2018-4-04
Quem é o subcontratante? Em poucas palavras, é qualquer entidade que suporta e auxilia o responsável nas operações de tratamento de dados e, em virtude dessa relação, tem igualmente acesso aos dados pessoais.
Com a aproximação da data de aplicação do Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679 ou “RGPD”), aplicável em todos os Estados Membros a partir de 25 de maio de 2018, a proteção de dados pessoais passou rapidamente de figurante a protagonista na pauta do compliance das grandes empresas. O alarmismo tem a sua razão de ser: coimas até 20 milhões de Euros e a necessidade de as empresas estabelecerem internamente os seus próprios procedimentos para o tratamento e proteção dos dados pessoais. A preocupação com a forma ideal das empresas se adequarem às regras do Regulamento é tão grande quanto as dúvidas sobre ele. É sobre uma dessas dúvidas que falaremos neste artigo: a responsabilidade do subcontratante (processor). Quem é o subcontratante? Em poucas palavras, é qualquer entidade que suporta e auxilia o responsável nas operações de tratamento de dados e, em virtude dessa relação, tem igualmente acesso aos dados pessoais. Exemplo: uma instituição financeira aloja a base de dados dos seus clientes numa plataforma eletrónica de uma empresa de software. Instituição Financeira: responsável (controller). Empresa de Software: subcontratante (processor). Antes do Regulamento, a responsabilidade do subcontratante, no âmbito da Lei de Proteção de Dados Pessoais (Lei nº 67/98, de 26 de outubro), estava limitada à obediência das instruções e recomendações do responsável pelo tratamento dos dados. Com o Regulamento, a relação entre responsável e subcontratante ganhou novos contornos. O Regulamento trouxe ainda o direito aos titulares dos dados (o cliente do banco, no exemplo que citamos acima) de exigir do subcontratante ou do responsável uma indemnização decorrente de danos materiais ou imateriais que tenha sofrido devido a uma violação das regras do Regulamento (ainda no exemplo acima, podemos pensar hipoteticamente na disponibilização ao público dos saldos bancários de alguns clientes). É aqui, no ponto da responsabilidade, que a relação entre responsáveis e subcontratantes começa a estremecer. O Regulamento fala em responsabilidade solidária, que é, em linhas gerais, a possibilidade do lesado exigir tanto do responsável quanto do subcontratante a indemnização por todos os danos sofridos. Assegura-se inicialmente o pagamento da indemnização ao titular dos dados e, num momento posterior, o responsável e o subcontratante discutem as suas parcelas de responsabilidade pelos danos. A responsabilidade do subcontratante tem, no entanto, características particulares: o subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações do Regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento. Portanto, não temos aqui uma substituição das obrigações do responsável pelo subcontratante, mas sim, um rol de obrigações específicas aos subcontratantes. Responsável e subcontratantes deverão trabalhar juntos, cada qual no âmbito das suas responsabilidades, sem sobreposição de papéis. Há ainda que destacar que o tema da responsabilidade solidária se apresenta nas ações judiciais de responsabilidade civil dos titulares dos dados. Na via administrativa, para a inspeção e aplicação das coimas (que em Portugal, estarão a cargo da CNPD) e na esfera criminal, a aferição de responsabilidade ou culpa do subcontratante também será apenas quanto às obrigações específicas do subcontratante . Ir além disso é ir além do texto do Regulamento. Assim, as maiores obrigações e responsabilidades dos subcontratantes não devem ser percebidas, pelos responsáveis pelo tratamento dos dados, enquanto mecanismos que possam substitui-los em seus papéis. A obrigação de respeitar os princípios relativos ao tratamento dos dados pessoais, dentre eles, a recolha para finalidades determinadas, de forma adequada, pertinente e limitada às necessidades dessas finalidades, a conservação durante os períodos adequados e a garantia da segurança, são deveres cuja prova e cumprimento são exclusivos do responsável pelo tratamento dos dados. É inegável que para fazê-lo o responsável necessitará de um (ou muitos) subcontratantes. Mas há que se desmistificar a ideia de que responsável irá licenciar um software ou adquirir um serviço que resolverá ou que lhe garantirá todos os deveres que terá no âmbito do Regulamento. Não há uma fórmula mágica. Será indispensável alinhar com equilíbrio e precisão os contratos entre subcontratantes e responsáveis pelo tratamento dos dados. Este é o grande desafio para os próximos meses. Relações contratuais claras, organizadas e seguras entre as partes serão um elemento chave para o sucesso no cumprimento das regras do Regulamento. Podem não ser a garantia de um final feliz, mas contribuirão para uma longa e consistente história.
Juliana Marcondes | Advogada Associada TMT - PLMJ |