Um dos equívocos mais comuns é pensar que o GDPR só se aplica ao ambiente online: não é bem assim! O GDPR é “neutro” do ponto de vista tecnológico: aplica-se a qualquer tipo de tratamento de dados pessoais, independentemente da forma como ocorra (online, offline, via site, via app, na relação de trabalho, etc.).
O GDPR se aplica a qualquer tipo de tratamento de dados pessoais independentemente da forma como ocorra (online ou offline)
Este artigo aborda algumas das obrigações ao tratamento de dados offline, que vamos chamar de “conformidade offline”. Saiba as obrigações mais relevantes para conformidade offline abaixo:
Se você é um controlador de dados que não possui sede na UE, mas está oferecendo bens ou serviços (mesmo gratuitamente) para usuários localizados na UE ou se você estiver monitorando o comportamento de usuários dentro da UE, você terá que nomear um representante estabelecido em um dos países da UE onde os titulares dos dados estão localizados.
O representante na UE pode ser uma pessoa física ou jurídica.
O representante na UE atua como contato principal para quaisquer solicitações ou reclamações dirigidas ao controlador de dados pelos titulares dos dados ou pelas autoridades reguladoras. Isso significa que o representante deve encaminhar essas solicitações ao controlador com todas as informações relacionadas que estejam ao seu alcance. O representante deve ajudar o controlador de dados a cumprir todas as disposições do GDPR, como a notificação de violações de dados pessoais ou a cooperação com as autoridades reguladoras. Geralmente, o controlador de dados é o responsável por todas as atividades de tratamento de dados, e não o representante.
No entanto, o representante da UE também tem obrigações específicas que deve cumprir (e consequentemente, possui responsabilidades associadas). Por exemplo, ele deve manter um registro das atividades de tratamento de dados.
O GDPR exige que a nomeação do representante na UE seja efetuada “por escrito”. Clique no botão abaixo para fazer o download do modelo de nomeação e compromisso que criamos e disponibilizamos no formato .docx:
Ao tratar dados pessoais como o controlador, você frequentemente precisará delegar parte das atividades de tratamento a um fornecedor externo. Na maioria das vezes, esse fornecedor processará dados pessoais relacionados aos seus clientes em seu nome, e não pelo no próprio interesse dele. Esses fornecedores são definidos como processadores ou “subcontratantes” pelo GDPR e o relacionamento que os liga ao controlador dos dados é uma ordem de tratamento de dados pessoais.
Você tem uma loja online de sapatos. Quando os consumidores fazem um pedido, os sapatos são embalados e preparados para entrega pelo seu fornecedor externo, que inevitavelmente precisa receber todos os dados pessoais necessários para o cumprimento do pedido. O fornecedor externo está, portanto, processando os dados dos clientes em seu nome como um processador de dados.
De acordo com o art. 28 do GDPR, os controladores e processadores de dados devem celebrar um “Contrato de Processamento de Dados” por escrito – incluindo em formato eletrônico. Este contrato visa especificar os direitos e obrigações das partes na execução das atividades de tratamento pelo processador. Só para citar alguns deveres, o processador deve atuar no limite da instrução do controlador de dados, adotar medidas técnicas e organizacionais de segurança adequadas para garantir a proteção dos dados pessoais, colaborar com o titular em caso de solicitações de interessados ou investigações autoridades reguladoras, etc.
A alteração mais importante introduzida pelo GDPR é que, nos termos do art. 82, o controlador e o processador do tratamento são solidariamente responsáveis perante terceiros. Isto significa que, se um titular de dados acreditar que os seus dados foram tratados ilegalmente, o titular poderá contatar o controlador ou o processador e exigir uma indenização pelo dano sofrido. Consequentemente, a parte que pagou a indenização, poderá exercer seu direito de regresso contra a outra.
O titular de dados recebe um par de sapatos entregue em seu endereço residencial, embora nunca os tenha encomendado. Ele opta por reivindicar uma compensação por parte do fornecedor (processador). O processador então paga e subsequentemente recorre contra o controlador, uma vez que foi este quem deu a instrução para entregar o par de sapatos ao titular de dados.
Qualquer entidade que não é nomeada como processador é “um terceiro“. Portanto, se você encaminhar dados pessoais de seus clientes para entidades que não foram nomeadas como processadores, você está transferindo dados para terceiros, do ponto de vista jurídico, o que você só pode fazer quando houver uma base legal que justifique – na maioria das vezes constituída pelo consentimento dos titulares de dados. No entanto, muitas vezes não é fácil cumprir todos os requisitos para consentimento válido ao transferir dados para terceiros.
Às vezes, os processadores de dados nomeados para atividades específicas de tratamento de dados estão baseados fora da UE. Isso traz também o problema de identificar uma base jurídica para a transferência de dados pessoais para fora da UE. Explicamos as diferentes bases jurídicas aqui. No entanto, é válido ressaltar que a base legal da transferência e o contrato de processamento de dados (DPA) são duas questões distintas que não necessariamente coincidem no mesmo documento.
Tenha como base o modelo de Contrato de Processamento de Dados que criamos e oferecemos no formato .docx:
De acordo com o art. 37 do GDPR, em certas ocasiões, o controlador deve nomear um Responsável pela proteção de dados (RPD). Mas o que é um Responsável pela proteção de dados?
Um RPD é uma pessoa física (ou jurídica) que deve supervisionar o cumprimento, por parte do controlador (ou processador) de dados, das disposições de proteção de dados pessoais. Quando as condições para uma nomeação obrigatória forem atendidas, o responsável pela proteção de dados deve ao menos:
O GDPR não exige expressamente que o responsável pela proteção de dados seja uma pessoa física: isto significa que, em princípio, mesmo uma pessoa jurídica, como uma empresa de consultoria, pode ser nomeada como responsável pela proteção de dados. No entanto, a partir de agora, vários comentaristas apontam que algumas das disposições do GDPR só podem ser aplicadas a uma pessoa física: por exemplo, “as qualidades profissionais, em particular o conhecimento especializado da legislação e práticas de proteção de dados, para realizar as funções a que se refere o artigo 39 do GDPR” apenas podem se referir a uma pessoa física e não jurídica.
No entanto, até hoje não é possível resolver a questão de forma clara: temos que esperar para ver que atitude será adotada pelas autoridades reguladora e/ou pelos tribunais.
Em primeiro lugar, o RPD pode ser integrado à organização do controlador (geralmente um funcionário) ou fornecedor externo (profissional autônomo). Nos dois casos, ele pode também cumprir outras funções no exercício das suas atividades de responsável pela proteção de dados. Entretanto, deve ser sempre garantido que não haja conflito de interesses: o administrador da empresa, por exemplo, não pode ser nomeado responsável pela proteção de dados. O mesmo se aplica ao CTO: seria no mínimo curioso delegar a avaliação da conformidade da infraestrutura de TI em proteção de dados pessoais à mesma pessoa que a desenvolveu.
No geral, o RPD é obrigado a cumprir uma obrigação legal de sigilo em relação a qualquer informação adquirida no desempenho de suas funções e deve sempre manter total independência (mesmo que seja formalmente um funcionário). Isso significa que o RPD deve receber todos os meios e recursos necessários para cumprir suas tarefas e que não deve estar sujeito ao direcionamento de terceiros.
A autoridade de proteção de dados realiza uma revisão da proteção de dados e solicita acesso ao registro de processamento nos termos do art. 30 do GDPR. O RPD sabe que não há registro porque o controlador nunca deu muita atenção à este dever legal. No entanto, o responsável pela proteção de dados deve ser neutro e não pode “defender” o controlador: por isso, ele deve declarar que o registro não existe.
Relacionando isso a responsabilidade, é importante observar que o RPD não é o responsável pelo cumprimento ou não da lei por parte do controlador. A função do RPD é informar, aconselhar e colaborar conforme descrito anteriormente. O controlador é unicamente responsável por seguir ou não os conselhos do RPD. O responsável pela proteção de dados, por outro lado, é responsável perante o controlador de dados por quaisquer opiniões ou conselhos equivocados. Mesmo neste caso, perante os interessados e titulares dos dados, o controlador será sempre o responsável.
No GDPR, a nomeação de um RPD é obrigatória em três cenários:
Cenários nº 1 e 2 são relativamente claros: dados “sensíveis” são dados que revelam origens raciais ou étnicas, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos com o propósito de identificar exclusivamente uma pessoa física, dados relacionados a saúde, dados relativos à vida ou orientação sexual de uma pessoa física.
Mas o que dizer do “monitoramento regular e sistemático dos titulares dos dados em grande escala”? Isto se aplica somente às empresas como Facebook ou Google, cujo modelo de negócio é praticamente baseado no tratamento de um excesso de dados pessoais, ou já é aplicável se, por exemplo, você integrar o Google Analytics em sua loja online porque esta ferramenta permite o rastreamento de seus clientes?
No momento, ainda não sabemos. Várias autoridades, observadores e especialistas, como WP29, expressaram suas opiniões sobre o assunto, mas nenhuma delas é juridicamente vinculativa. Portanto, mesmo neste caso, tudo o que podemos fazer é aguardar para ver que medida será adotada pelas autoridades de supervisão e/ou pelos tribunais.
Criamos um modelo para a nomeação do RPD, disponível no formato .docx:
Embora o GDPR, ao contrário de certas legislações anteriores ao GDPR (como a italiana e a alemã), não prevê a obrigação de sujeitar os funcionários ou, de forma geral, as pessoas envolvidas nas atividades de tratamento como uma obrigação de confidencialidade, é sempre aconselhável instruir os funcionários sobre a obrigação de sigilo e submetê-los à obrigação contratual de cumprir as condições estabelecidas no GDPR, tais como:
Além disso, o art. 24 exige que o controlador de dados “consiga demonstrar que o tratamento é realizado de acordo com este regulamento” e, também deve demonstrar que funcionários e outros membros da equipe trataram dados pessoais em conformidade com o GDPR.
Sugerimos então, que você feche um acordo de confidencialidade e não divulgação com todos os colaboradores, referindo-se às instruções sobre o correto tratamento dos dados pessoais que lhes seja fornecido. É necessário garantir que essas instruções sejam entregues e assinadas, para poder ser usado como evidência, se necessário.
Criamos um modelo para não divulgação e confidencialidade dos colaboradores, que está disponível no formato .docx:
De acordo com o art. 35 do GDPR, os controladores devem realizar o Avaliação de impacto na proteção de dados (AIPD). Mas o que exatamente é uma avaliação de impacto na proteção de dados?
A AIPD é um procedimento adotado para ajudar o controlador a cumprir o GDPR de maneira eficaz e garantir que os princípios de responsabilidade, “privacy by design” e “privacy by default” sejam implementados.
A AIPD deve incluir:
É recomendável que você mantenha um registro escrito deste relatório.
Em geral, a AIPD é obrigatório apenas nos casos em que a atividade de tratamento de dados pode envolver um alto risco para os titulares dos dados (por exemplo, ao introduzir uma nova tecnologia de tratamento). Caso não esteja claro se uma atividade pode ser considerada de “alto risco”, recomenda-se a realização de uma AIPD, principalmente por ser uma ferramenta útil para garantir o cumprimento da legislação.
As atividades de tratamento de dados de “alto risco” incluem:
A realização de uma AIPD também pode ser necessária em outras circunstâncias (a serem avaliadas caso a caso), como o tratamento de dados relativos a indivíduos vulneráveis (como crianças ou idosos), a transferência de dados para fora da UE o tratamento de dados para fins de criação de perfis (por exemplo, análise de crédito). Se você estiver interessado, pode ler mais sobre os critérios aqui [PDF].
Embora o GDPR não prevê que o resultado da AIPD deva ser disponibilizado ao público, você pode considerar a hipótese de publicar a AIPD no todo ou em parte como uma medida de transparência e responsabilidade, especialmente nos casos em que o tratamento diz respeito ao interesse público (por exemplo, no caso de uma autoridade pública realiza uma AIPD).
Uma AIPD bem desenvolvida também é útil para atender aos requisitos de “Privacy by design”, pois permite ao proprietário identificar e resolver problemas em um estágio inicial, reduzindo assim os riscos para a segurança dos dados do usuário e o risco de incorrer em multas, sanções e danos à reputação e imagem.
Baixe o modelo para a avaliação de impacto na proteção de dados (AIPD) aqui: