ABC_RGPD-13

ABC do RGPD – Parte 13 – A escolha / seleção de Subcontratantes

O artigo 28.º do RGPD estabelece que sempre que o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas, de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos dos titulares dos dados.

Para garantir que os subcontratantes selecionados / escolhidos cumprem com o RGPD é necessário verificar algumas informações relevantes.

Inexistindo, de momento, uma certificação de compliance com o RGPD a garantia de cumprimento do RGPD deve assentar na apresentação de ferramentas e elementos que evidenciem essa conformidade, nomeadamente:

  • Contacto do EPD? Este é interno ou externo? Se não existe, qual é a razão?
  • Manual de normas / registo de atividades de tratamento conforme artigo 30.º do RGPD?
  • Todas as operações que incluem dados pessoais estão triadas e registadas?
  • Os acessos aos dados pessoais são limitados e minimizados por utilizador?
  • Os colaboradores estão sensibilizados regularmente para o RGPD?
  • O que consideram um “incidente”?
  • Quais são os procedimentos utilizados em caso de incidente?
  • entre outros…

 

Algumas destas respostas são chave para compreender a conformidade de um subcontratante.

Como por exemplo:

  • se um subcontratante não tiver EPD, é necessário compreender se tal sucede por não ser legalmente exigido a sua nomeação ou, pelo contrário, por não estar conforme com o RGPD;
  • a inexistência de um Código de Conduta ou Manual de Procedimentos podem evidenciar, por si só, o incumprimento do Regulamento ou a dimensão da empresa não o justifica;
  • caso de os utilizadores do subcontratante não terem user/password ou outro método de identificação não há forma de aplicar a rastreabilidade dos acessos, logo não estará conforme.

 

Para mais informações acerca deste tema contacte-nos.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Estes cursos combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ou 350€ por pessoa em grupo com aulas síncronas ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/  Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog