Iubenda logo
Comece a gerar

Documentação

Índice

Responsabilidades de uma agência Web nos termos do RGPD

Visto ser muito provável que uma agência trate dados pessoais em nome dos seus clientes, recomenda-se tomar certas precauções para limitar, tanto quanto possível, o início de quaisquer litígios.

Caso a agência seja o responsável pelo tratamento externo, deve:

  • assinar um contrato ad hoc (designado “Contrato de tratamento de dados”, “Contrato nos termos do artigo 28.º do Regulamento 679/2016” ou “Nomeação do responsável pelo tratamento dos dados”– aqui encontrará informações adicionais e um modelo para descarregar) com cada responsável pelo tratamento de dados (ou seja, o cliente); e
  • atuar com transparência e proatividade de modo a provar, caso haja uma auditoria, que fez tudo corretamente.
Qual é a diferença entre o responsável pelo tratamento e o subcontratante dos dados?

O termo “responsável pelo tratamento” refere-se a qualquer pessoa singular ou coletiva que determine as finalidades e os meios de tratamento dos dados pessoais dos seus utilizadores. Este determina o “porquê” de os dados pessoais recolhidos deverem ser tratados e “como”. É normalmente o proprietário do site/aplicação (neste caso, o cliente).

O termo “subcontratante” refere-se a qualquer pessoa singular ou coletiva que trate dados pessoais em nome do responsável pelo tratamento. É o caso, por exemplo, de uma agência que gira newsletters ou campanhas de marketing para os seus clientes.

Deveres da agência

Nos termos do RGPD, as obrigações do subcontratante (agência) perante o responsável pelo tratamento (cliente) são as seguintes:

  • A agência só é obrigada a tratar dados pessoais de acordo com as instruções documentadas do cliente. Tal significa que a agência deve seguir rigorosamente as instruções de tratamento do cliente, as quais são geralmente definidas, essencialmente, no contrato de tratamento de dados acima referido. As instruções do cliente incluirão todo o ciclo de tratamento de dados, ou seja, desde a recolha até à conclusão do tratamento. Consequentemente, uma vez concluídos os serviços de tratamento, a agência terá de cancelar ou devolver os dados pessoais ao cliente, dependendo das instruções transmitidas pelo cliente (ou seja, o responsável pelo tratamento).
  • Os dados pessoais devem ser tratados com a máxima confidencialidade: para o assegurar, a agência deve certificar-se de que o tratamento é efetuado apenas por pessoal autorizado que esteja vinculado (ou juridicamente vinculado) a uma obrigação de confidencialidade. As instruções de tratamento por escrito cumprem geralmente esta obrigação perante os trabalhadores. Estas instruções contêm cláusulas sobre como tratar os dados e regras sobre privacidade durante as operações de tratamento.
  • De seguida, a agência deve assegurar-se de que todas as medidas de segurança necessárias são adotadas, não podendo recorrer à utilização dos serviços de terceiros (por exemplo, de um subcontratante ulterior) sem a autorização prévia por escrito do cliente.
  • As obrigações de assistência e cooperação da agência são essenciais. Através da adoção de medidas técnicas e organizativas adequadas, a agência deve ajudar o cliente a responder aos pedidos dos utilizadores para o exercício dos seus direitos. Suponhamos, por exemplo, que um utilizador solicita a retificação do seu endereço de correio eletrónico numa base de dados utilizada para enviar Marketing Direto por Email (DEM). Se a agência responsável pela manutenção da respetiva base de dados e pelo envio de tais emails receber o pedido da pessoa em causa, deverá informar de imediato o cliente (ou seja, o responsável pelo tratamento) e proceder de acordo com as instruções fornecidas.
  • A agência deve prestar assistência ao cliente no cumprimento de quaisquer obrigações resultantes de situações como uma violação de dados, durante qualquer consulta prévia junto da autoridade de controlo ou caso seja necessária uma Avaliação de Impacto sobre a Proteção de Dados.
  • A agência deve disponibilizar ao cliente quaisquer informações na sua posse que sejam necessárias para demonstrar o cumprimento das obrigações legais por parte do mesmo. Ao fazê-lo, não poderá impedir quaisquer atividades de verificação (incluindo inspeções) realizadas diretamente pelo cliente ou por qualquer outra pessoa a pedido do cliente.
Indemnização e software da iubenda

Importa sublinhar que uma indemnização exonera a agência das responsabilidades inerentes à “boa-fé” para com os produtos da iubenda, mas não de toda a responsabilidade.

Por exemplo, se a agência adicionar a cláusula do Google Analytics à Política de Privacidade e de Cookies, e o link para a política de privacidade do fornecedor estiver errado, a responsabilidade será da iubenda. Contudo, se a agência adicionar o Google Analytics, mas o website utilizar um serviço diferente, o ónus recai sobre a agência, salvo se a agência provar estar isenta (por exemplo, se o cliente tiver aprovado os documentos ou solicitado expressamente a inclusão de tal cláusula).

Deveres do cliente e da agência em caso de danos para os utilizadores

O artigo 82.º do RGPD estabelece a regra fundamental relativamente à responsabilidade civil no tratamento de dados pessoais e o respetivo direito a indemnização, especificando que:

Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

Enquanto o responsável pelo tratamento (cliente) é responsável pelos danos causados por qualquer tratamento que viole o RGPD, o subcontratante (agência) só será responsável pelos danos causados pelo tratamento se:

  • não tiver cumprido as suas obrigações nos termos do RGPD, ou
  • tiver atuado de forma inconsistente ou contrária às instruções (legítimas) do cliente.

A agência poderá ser responsável quando:

  • não seguir as instruções do cliente (mesmo que exceda os limites da sua competência, caso em que o RGPD determina que este assumirá a responsabilidade enquanto proprietário independente);
  • não prestar assistência ao cliente (por exemplo, em caso de violações de dados ou avaliações de impacto);
  • não disponibilizar as informações necessárias na sua posse ao cliente;
  • não informar o cliente de que uma instrução deste viola a lei;
  • não nomear um EPD (Encarregado da Proteção de Dados), estando obrigada a fazê-lo;
  • nomear um subcontratante ulterior não previamente autorizado;
  • nomear um subcontratante ulterior que não apresente garantias suficientes;
  • não mantiver um registo das operações de tratamento.

Condições de isenção de responsabilidade

O cliente ou a agência só podem ser isentos de responsabilidade se conseguirem demonstrar que os danos não lhes são de forma alguma imputáveis (por exemplo, se resultarem de um tratamento de dados que não tenha sido efetuado pelos mesmos).

Responsabilidade conjunta e solidária

Se os danos forem imputáveis a mais responsáveis pelo tratamento ou subcontratantes dos dados (ou a ambos), cada um destes será conjunta e solidariamente responsável pela totalidade do montante da ocorrência.

Neste caso, a pessoa responsável que tenha indemnizado os custos dos danos na totalidade (in solidum) poderá reivindicar cada parte da indemnização restante correspondente a cada parte da responsabilidade dos restantes proprietários ou partes responsáveis envolvidas.

💡

Saiba mais sobre o cumprimento do RGPD


👉 Descubra as 5 coisas que precisa de fazer hoje para cumprir o RGPD

Veja ainda