Proteção de dados por design e por defeito

É uma das obrigações legais mais desafiantes de documentar e demonstrar. A certificação é o único instrumento reconhecido pelo art. 25 RGPD "para demonstrar a conformidade com" este requisito.

Demonstração da adequação dos Responsáveis ​​pelo Tratamento de Dados

Arte. 24 O RGPD esclarece as obrigações dos Responsáveis ​​pelo Tratamento de Dados. Refere dois instrumentos para comprovar tal conformidade: a certificação e os códigos de conduta.

Demonstrar a adequação dos Processadores de Dados selecionados

Nos termos do art. 28 RGPD, "o responsável pelo tratamento deve utilizar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais adequadas". É responsável por possíveis violações e não conformidades por parte dos seus processadores de dados. Espera-se que realize uma avaliação completa das medidas eficazes implementadas pelos seus subcontratantes de tratamento de dados antes de partilhar quaisquer dados com ela. Felizmente, este artigo reconhece dois instrumentos para avaliar tal adequação: a certificação e os códigos de conduta.

Demonstrar adequação das medidas de segurança

Arte. 32 O RGPD exige garantir um nível de segurança adequado. Tal como para os processadores, também reconhece a certificação e os códigos de conduta [com auditorias regulares] como meios “0”.

Impacto nas coimas administrativas

Arte. 83 O RGPD impõe ter em conta a adoção de uma certificação ou código de conduta reconhecido por um responsável pelo tratamento ou transformador em caso de incumprimento, na determinação do montante da coima administrativa. Além disso, uma certificação e um código de conduta contribuem para reduzir substancialmente o risco de incumprimento.

Disponibilidade

A boa notícia é que os critérios de certificação e o SCC foram aprovados e estão disponíveis tal como estão. Adotar um código de conduta exige um esforço substancial. Requer também a mobilização de um número representativo de empresas através de uma associação para desenvolver, implementar e obter a aprovação do código. O processo pode demorar vários anos. A adoção de Regras Corporativas Vinculativas também precisa de ser aprovada pela autoridade. O processo pode também demorar vários anos e pode ser utilizado apenas por entidades que façam formalmente parte do mesmo grupo empresarial (e não pelos seus processadores de dados, por exemplo).

Universalidade

As certificações SCCs e RGPD, como a Europrivacy, são independentes do setor e podem ser utilizadas por todos os responsáveis ​​pelo tratamento e subcontratantes de dados. Outras certificações podem ser restritas apenas a subcontratantes de tratamento de dados ou a alvos específicos de avaliação. As Regras Corporativas Vinculativas são específicas da empresa. Os códigos de conduta são específicos do setor, o que significa que os responsáveis ​​pelo tratamento e subcontratantes de dados que partilham dados podem estar sujeitos a diferentes códigos de conduta. Por exemplo, um código de conduta elaborado para serviços de hotelaria não será adequado para prestadores de serviços como uma empresa de contabilidade que trabalha para empresas de hotelaria.

Tempo e esforço

Partindo do princípio que uma empresa já está em conformidade com o RGPD, o tempo e o esforço necessários variam entre instrumentos. Um SCC exige que as partes negociem e concordem com os termos do acordo. Se uma empresa tiver um único parceiro B2B, este é o instrumento mais rápido. No entanto, embora uma única certificação possa ser utilizada com um número ilimitado de responsáveis ​​pelo tratamento e subcontratantes de dados, um SCC distinto deve ser adotado e assinado com cada parceiro com quem os dados são partilhados.

Flexibilidade e Adaptabilidade

Alguns instrumentos estão focados nos requisitos ao nível da empresa (BCR, CC), enquanto outros instrumentos se concentram em atividades específicas de processamento de dados (Certificação, SCC). A primeira categoria exige garantir a conformidade a um nível mais elevado. A segunda categoria permite que as empresas concentrem os seus esforços no processamento prioritário de dados e coloquem as coisas mais importantes em primeiro lugar.

Confiabilidade

O nível de fiabilidade depende da natureza dos instrumentos. Por exemplo, um SCC é um compromisso vinculativo assumido por uma entidade, mas não existe uma auditoria nem um controlo de conformidade eficaz por detrás do mesmo. Enquanto que uma certificação, por outro lado, depende de auditorias regulares de terceiros realizadas por auditores qualificados. A Escala de Nível de Confiança (TSL) fornece uma escala de A (altamente fiável) a I (nada fiável) para avaliar o nível de confiança na conformidade eficaz. Quando aplicado aos quatro instrumentos, o resultado varia de F para SCC a A para certificação.

Criação de valor

Todos os instrumentos contribuem para apoiar a conformidade. No entanto, uma delas, a certificação, permite transformar a conformidade num ativo intangível para a empresa. Tal como uma patente, uma certificação constitui um ativo intangível da empresa. Transforma a conformidade numa fonte de criação de valor. Pode ser utilizado pela equipa de marketing e vendas como uma vantagem competitiva. Também pode ser utilizado para reduzir a incerteza junto dos analistas financeiros, investidores e acionistas.

A tabela seguinte resume as características dos quatro instrumentos.

Conclusão

Cada instrumento do RGPD oferece um conjunto diferente de benefícios e níveis de fiabilidade no que diz respeito à conformidade eficaz. Cabe ao DPO avaliar e escolher aquele que melhor se adequa às necessidades do seu empregador. Esperamos que esta análise o ajude a comparar e a escolher.

Caso mude de ideias, mudar de um instrumento para outro ou combinar vários instrumentos é bastante simples, depois de verificar e documentar a sua conformidade.

Referências