Responsáveis pelo tratamento de dados e subcontratantes

O Comité Europeu para a Proteção de Dados (CEPD) emitiu no passado mês de outubro o Parecer 22/2024, a pedido da Autoridade dinamarquesa da Proteção de dados (ADPD). Este parecer responde à necessidade de uma interpretação harmonizada de determinados aspetos do Regulamento Geral sobre a Proteção de Dados (RGPD), em particular os relacionados com o artigo 28.º, e as suas condições para a relação entre responsáveis pelo tratamento e subcontratantes.

Nos termos do RGPD, a relação entre o responsável pelo tratamento e os subcontratantes é fundamental para garantir o cumprimento dos requisitos de proteção dos direitos dos titulares dos dados. O parecer centra-se nos seguintes aspetos:

• As obrigações decorrentes da dependência na cadeia de tratamento: a CEPD define como o responsável pelo tratamento deve proceder quando recorre a um ou mais subcontratantes para efetuar o tratamento de dados.
• A necessidade de documentação adequada: tal implica dispor de informações atualizadas e pormenorizadas sobre a identidade e as funções de cada interveniente na cadeia de tratamento.

O parecer, para além de abordar questões específicas sobre a aplicação do artigo 28.º do RGPD, está estreitamente ligado aos princípios da transparência e da responsabilidade proativa (artigos 5.º e 24.º do RGPD).

Uma das conclusões centrais do parecer é que o responsável pelo tratamento deve dispor de informações exatas e atualizadas sobre todos os subcontratantes envolvidos no tratamento de dados. Estas informações incluem:

• Dados de identificação: nome, endereço, pessoa de contacto e descrição do tratamento feito por cada subcontratante.
• Controlo efetivo da cadeia: embora a cadeia possa ser longa, o responsável pelo tratamento deve poder identificar cada ligação, a fim de exercer uma supervisão adequada e cumprir a obrigação de transparência.

Isto não só facilita o cumprimento dos requisitos legais, como também permite uma resposta eficaz aos pedidos de acesso dos titulares e a eventuais incidentes no tratamento dos dados.

O parecer reforça a necessidade de um controlo rigoroso da contratação de subcontratantes:

• Autorização prévia: o artigo 28.º, n.º 2 do RGPD exige que qualquer contratação de subcontratantes tenha a autorização prévia do responsável pelo tratamento, seja ela específica (detalhando cada caso) ou geral (estabelecendo critérios e permitindo a aprovação posterior).
• Atualização e monitorização: no caso de autorização geral, o subcontratante deve dar ao responsável pelo tratamento a possibilidade de rever e, se necessário, opor-se a quaisquer alterações na lista de subcontratantes.

Deste modo, garante que o responsável pelo tratamento mantenha o controlo sobre os restantes participantes no tratamento e que estes cumpram as normas de proteção de dados exigidas.

A transparência é um dos pilares fundamentais do RGPD. Neste sentido, o parecer destaca o seguinte:

• Informação aos titulares dos dados: Os responsáveis pelo tratamento devem fornecer informações claras e precisas sobre quem são os destinatários ou as categorias de destinatários dos dados, incluindo os subcontratantes, para que os titulares dos dados possam conhecer a verdadeira identidade das pessoas que acedem às suas informações.
• Obrigação de comunicação: Além disso, após qualquer retificação, eliminação ou limitação do tratamento, o responsável pelo tratamento deve comunicar essas alterações a todos os destinatários envolvidos, garantindo assim que os direitos das pessoas em causa são plenamente efetivos.

Este requisito contribui para reforçar a confiança dos cidadãos no tratamento dos seus dados pessoais e garante que a cadeia de tratamento se mantém em conformidade com as expectativas de proteção e segurança.

Para além do acima exposto, o parecer do CEPD salienta ainda outras questões importantes, tais como

• Garantias suficientes: Os responsáveis pelo tratamento devem verificar se os subcontratantes oferecem “garantias suficientes”, o que significa aplicar medidas técnicas e organizativas adequadas.
• Abordagem baseada no risco: a extensão e o pormenor desta verificação dependerão do risco que a atividade de tratamento representa para os direitos e liberdades dos titulares dos dados em causa. Nos processos de alto risco, a documentação e a verificação devem ser mais rigorosas.
• Continuidade no controlo: esta verificação é uma obrigação contínua, na qual o responsável pelo tratamento deve pedir informação atualizada e, se for caso disso, realizar auditorias para assegurar o cumprimento das garantias estabelecidas no RGPD. 

O Parecer 22/2024 do CEPD reafirma a importância de os responsáveis pelo tratamento exercerem um controlo rigoroso sobre a cadeia de tratamento de dados. Ao identificar exaustivamente todos os subcontratantes, ao estabelecer mecanismos claros para autorizar e atualizar a lista desses intervenientes e ao aplicar uma abordagem baseada no risco, garante-se uma proteção eficaz dos direitos dos titulares dos dados e reforça-se a responsabilidade proativa nos termos do RGPD.

Esta interpretação visa, em última análise, simplificar a cooperação entre as autoridades de proteção de dados e melhorar a aplicação prática da legislação, o que contribuirá para aumentar a confiança no ambiente digital e na proteção da privacidade dos cidadãos.