Obrigações do processador e do controlador de acordo com o GDPR: uma folha de referências

Continuando nossa série de blogs sobre o futuro Regulamento Geral de Proteção de Dados (GDPR), passaremos alguns minutos descrevendo as diferentes obrigações que o GDPR impõe aos controladores e processadores de dados e , em seguida, deixaremos uma folha de dicas com alguns pontos de ação para ajudá-lo a identificar quais tarefas você, especificamente, pode precisar para garantir a conformidade.

Mas, primeiro, algumas definições.

O GDPR define um controlador de dados no Artigo 4 (6) como:

“A pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros, determine as finalidades e os meios de tratamento dos dados pessoais”

Considerando que um processador de dados (Artigo 4 (7)) é:

“A pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento”

Para dar um exemplo mais concreto: se você é um varejista on-line de widgets e Jane Doe se inscreve em sua lista de e-mails na esperança de aprender mais sobre seus widgets (ou talvez ficar à espreita até que tenha uma venda), você provavelmente coletar seu endereço de e-mail - e talvez outras informações de contato - quando ela se inscrever. Parabéns! Você acabou de se tornar um controlador dos dados pessoais de Jane Doe. Ela concordou em receber mensagens de marketing suas, e você, como controlador de dados, pode determinar quando e como enviar esses e-mails.

Agora, digamos que você não envie seus próprios e-mails de marketing, talvez contrate um provedor de serviços de e-mail (ESP) para ajudá-lo a criar seu conteúdo, programar os e-mails e rastrear e relatar a entrega. O ESP não teria o direito de fazer o que quisesse com os dados de Jane, ele só teria o direito de ajudá-lo a elaborar suas campanhas, enviar seus e-mails, etc., a seu pedido. O ESP, neste caso, é o processador de dados.

No futuro, você decide fazer um esforço de marketing de marca conjunta com o seu parceiro A próximo (o que, neste caso, está certo, porque quando Jane se inscreveu, você obteve o consentimento dela para compartilhar seus dados com o parceiro A para esse propósito). Por meio do processo de negociação, você decidiu usar o ESP do Parceiro A em vez do seu para enviar a campanha. Então você envia sua lista de assinantes (incluindo os dados de Jane) para seu parceiro, que a carrega em seu ESP. Os e-mails são enviados.

Por compartilhar os dados de Jane com o Parceiro A para atividades de marketing conjuntas, você tornou o Parceiro A um controlador conjunto dos dados de Jane. O parceiro A continuará a usar os dados de Jane fora do escopo de seu relacionamento com ela. O ESP do parceiro A ainda é um processador de dados e terá que cumprir seus requisitos e os do parceiro A, mas você também acabou de introduzir algumas complexidades em seu relacionamento com Jane que o GDPR exigirá que você acompanhe.

De acordo com o GDPR, como proprietários de seus dados, os titulares dos dados recebem direitos, como: (Observe que esta não é uma lista completa.)

• Artigo 15 (direito de acesso): Jane pode escrever para você e pedir uma cópia dos dados pessoais que você coletou dela. Você, como o controlador de dados, seria obrigado a cumprir esta solicitação no prazo de 30 dias após o recebimento da solicitação;
• Artigo 16 (direito à retificação): se Jane achar que os dados que você possui sobre ela são imprecisos ou incompletos, ela pode pedir que você os atualize (como alterar seu endereço de e-mail ou a grafia de seu nome em seu banco de dados);
• Artigo 17 (direito de exclusão): Jane pode solicitar que você exclua todos os dados dela. Talvez ela esteja retirando seu consentimento para receber mensagens futuras de você, ou talvez ela pense que as campanhas que você está direcionando a ela estão indo na direção errada e ela quer começar do zero;
• Artigo 18 (direito de restrição de processamento): talvez você tenha começado a rastrear aberturas e cliques de Jane (rastreamento baseado em comportamento), mas Jane não acha que ela consentiu em permitir que você fizesse isso (de acordo com o GDPR, rastreamento baseado em comportamento exigirá consentimento. Você não pode simplesmente assumir que pode fazê-lo). Jane pode pedir que você pare de rastrear suas aberturas e cliques até que vocês dois descubram o que ela realmente consentiu;
• Artigo 20 (direito à portabilidade de dados): Em alguns casos, Jane tem o direito de solicitar que você compacte seus dados e os transfira para um de seus concorrentes. (Sim! De verdade. O objetivo é ajudar Jane a mover seus dados, por exemplo, de uma operadora de telefonia móvel para outra, ou a mover sua presença na mídia social facilmente de um aplicativo para outro. Se você estiver processando os dados dela por meio de “o desempenho de um contrato ”ou“ com base no consentimento ”, esta disposição pode se aplicar a você.

Se Jane decidir exercer seus direitos e pedir que você exclua seus dados, no paradigma do processador-controlador único, é bastante simples. Você exclui os dados dela do seu sistema e pede ao seu processador (seu ESP) para excluí-los também.

No entanto, no modelo de controlador conjunto, de acordo com o Artigo 17 (2), você precisará não apenas excluí-lo da infraestrutura do seu processador, mas também:

“Tomar medidas razoáveis, incluindo medidas técnicas, para informar os controladores que estão processando os dados pessoais que o titular dos dados solicitou o apagamento”

Em outras palavras, você precisará manter registros muito cuidadosos de para onde enviou os dados de Jane e iniciar solicitações de exclusão de dados em nome de Jane para qualquer outro controlador conjunto que possa ter seus dados. Esses controladores conjuntos também precisarão entrar em contato com quaisquer processadores que usem e excluir os dados de Jane desses sistemas também.

E isso é apenas o início de suas obrigações como processadores de dados e controladores das informações de Jane. Veja abaixo uma lista rápida do que será exigido no GDPR, junto com onde você pode encontrar mais detalhes no GDPR.

Segurança de dados
Obrigações do controlador:Implementar medidas técnicas e organizacionais adequadas para proteger a segurança dos dados.

• Criptografia, pseudonimização de dados, se apropriado
• Capacidade de garantir a confidencialidade, integridade e resiliência dos dados
• Processo para testar, avaliar e avaliar a segurança regularmente
• Documente seus esforços.

Obrigações do processador:Implementar medidas técnicas e organizacionais adequadas para proteger a segurança dos dados.

• Criptografia, pseudonimização de dados, se apropriado
• Capacidade de garantir a confidencialidade, integridade e resiliência dos dados
• Processo para testar, avaliar e avaliar a segurança regularmente
• Documente seus esforços.

Artigo GDPR:Arte. 32 Segurança de Processamento

Notificação de violação
Obrigações do controlador:

• Informar a autoridade supervisora ​​dentro de 72 horas após a violação se houver probabilidade de alto risco para os titulares dos dados
• Aviso do assunto dos dados, se apropriado

Obrigações do processador:

• Informar o controlador sem demora indevida ao saber de uma violação

Artigos GDPR:Arte. 33 Notificação de uma violação de dados
Arte. 34 Comunicação de uma violação de dados ao titular dos dados

Princípios de Processamento de Dados
Obrigações do controlador:

• Garantir que os dados sejam processados ​​legalmente e de maneira transparente para o titular dos dados
• Garantir que os dados sejam coletados e processados ​​para finalidades específicas, e não de maneira incompatível com as finalidades originais.
• Garantir que os dados coletados sejam precisos e atualizados
• Certifique-se de que você é capaz de demonstrar conformidade

Artigos GDPR:Arte. 5 Princípios relativos ao processamento de dados pessoais
Arte. 6 Legalidade do processamento

Aviso de privacidade
Obrigações do controlador:

• Deve estar disponível para o titular dos dados.
• Descreva quais dados serão coletados e para quais propósitos.
• Detalhe todos os destinatários que receberão os dados, incluindo se serão transferidos para fora do EEE, e como os dados serão protegidos na transferência subsequente.
• Se existir algum interesse legítimo na coleta e / ou processamento dos dados.
• Descreva os períodos de retenção e / ou armazenamento de dados ou os critérios usados ​​para determinar os períodos de retenção.
• Descreva os direitos do titular dos dados e como um titular dos dados pode exercer seus direitos.
• Detalhes sobre todos os usos da tomada de decisão automatizada.

Artigos GDPR:Arte. 12 Informação, comunicação e modalidades transparentes para o exercício dos direitos do titular dos dados
Arte. 13 Informações a serem fornecidas quando os dados pessoais são coletados do titular dos dados
Arte. 14 Informações a serem fornecidas quando os dados pessoais não foram obtidos do titular dos dados

Requisitos contratuais com o processador
Obrigações do controlador:

• Empregue apenas processadores que atendam aos regulamentos do GDPR.
• Empregue apenas processadores que possam proteger adequadamente os dados do titular dos dados.
• Descreva o assunto, a duração e a natureza da atividade de processamento.
• Descreva a natureza e a finalidade do processamento.
• Descreva os tipos de dados pessoais que estão sendo processados.
• Descreva as categorias dos titulares dos dados que estão sendo processados.

Obrigações do processador:

• Apenas processe os dados nas instruções documentadas do controlador
• Certifique-se de que todos os indivíduos autorizados a processar os dados se comprometeram com acordos de confidencialidade
• Auxiliar o controlador a lidar com as solicitações de direitos de acesso do titular dos dados
• Auxiliar o controlador com as obrigações de segurança e solicitações das autoridades de supervisão.
• Estar disponível e ser capaz de ajudar o controlador com as obrigações de conformidade
• Excluir ou retornar todos os dados mediante solicitação ou requisito do controlador
• Descreva quaisquer transferências de dados fora do EEE e descreva as salvaguardas que protegerão os dados
• Contribuir para auditorias conduzidas pelo controlador ou outra autoridade necessária
• Certifique-se de que qualquer envolvimento de subprocessadores cumpra as mesmas obrigações exigidas pelo controlador.
• Apenas envolva subprocessadores mediante aprovação do controlador.

Artigos GDPR:Arte. 24 Responsabilidades do Controlador
Arte. 28 Processador
Arte. 29 Processamento sob autoridade do controlador ou processador

Adote práticas de proteção de dados
Obrigações do controlador:

• Ser capaz de demonstrar princípios de minimização de dados, e proteção de dados desde o projeto e / ou padrão são usados, se apropriado
• Realizar avaliações de impacto de privacidade em quaisquer atividades de processamento que possam representar risco para o titular dos dados

Artigos GDPR:Arte. 5 Princípios relativos ao processamento de dados pessoais
Arte. 25 Proteção de dados por design e padrão
Arte. 35 Avaliação do impacto da proteção de dados

Reter registros de atividades de processamento
Obrigações do controlador:

• Nome / informações de contato do controlador de dados e do DPO, ou representante da UE
• Documente as categorias de titulares de dados, categorias de dados pessoais e destinatários dos dados
• Documente a base legal para quaisquer transferências de dados fora do EEE e descreva as salvaguardas que protegerão os dados
• Prazos de retenção de dados
• Documente a base legal para atividades de processamento de dados

Obrigações do processador:

• Nome / informações de contato do controlador de dados e do DPO
• Categorias de processamento realizadas para o controlador

Artigo GDPR:Arte. 30 Registros de Atividades de Processamento

Isso é muito para absorver e pode parecer muito trabalhoso. Mas, a longo prazo, manterá você e seus parceiros em conformidade com a legislação europeia e manterá os direitos dos titulares dos dados protegidos. Procurando mais informações sobre o GDPR? Você pode encontrar mais informações na categoria GDPR em nosso blog e em nosso webinar sob demanda: O caminho para o GDPR.