Responsabilidades dos Subcontratantes

O Artigo 28º do RGPD estabelece que sempre que o tratamento dos dados for efetuado por um subcontratante (outsourcing), deve ser assegurado com medidas técnicas adequadas para que o tratamento satisfaça os requisitos e assegure a defesa dos direitos dos titulares dos dados.

As garantias de execução para a conformidade, devem ser compreendidas com as seguintes respostas:

– Existe um DPO? Se não existe, qual é a razão?

– O subcontratante tem uma Política de Privacidade?

– Existe a utilização de normas técnicas que estabelecem um modelo de gestão da segurança da informação?

– Tem capacidade ou conhecimento para proceder à encriptação de dados?

– Possuem alojamento interno ou na cloud?

– Estão a ser realizados backups dos dados guardados?

– Os colaboradores estão sensibilizados para o RGPD?

– O que consideram um incidente de segurança?

– Quais são os procedimentos utilizados em caso de incidente de segurança?

Para assegurar as garantias compreendidas em relação ao tratamento a realizar, deve ser celebrado nos termos da lei um contrato escrito entre o responsável pelo tratamento e o subcontratante, apresentando cláusulas de responsabilidade com obrigações à confidencialidade e ao tratamento dos dados pessoais.