Contratos de Subcontratação — Lista de Verificação e Guia para EPDs

Um contrato de subcontratação é necessário sempre que um responsável pelo tratamento contrata um subcontratante para tratar dados pessoais em seu nome. A distinção entre responsável e subcontratante é crucial: um responsável determina as finalidades e os meios do tratamento, enquanto um subcontratante age apenas segundo as instruções do responsável. Relações comuns com subcontratantes que exigem contrato incluem: fornecedores de alojamento cloud, plataformas de marketing por e-mail, prestadores de serviços de processamento de salários, sistemas CRM, ferramentas de análise, empresas de suporte de TI com acesso a dados pessoais e centros de atendimento externos. Nem toda relação com fornecedores exige um contrato de subcontratação. Se uma empresa utiliza um serviço onde não são tratados dados pessoais (por exemplo, compra de material de escritório), não é necessário contrato. Da mesma forma, se duas partes determinam independentemente as finalidades do tratamento, são corresponsáveis ao abrigo do Artigo 26 e necessitam de um acordo de corresponsabilidade em vez de um contrato de subcontratação. Para EPDs externos, uma das constatações de auditoria mais comuns é a cobertura incompleta de contratos. Os clientes têm frequentemente 20-30 relações com subcontratantes mas apenas 10-15 contratos implementados. Um inventário sistemático de todas as relações com fornecedores é o primeiro passo essencial.

O Artigo 28(3) do RGPD especifica o conteúdo mínimo que um contrato de subcontratação deve incluir. Todo contrato deve conter: o objeto e duração do tratamento, a natureza e finalidade do tratamento, os tipos de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento. Para além destes elementos básicos, o contrato deve estipular que o subcontratante: trata os dados apenas mediante instruções documentadas do responsável, garante que as pessoas autorizadas estão vinculadas por obrigações de confidencialidade, implementa medidas técnicas e organizativas adequadas (Artigo 32), recorre a sub-subcontratantes apenas com autorização prévia e obrigações contratuais equivalentes, assiste o responsável com respostas a pedidos de exercício de direitos, assiste com notificação de violações de segurança e obrigações de AIPD, elimina ou devolve os dados no final do contrato e disponibiliza toda a informação necessária para demonstrar conformidade incluindo permitir auditorias. Muitas organizações usam modelos de contrato fornecidos pelo subcontratante (por exemplo, AWS, Google, Microsoft). Embora estes modelos cubram frequentemente as cláusulas obrigatórias, podem conter disposições desfavoráveis ao responsável — como direitos amplos de sub-subcontratação, acesso limitado a auditoria ou limitações mínimas de responsabilidade. Reveja sempre criticamente os contratos fornecidos pelo subcontratante.

O erro mais frequente é não ter contrato algum para relações existentes com subcontratantes. Muitas organizações celebraram contratos com fornecedores SaaS anos antes da aplicação do RGPD e nunca adicionaram um contrato de subcontratação. Estas lacunas estão entre as constatações de auditoria mais fáceis de identificar pelas autoridades de controlo. Outro problema comum são contratos desatualizados que não refletem as atividades de tratamento atuais. Um contrato celebrado quando uma empresa usava um serviço para e-mail básico pode não cobrir o caso de uso expandido que agora inclui automação de marketing, definição de perfis e transferências transfronteiriças de dados. A gestão de sub-subcontratantes é frequentemente negligenciada. Ao abrigo do Artigo 28(2), o responsável deve autorizar sub-subcontratantes — seja especificamente ou de forma geral com direito de oposição. Muitos subcontratantes mantêm listas de sub-subcontratantes que mudam regularmente (especialmente grandes fornecedores cloud). Os EPDs devem garantir que os clientes têm um processo para rever alterações de sub-subcontratantes. Finalmente, as disposições de fim de contrato são frequentemente esquecidas. O contrato especifica eliminação ou devolução de dados? Em que prazo? Em que formato? Estes detalhes tornam-se críticos ao mudar de fornecedor ou quando uma relação com subcontratante termina.

Para EPDs externos que gerem 10-20 clientes, cada um com 15-30 relações com subcontratantes, acompanhar contratos manualmente torna-se impraticável. São potencialmente 200-600 contratos para monitorizar quanto a datas de expiração, alterações de sub-subcontratantes e lacunas de conformidade. Uma abordagem sistemática começa com um repositório central. Para cada cliente, mantenha uma lista de todas as relações com subcontratantes com o estado correspondente do contrato: implementado, em falta, expirado ou em revisão. Vincule cada contrato às atividades de tratamento relevantes no seu RAT — isto cria um quadro completo de conformidade. Defina alertas de expiração para contratos com prazo fixo. Muitos contratos estão ligados ao contrato de serviço subjacente e renovam-se automaticamente, mas alguns têm prazos fixos. Um contrato expirado significa tratamento sem um acordo jurídico válido — uma violação clara do RGPD. Standardize a sua lista de verificação de revisão de contratos. Em vez de ler cada contrato do início, verifique os elementos obrigatórios do Artigo 28(3), avalie as disposições de sub-subcontratação, verifique as garantias de transferência de dados (especialmente pós-Schrems II) e confirme os termos de fim de contrato. O Trustee.eu permite-lhe acompanhar tudo isto por cliente com indicadores de estado e lembretes de prazo.