menu close EventosNotíciasContacte-nos
Português
Português
search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoEl SalvadorGuatemalaHondurasMexicoParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaBahrainEgyptGhanaJordanKenyaKuwaitLebanonLiberiaMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemen
Português
Português
Serviços
close Serviços
Tax
Serviços
Indústrias
close Indústrias
Indústrias
Publicações
Quem somos
close Quem somos
Quem somos
Carreiras
close Carreiras
Carreiras
EventosNotíciasContacte-nos
search close
home Publicações
Imagem alusiva ao Artigo A importância da Avaliação de Entidades Subcontratantes pelo responsável de tratamento

A importância da Avaliação de Entidades Subcontratantes pelo responsável de tratamento

Foco em Serviços Cloud e Ferramentas de IA

02/10/2024
Imagem alusiva ao Artigo A importância da Avaliação de Entidades Subcontratantes pelo responsável de tratamento
Nos dias de hoje, a utilização de serviços subcontratados, em particular no que diz respeito a fornecedores de tecnologias emergentes como a cloud computing e as ferramentas de inteligência artificial (IA), tornou-se comum nas empresas. No entanto, esta prática acarreta riscos significativos para a proteção de dados pessoais, que precisam de ser devidamente geridos pelo responsável de tratamento. A avaliação rigorosa das entidades subcontratantes é um dos pilares fundamentais para assegurar a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) e garantir a proteção da privacidade dos titulares de dados.

Responsabilidade do Responsável de Tratamento
O responsável de tratamento de dados é a entidade que determina as finalidades e os meios de tratamento dos dados pessoais. Quando esta entidade recorre a subcontratantes para processar dados em seu nome, continua a ser a principal responsável por assegurar que o tratamento ocorre em conformidade com a legislação aplicável, nomeadamente o RGPD.

Neste contexto, o responsável de tratamento deve realizar uma avaliação minuciosa das entidades subcontratantes, uma vez que qualquer falha ou incidente relacionado com o tratamento de dados por parte de um subcontratante recai, em última instância, sobre o responsável de tratamento. A escolha de um subcontratante não é apenas uma decisão técnica ou comercial, mas envolve sérias implicações jurídicas e reputacionais.

Critérios de Avaliação das Entidades Subcontratantes

A avaliação de um subcontratante deve abranger vários aspetos, incluindo:

1. Conformidade com o RGPD: A entidade subcontratada deve demonstrar um elevado nível de conformidade com o RGPD, incluindo a adoção de medidas técnicas e organizativas adequadas para proteger os dados pessoais.

2. Segurança dos Dados: O subcontratante deve garantir que possui sistemas robustos de segurança da informação, capazes de prevenir e mitigar riscos como acessos não autorizados, violações de dados e ciberataques.

3. Localização dos Dados: Quando se trata de serviços cloud, é essencial saber onde os dados são armazenados e tratados. Transferências de dados para fora do Espaço Económico Europeu (EEE) exigem salvaguardas adicionais, como a existência de cláusulas contratuais-tipo ou mecanismos equivalentes.

4. Política de Retenção e Eliminação de Dados: O subcontratante deve ter políticas claras e transparentes sobre a retenção e eliminação de dados, assegurando que os dados não são retidos por mais tempo do que o necessário.

5. Experiência e Reputação no Mercado: Um subcontratante com uma má reputação ou sem provas suficientes de que respeita os requisitos legais pode representar um risco sério para a segurança dos dados pessoais.

Proteja a sua Empresa hoje com o software HUB4DPO
Conformidade RGPD
SABER MAIS
Imagem sobre Subcontratantes de Serviços Cloud e Ferramentas de IA

Subcontratantes de Serviços Cloud e Ferramentas de IA

Os serviços cloud e as ferramentas de IA levantam desafios adicionais, dada a natureza descentralizada e automatizada do tratamento de dados. Nestes contextos, a complexidade tecnológica pode dificultar o controlo direto sobre os dados, aumentando a necessidade de avaliações rigorosas.

Riscos dos Serviços Cloud

As soluções de armazenamento e processamento de dados em cloud são atrativas pelas suas vantagens em termos de escalabilidade e custos. No entanto, também acarretam riscos, como a falta de controlo físico sobre os dados e a possibilidade de os mesmos serem transferidos para diferentes jurisdições. Além disso, a cloud depende da segurança do fornecedor, o que obriga a uma análise detalhada da infraestrutura e políticas de segurança deste. Uma falha neste processo pode resultar em graves violações de dados, afetando a privacidade dos titulares e expondo o responsável de tratamento a sanções.

Riscos das Ferramentas de IA

As ferramentas de IA, que frequentemente envolvem grandes volumes de dados pessoais, colocam desafios únicos. O uso de algoritmos para tomar decisões automatizadas pode amplificar os riscos relacionados com a discriminação e a falta de transparência no tratamento dos dados. Caso o subcontratante não ofereça garantias suficientes de que a IA respeita os princípios da proteção de dados (como a minimização e a precisão dos dados), o responsável de tratamento poderá enfrentar não só problemas jurídicos, como também danos à sua reputação.
Serviço de Avaliação de Subcontratantes
Conheça de que forma este serviço da Crowe o(a) pode ajudar
SABER MAIS

Consequências de Não Avaliação Adequada

Se o responsável de tratamento não avaliar devidamente os subcontratantes, pode enfrentar várias consequências negativas, tais como:
1. Sanções Regulamentares
O RGPD prevê multas severas para infrações, que podem atingir até 20 milhões de euros ou 4% do volume de negócios anual global da empresa, consoante o valor mais elevado. A falha na escolha de subcontratantes que cumpram as exigências legais pode ser vista como uma negligência grave por parte da autoridade supervisora.
2. Danos à Reputação
Uma violação de dados que resulte de um subcontratante pode ter um impacto devastador na confiança dos clientes e parceiros. A perda de reputação pode ter consequências a longo prazo, inclusive perdas financeiras e uma redução significativa da competitividade da empresa no mercado.
3. Responsabilidade Civil
O responsável de tratamento pode ser alvo de ações judiciais por parte dos titulares de dados, que poderão exigir compensações pelos danos causados. Mesmo que o incidente tenha ocorrido por falhas do subcontratante, a responsabilidade última recai sobre o responsável de tratamento.
4. Interrupção Operacional
Uma falha de segurança ou uma violação de dados pode levar à interrupção dos serviços da empresa, o que, por sua vez, pode ter impactos financeiros significativos e comprometer a continuidade do negócio.

Conclusão

Avaliar as entidades subcontratantes é uma tarefa essencial para garantir a conformidade com o RGPD e proteger os dados pessoais. Esta responsabilidade torna-se ainda mais crítica no caso de subcontratantes que fornecem serviços cloud ou ferramentas de IA, dado o elevado volume de dados envolvidos e os riscos inerentes às tecnologias em causa. A ausência de uma avaliação rigorosa pode resultar em consequências jurídicas, financeiras e reputacionais graves, colocando em risco a continuidade e a viabilidade do negócio.

Assim, o responsável de tratamento deve adotar práticas robustas de due diligence, assegurando que os subcontratantes escolhidos oferecem todas as garantias necessárias para o cumprimento das suas obrigações legais e a proteção dos dados pessoais que lhes são confiados.

Mantendo presente o acima descrito a unidade DPO Services by Crowe desenvolveu um serviço destinado a apoiar as organizações que reconhecem a importância de avaliar os seus subcontratantes mas que não dispõem dos recursos ou competências para o efeito.

Entre em contacto connosco.

Serviço de Avaliação de Subcontratantes
FALE COM OS NOSSOS ESPECIALISTAS

Contactos

Temos ao seu dispor uma equipa formada por profissionais altamente qualificados e experientes nas áreas em que operam.
jose rodrigues
José Madeira Rodrigues
Compliance & GDPR Consultant
Advisory
 + 351 220 109 918
José Rodrigues
Paulo Garrido
Paulo Garrido
GDPR Consultant & DPO
Advisory
+351 220 109 918
Paulo Garrido