A instituição responsável pelo tratamento deve celebrar um contrato de subcontratação nos termos do artigo 28.º do RGPD.
Este acordo define as obrigações do subcontratante, incluindo segurança, confidencialidade, finalidade do tratamento e gestão de dados pessoais.
Existem modelos orientadores (minutas) que podem ser usados como referência, mas cada contrato deve ser adaptado à situação concreta e validado pelo departamento jurídico. A minuta é apenas indicativa e não substitui a análise técnica e legal necessária. O investigador deve contactar o serviço jurídico ou de investigação da instituição para promover a celebração do contrato.
Objeto:
Este Acordo deve ser usado quando uma entidade, o Responsável pelo Tratamento, necessita de recorrer a um Subcontratante para poder desenvolver a sua atividade. A subcontratação no tratamento de dados pessoais ocorre quando uma entidade, o Subcontratante, trata dados em nome e por conta do Responsável pelo Tratamento, ou seja, sem decidir autonomamente as finalidades nem os meios essenciais do tratamento.
O tratamento em subcontratação é regulado por acordo, contrato ou outro ato normativo que vincule o subcontratante ao responsável pelo tratamento. O tratamento em subcontratação deve estabelecer o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, as obrigações do subcontratante e os direitos do responsável pelo tratamento.
Legislação:
Artigo 28º do Regulamento Geral de Proteção de Dados Pessoais
Conteúdo típico:
O conteúdo típico de um Acordo de Subcontratação é o seguinte:
- Identificação das entidades que são partes no acordo, o Responsável pelo Tratamento e o Subcontratante, designadamente: nome, morada, número de identificação de pessoa coletiva;
- Identificação das finalidades do tratamento em regime de subcontratação, o que significa, a título de exemplo: a identificação do projeto de investigação e das tarefas nele compreendidas que implicam o tratamento de dados pessoais por um subcontratante;
- Identificação dos dados pessoais que irão ser objeto de tratamento em regime de subcontratação;
- Identificação das tarefas concretas e das condições técnicas e humanas fixadas pelo Responsável pelo Tratamento ao Subcontratante para que este proceda ao tratamento de dados pessoais;
- O Subcontratante compromete-se a dar acesso aos dados pessoais apenas aos seus colaboradores afetos às tarefas associadas à prestação do serviço regulado pelo acordo;
- O Subcontratante compromete-se a sujeitar os seus colaboradores, a quem dê acesso a dados pessoais, ao dever de confidencialidade;
- O Subcontratante compromete-se a realizar os tratamentos de dados pessoais sob condições de segurança que assegurem, em permanência, a confidencialidade, integridade e disponibilidade desses dados;
- O Subcontratante compromete-se a adequar as medidas técnicas e organizativas adotadas à natureza, âmbito, contexto e finalidades do tratamento, bem como aos riscos para os direitos, liberdades e garantias das pessoas singulares;
- O Subcontratante compromete-se a notificar imediatamente o Responsável pelo Tratamento quando tome conhecimento de um incidente de violação de dados pessoais;
- O Subcontratante compromete-se a colaborar com o Responsável pelo Tratamento, designadamente: assistindo o Responsável pelo Tratamento de forma diligente na resposta ao exercício de direitos pelos titulares de dados; fornecendo ao Responsável pelo Tratamento todas as informações de que este necessite para aferir a sua conformidade com os requisitos previstos neste acordo e na legislação aplicável; facilitando auditorias ou inspeções aos tratamentos por si realizados no âmbito do presente acordo
- Identificação do Encarregado de Proteção de Dados de cada uma das entidades, se tiverem;
- Lei aplicável e foro competente.
Modelo:
A Comissão Europeia não impõe um modelo único de acordo de responsabilidade conjunta.
Âmbito de aplicação:
Esta ficha de orientação é adequada para acordos a celebrar por entidades com domicílio no Espaço Económico Europeu (EEA).
Países Terceiros:
Os acordos de subcontratação com entidades de países terceiros à União Europeia devem cumprir com o disposto no capítulo V do RGPD.