Falar que deve haver um contrato entre controlador e operador é chover no molhado.
Isto é relevante mesmo que a LGPD não te diga nada sobre isso.
E eu já falei para você utilizar o conteúdo do Art. 28 do Regulamento europeu quando você pensar no conteúdo do contrato com seu operador. Já trouxe também alguns exemplos práticos sobre isso.
Claro que, se você preferir, pode usar o que está indicado na seção 7.2.6 da ABNT NBR ISO/IEC 27701:2019.
“Tá, Matheus, me conta novidade”. Então vamos lá!
1º ponto de atenção: tenha o mapeamento da atividade de tratamento pronto.
É isso mesmo. Sem mapeamento, como você será capaz de dizer ao seu operador o que ele vai fazer por você com os dados sob sua responsabilidade?
2ª ponto de atenção: tenha pronto políticas e procedimentos internos que deixem claro como será gerido o processo de contratação do novo operador.
Se você não souber as etapas a respeito do que fazer, como poderá fazê-lo?
3º ponto de atenção: tenha documentação a respeito do que você quer que ele faça por você.
Atualizar seu Registro de Atividades de Tratamento é um bom passo para cumprir com o princípio da “responsabilização e prestação de contas”.
4ª ponto de atenção: defina claramente os prazos de retenção.
Lembre-se de que não é o operador o responsável por decidir por quanto tempo os dados serão armazenados.
5º ponto de atenção: reveja as medidas de segurança técnicas e administrativas que você irá exigir do seu futuro operador.
É ele que tem de cumprir com suas exigências, não você que tem de aceitar o que ele oferece – a não ser que você esteja tranquilo em aceitar os riscos inerentes a esta decisão.
6º ponto de atenção: verifique a que leis, regulamentos ou normas o seu futuro operador está submetido.
Ele pode ter de cumprir com determinadas obrigações usando os dados que estão sob sua responsabilidade – e você pode não querer que isto aconteça.
7º ponto de atenção: revise como serão feitas as transferências dos dados para este operador.
Quais serão as medidas técnicas que você vai utilizar para garantir que não haja nenhum risco à segurança da informação?
E não se esqueça de que nas transferências estão incluídas também as internacionais!
8º ponto de atenção: realize a due diligence do seu futuro operador.
Nem todo mundo gosta de ser avaliado. Mas se você não souber se seu operador “aguenta o tranco”, poderá ser você quem vai “pagar o pato” – ou a conta.
9º ponto de atenção: uma vez finalizado o contrato, monitore o operador.
O programa de privacidade se fundamenta no ciclo PDCA – “melhoria constante”. As condições do seu operador hoje poderão não ser as mesmas de amanhã. Avalie e reavalie constantemente.
10º ponto de atenção: realize ações corretivas conforme necessário.
Com base no resultado do monitoramento, proponha ações corretivas ao seu operador conforme necessário. Lembre-se de que a responsabilidade pelos dados pessoais é sua, não dele.
Bônus: cuidado com a falácia da “anonimização”.
Dados anonimizados não são dados pessoais.
Mas “anonimizar dados” é uma atividade de tratamento como qualquer outra. Significa que você precisa analisar se a anonimização dos dados está cumprindo com os princípios, se há uma base legal (provavelmente o legítimo interesse – então faça uma LIA!) e se há medidas de segurança técnicas e administrativas que garantam a anonimização ao longo do tempo.
Que outros itens você indica para analisar um contrato entre controlador e operador? Deixe nos comentários!
Vamos que vamos e #colanopapai!