Gestão de subprocessadores ao abrigo do RGPD
Avaliou o seu fornecedor, assinou o DPA e passou ao problema seguinte. Já o fiz mais vezes do que gostaria de admitir. O problema é que o seu fornecedor depende dos seus próprios fornecedores (alojamento, entrega de correio eletrónico, análise, ferramentas de suporte) e, ao abrigo do RGPD, esses subprocessadores fazem também parte do seu quadro de conformidade. Na minha experiência, a gestão de subprocessadores é onde muitos programas de privacidade, que de outra forma são bem organizados, falham silenciosamente.
Isto é orientação prática, não aconselhamento jurídico.
No final deste guia, irá:
- Compreender o que é um subprocessador e por que razão o Artigo 28.º do RGPD os torna sua responsabilidade.
- Saber como funciona o modelo de notificação e objeção, e onde se esconde o prazo.
- Ter um conjunto repetível de hábitos para manter atualizada a lista de subprocessadores de cada fornecedor.
- Ver como construir um trilho de auditoria que resiste quando um cliente ou regulador pergunta.
O que é efetivamente um subprocessador
Um subprocessador é um terceiro que o seu processador contrata para ajudar a tratar dados pessoais em seu nome. Se o seu fornecedor de CRM aloja num fornecedor de nuvem e utiliza um serviço separado de entrega de correio eletrónico, ambos são subprocessadores dos seus dados. Pode nunca ter assinado nada com eles, pode nunca ter ouvido os seus nomes, e ainda assim os dados pessoais dos seus clientes fluem pelos seus sistemas.
O Artigo 28.º do RGPD estabelece as condições. O seu processador tem de obter a sua autorização antes de contratar um subprocessador, transmitir termos equivalentes de proteção de dados a essa parte, e manter-se responsável perante si pelo que fazem. Este último ponto merece reflexão. A cadeia de responsabilização remonta a si como responsável pelo tratamento, pelo que um elo fraco três fornecedores abaixo continua a ser o seu problema quando algo corre mal. É a mesma lógica que impulsiona grande parte da gestão de contratos com fornecedores: a relação não termina na assinatura, estende-se por todos os que a sua contraparte utiliza.
O modelo de notificação e objeção
A maioria dos DPAs trata a autorização com o que se chama uma autorização geral. Em vez de pedir a sua permissão para cada novo subprocessador individualmente (o que seria inviável em escala), o processador mantém uma lista de subprocessadores e compromete-se a notificá-lo de adições ou substituições. Tem então uma janela, frequentemente de 14 a 30 dias, para se opor antes de a alteração entrar em vigor.
Essa janela é o que está verdadeiramente em jogo. Se não a acompanhar, não pode utilizá-la, e considera-se que aceitou uma nova parte a tratar os seus dados. A obrigação é real, mas o mecanismo é fácil de perder, porque o aviso raramente chega com qualquer cerimónia. Reconhecerá isto: chega como um correio eletrónico de rotina, uma linha de rodapé numa atualização de produto, ou uma entrada num registo de alterações numa página de estado que ninguém na sua equipa está a monitorizar. Quando alguém se apercebe, a janela já fechou e o novo subprocessador já está em funcionamento.
O que pode efetivamente fazer dentro dessa janela? Na prática, algumas coisas:
- Aceitar a alteração e registar que a reviu e aceitou.
- Opor-se com fundamentos razoáveis, o que normalmente abre uma conversa com o fornecedor sobre alternativas.
- Escalar internamente se o novo subprocessador estiver numa jurisdição ou tratar uma categoria de dados que aciona os seus próprios limiares de revisão.
O ponto não é que se oporá frequentemente. Na maioria das vezes não o fará. O ponto é que mantém o direito de se opor, e pode demonstrar que considerou cada alteração em vez de a aceitar sem reflexão.
Manter a lista atualizada
A gestão prática de subprocessadores resume-se a três hábitos.
Primeiro, saiba quem está na lista atualmente para cada fornecedor, e guarde-a algures onde a possa efetivamente encontrar. Uma captura que guardou durante as compras há dois anos não é a lista atual. Descobri que ajuda tratar o registo de subprocessadores de cada fornecedor como um registo vivo anexado ao próprio DPA, e não como um anexo único que fica desatualizado numa unidade partilhada. Um repositório central de contratos é o local natural para isso, porque a lista reside junto ao acordo que a rege.
Segundo, intercete os avisos de alteração e trate cada um como uma decisão com prazo em vez de uma informação. É o hábito que falha com mais frequência, porque os avisos são concebidos para serem de baixo atrito para o fornecedor, não de alta visibilidade para si.
Terceiro, mantenha um trilho de auditoria. Qual era a lista, quando foi alterada, foi notificado a tempo e apresentou uma objeção? Quando chega um questionário de segurança de um cliente ou um pedido de um regulador, esse trilho é a sua prova. Sem ele, está a reconstruir a história a partir da memória e da arqueologia da caixa de entrada, e prometo que é uma tarde desagradável.
Aqui está uma forma simples de pensar no que cada hábito produz:
| Hábito | O que mantém | Por que razão é importante |
|---|---|---|
| Conhecer a lista atual | Um registo datado por fornecedor | Responde a "quem toca nos nossos dados agora?" |
| Intercetá os avisos | Uma decisão registada por alteração | Preserva o seu direito de se opor |
| Manter o trilho | Uma linha temporal de alterações e respostas | Prova para clientes e reguladores |
O mais difícil dos três é o trilho de auditoria, porque as alterações de subprocessadores chegam de forma fragmentada ao longo de meses em muitos fornecedores. Um aviso em março, dois em julho, uma substituição discreta em outubro. Manter cada DPA, a sua lista atual de subprocessadores e a janela de aviso de alteração num único local, ligado ao fornecedor, é o que torna isto gerível em vez de avassalador. É uma grande parte do que a gestão de acordos de tratamento de dados foi concebida para fazer, e está inserida no nosso mais amplo software de conformidade com o RGPD para equipas que precisam do quadro completo em vez de um único documento.
Onde a extração demonstra o seu valor
Há um passo que saltei acima e que merece atenção própria. Quando assina um novo DPA, os termos dos subprocessadores (o período de aviso prévio, a janela de objeção, onde a lista reside, como as alterações são comunicadas) estão enterrados em cláusulas densas que lê uma vez e nunca mais reabre. Extrair esses detalhes manualmente, para cada acordo, é o tipo de trabalho que é desprioritizado no momento em que aparece algo mais urgente.
É aqui que a análise de contratos por IA muda a equação. Em vez de uma pessoa ler o parágrafo 9.3 de cada DPA para encontrar a janela de objeção, a extração de dados contratuais lê-o por si e expõe as datas e obrigações como campos estruturados que pode monitorizar. Para as equipas de conformidade em especial, essa mudança de leitura manual para dados extraídos e rastreáveis é o que permite a um programa de subprocessadores sobreviver a um trimestre movimentado. Se esta é a sua área de responsabilidade, o caso de uso do responsável de conformidade explica como se integra num fluxo de trabalho quotidiano.
Uma breve nota sobre confiança, porque surge sempre que dados e IA aparecem na mesma frase. O Contracko está alojado na UE, os seus contratos estão encriptados, o acesso é baseado em funções, e não treinamos IA com os seus contratos. As ferramentas que leem os seus DPAs não os estão a alimentar silenciosamente num modelo algures. Pode ler mais sobre isso na nossa página de segurança.
Não perca a janela de objeção
O item mais fácil de perder em tudo isto é o prazo de objeção. Todo o resto (as listas, o trilho, a análise) apoia o único momento em que a inação lhe custa um direito que não pode recuperar. Não pode opor-se a uma alteração que não notou, e o calendário não o lembrará por si mesmo.
Uma ferramenta de lembretes de DPA extrai as janelas de alteração de subprocessadores de um acordo (juntamente com datas de revisão e direitos de auditoria) e transforma-as em lembretes, para que um novo subprocessador nunca lhe passe despercebido enquanto a janela para se opor ainda está aberta. É a diferença entre gerir os seus subprocessadores e descobri-los depois do facto. Se quiser ver como este raciocínio se estende ao restante risco contratual, o nosso artigo sobre os riscos comuns na gestão de contratos abrange o padrão mais amplo.
Próximos passos
Se as suas listas de subprocessadores residem atualmente numa mistura de caixas de entrada, capturas de ecrã e boas intenções, comece de forma pequena. Escolha os seus três fornecedores de maior risco, encontre as suas listas atuais de subprocessadores e anote a janela de objeção para cada um. Só isso lhe dirá se tem estado a intercetá os avisos ou a aceitar silenciosamente alterações que nunca viu.
Quando estiver pronto para tornar isto sistemático em vez de heróico, foi para isso que construímos o Contracko. Gostaria genuinamente de saber como está atualmente a tratar os avisos de subprocessadores, porque não há dois programas que o façam exatamente da mesma forma. Não hesite em contactar-nos se tiver dúvidas; leio e respondo pessoalmente a todas as mensagens.
Comece com o Contracko
Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.