Controlador de Dados vs Processador de Dados
O Regulamento Geral de Proteção de Dados ou GDPR, também conhecido como Regulamento Geral de Proteção de Dados ou GDPR, trouxe consigo a criação de dois novos conceitos: Controlador de Dados e Processador de Dados.
Esses números já tinham seu lugar nos regulamentos anteriores de proteção de dados quando se fala em Controlador de Arquivos e Processador de Dados. No entanto, o GDPR dá a eles um novo nome.
Qual é a diferença entre o Controlador de Dados e o Processador de Dados?
Quando falamos de Controlador de Dados , nos referimos àquela pessoa física ou jurídica, pública ou privada, que decide aspectos do processamento de dados pessoais, como a finalidade e o uso dos dados ou os períodos de armazenamento; sendo também a pessoa a quem deve dirigir-se o interessado que pretenda exercer algum dos seus direitos em matéria de proteção de dados.
Portanto, o Controlador de Dados é responsável pelos dados em sua posse, como dados pessoais de funcionários, prospects/leads, clientes ou fornecedores, entre outros. Da mesma forma, é obrigada a informar devidamente esses titulares das operações de tratamento e suas finalidades, uma vez que um dos princípios do GDPR é que o tratamento de dados pessoais seja leal e transparente, o que implica informar no momento da coleta de dados, se possível, de tais extremos. Por exemplo, se nos inscrevermos em um processo seletivo diretamente no site de uma empresa, essa empresa, se decidir manter nosso currículo para que possamos participar de seu processo seletivo, será responsável por nossos dados de currículo.
Por outro lado, quando falamos de Processador de Dados , nos referimos a um prestador de serviços que, contratado pelo Controlador de Dados, deve acessar dados pessoais de responsabilidade do Controlador de Dados. De facto, o simples acesso ou visualização dos dados já implica “processamento”, como, por exemplo, no caso de prestadores que prestam serviços de manutenção ou suporte informático. Embora não tenham que manipular dados pessoais para a prestação do serviço, eles são considerados Processadores de Dados.
Nesse sentido, o exemplo mais esclarecedor de Processador de Dados é o da agência trabalhista para a elaboração de folhas de pagamento, bem como para o processamento de inscrições ou cancelamentos na Previdência Social dos funcionários do Controlador de Dados. A agência deve tratar os dados pessoais dos colaboradores para a prestação do serviço.
Agora, como é regulada a relação entre o Controlador de Dados e o Processador de Dados? Esta relação deve ser estabelecida através de um contrato ou de um acto jurídico semelhante que os vincule. No mínimo, o contrato deve estabelecer os seguintes pontos:
- O objeto
- A duração
- A natureza e a finalidade do processamento
- O tipo de dados pessoais e as categorias de titulares de dados
- As obrigações e direitos das partes
É importante enfatizar que o Processador de Dados não pode, em nenhuma circunstância, usar dados pessoais para fins diferentes daqueles confiados no Contrato de Processamento de Dados.
O acordo deve também estabelecer o regime de subcontratação. O GDPR exige o consentimento prévio por escrito do Controlador de Dados para que o Processador de Dados confie em outro Processador de Dados (Subprocessador) para fornecer o serviço, quando isso implicar o processamento de dados pessoais por esse Subprocessador. A autorização para subcontratação pode ser específica (identificação da entidade específica que vai prestar o serviço) ou geral (apenas autorizando a subcontratação, mas sem especificar a entidade). Caso a autorização seja de natureza geral, o Processador de Dados informará o Controlador de Dados sobre a incorporação de um Subprocessador ou sua substituição por outros Subprocessadores, dando assim ao Controlador de Dados a oportunidade de se opor a tais alterações, devendo ser estabelecido um prazo para tal oposição.
Na GlobalSuite Solutions oferecemos-lhe um serviço de consultoria que visa ajudá-lo a garantir o cumprimento dos requisitos legais em matéria de proteção de dados, bem como a gestão do sistema de forma centralizada através da nossa solução GlobalSUITE®.
