoramento 'regular' significa em andamento ou ocorrendo em intervalos específicos por um período específico; recorrente ou repetido em horários fixos ou ocorrendo constantemente ou periodicamente. Monitoramento 'sistemático' refere-se ao monitoramento que acontece de acordo com um sistema, pré-programado, organizado ou metódico, ocorrendo como parte de um plano geral de coleta ou acúmulo de dados, ou realizado como parte de uma estratégia.
Também é importante observar que, se uma organização não atender aos requisitos da GDPR, mas, em vez disso, decidir nomear um OPD, voluntariamente, os mesmos requisitos que se aplicam aos OPDs obrigatórios ainda serão exigidos. Se uma organização decidir não nomear um OPD, é aconselhável documentar essas razões claramente.
Embora a GDPR não especifique as exatas credenciais de um Oficial de Proteção de Dados, entende-se que um Oficial de Proteção de Dados deva ter experiência profissional suficiente e conhecimento profundo da legislação de proteção de dados. Convém que essa experiência seja proporcional ao tipo de processamentos de dados que a empresa realiza e ao nível de proteção que os dados pessoais exigem.
Exoneração de responsabilidade: observe que neste blog fornecemos informações básicas sobre a GDPR. A WSI não é uma autoridade legal para a GDPR e só pode oferecer conselhos sobre as práticas recomendadas a serem seguidas ao realizar qualquer iniciativa de marketing digital. No entanto, para obter orientação sobre a interpretação jurídica desta lei, aplicável ao seu negócio, entre em contato com um consultor jurídico ou especialista em proteção de dados.
A forma como as empresas acumulam, armazenam e usam dados pessoais é regida pelas regras e regulamentações da GDPR. As diretrizes estipuladas pela GDPR incluem:
A transparência total no que diz respeito à divulgação de como os dados são usados é obrigatória para todas as organizações no Reino Unido. Caso o titular dos dados solicite mais informações sobre como seus dados são armazenados, usados e distribuídos, elas devem ser divulgadas a eles dentro de um período de tempo especificado, conforme estipulado pela GDPR.
As empresas devem divulgar as razões pelas quais estão usando as informações do titular dos dados e elas só podem ser usadas, armazenadas e processadas para esse fim e apenas para esse fim, a menos que seja estipulado e acordado de outra forma pelo titular dos dados. No entanto, isso não se aplica estritamente às informações coletadas para fins científicos, estatísticos ou históricos.
Como o nome sugere, apenas os dados necessários para os fins para os quais foram coletados podem ser usados. Em outras palavras, os dados coletados não devem ser armazenados em circunstâncias onde "talvez venha a ser usado". Deve ser solicitado e usado como e quando necessário, de acordo com os requisitos da empresa. Qualquer informação adicional mantida além disso é considerada ilegal.
A exatidão das informações é fundamental para cumprir os regulamentos estipulados pela GDPR. Os titulares dos dados também têm o direito de solicitar que as informações incorretas sejam excluídas em até 30 dias se as informações estiverem incorretas, incompletas ou desatualizadas.
Os dados só devem ser armazenados enquanto as informações forem necessárias à empresa para o propósito para o qual foi planejado. Deve haver uma estrutura para fins de revisão para assegurar que as informações desatualizadas sejam eliminadas do sistema. Isso não se aplica a dados armazenados para fins históricos ou estatísticos.
As empresas devem assegurar que as informações pessoais dos titulares dos dados sejam protegidas em todos os momentos. Isso dá segurança quanto a capacidade da empresa de manusear dados pessoais com integridade e dá aos titulares dos dados paz de espírito quanto as suas informações pessoais não serem divulgadas online ou acessadas por hackers que usam malware e métodos de phishing para obterem dados ilegalmente.
A responsabilidade vem antes da transparência. Isso significa que as empresas devem ser capazes de demonstrar que tomaram as medidas necessárias e seguiram as diretrizes estipuladas pela GDPR, garantindo que atendem ao princípio da transparência.
Algumas dessas diretrizes de tratamento de dados incluem a implementação e avaliação das diretrizes da GDPR, a nomeação de um supervisor responsável pela proteção de dados, bem como a garantia de que o consentimento necessário seja obtido em todos os momentos para fins de processamento de dados.
O Google controla os dados mas não é um processador de dados. Isso significa que os dados não precisam ficar armazenados e podem ser apagados a qualquer momento, dependendo dos contratos que o Google tiver com seus parceiros terceirizados. Uma empresa está, portanto, implicitamente vinculada a essas diretrizes, se for um terceiro que coleta e armazena esses dados.
O processador de dados assimila e compila os dados coletados e os processa sob a orientação e autoridade do controlador de dados, com o objetivo final de obter clareza sobre a atuação da empresa no digital.
O processador de dados fica sob a responsabilidade do controlador de dados e geralmente é um terceiro que é contratado para processar os dados em nome do controlador de dados que, por sua vez, controla para que fins as informações são utilizadas.
O controlador de dados, principalmente, supervisiona como os dados são usados, controla e supervisiona as funções do processador de dados e garante que os dados sejam usados, armazenados e processados de acordo com as diretrizes da GDPR.
Eles também supervisionam o processo para obtenção do consentimento para captação dos dados e que permite o uso desses dados para os fins necessários. Eles determinam como os dados devem ser usados e quais dados específicos são necessários para cumprir a finalidade e os objetivos da organização.
Um controlador de dados controlará como os dados são coletados dos titulares desses dados, garantirá que o consentimento necessário seja obtido dos usuários e nomeará um oficial de proteção de dados para garantir que todas as informações permaneçam confidenciais, conforme a GDPR.
O controlador de dados pode ser qualquer pessoa física, empresa ou outro órgão autorizado responsável pelo modo como os dados são controlados; eles determinam para que os dados são usados e é a pessoa (geralmente o gerente ou proprietário do site) à qual o processador de dados se reporta.
O período de tempo em que os dados podem ser mantidos por uma empresa é determinado pelo proprietário desses dados. Eles podem solicitar o apagamento completo de seus dados a qualquer momento, e a empresa deve cumprir.
Há uma hierarquia e um lugar em que o controlador de dados se posiciona e que, à primeira vista, pode parecer que seja no topo da estrutura de uma empresa. Normalmente e em um mundo perfeito, você teria os controladores de dados no topo da estrutura hierarquia de uma empresa, como um papel proeminente no Conselho Europeu de Proteção de Dados. Abaixo dele, estariam as autoridades de supervisão que se enquadram como as Autoridades de Proteção de Dados, e abaixo disso, os processadores de dados.
No entanto, estabelecer a posição de um controlador de dados não é tão simples, pois a função do controlador de dados tem muitos chapéus. Por exemplo, eles também podem (se necessário) processar dados. Dessa forma, nos parece mais apropriado que o topo da estrutura hierárquica pode e deve pertencer efetivamente aos titulares dos dados, uma vez que os seus direitos e a sua proteção é o que é da maior importância para a GDPR.
A GDPR afetará as organizações de várias maneiras, além da segurança de dados e das políticas. As empresas que são impactadas devem procurar ajuda ou aconselhamento jurídico, se necessário. No mínimo, elas precisam de um plano de ação claro que inclua treinamento na GDPR, uma análise do seu fluxo de dados e mecanismos de processamento de dados, revisão de suas práticas e políticas de privacidade, a forma como elas usam os dados de terceiros e muito mais. Para começar a conhecer os requisitos da GDPR, convidamos você a baixar nossa “Lista de verificação de 12 pontos para ajudar a preparar sua empresa para o GDPR” clicando aqui.
Oferta especial, referente a Lei Geral de Proteção de Dados, aplicável ao Brasil:
Quero Fazer Download do eBook sobre a LGPD
Quero Fazer Download do Manual sobre a LGPD
Fontes:
https://www.eugdpr.org/
https://gdpr-info.eu/
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
http://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
https://www.whitecase.com/publications/article/chapter-10-obligations-controllers-unlocking-eu-general-data-protection
Adaptado ao Brasil, com materiais sobre a LGPD, por: