Quando a gestao de subcontratantes se aplica e o que fazer depois

A gestao de subcontratantes aplica-se quando outra organizacao trata dados pessoais para a sua empresa SaaS, ou quando a sua empresa trata dados de clientes como subcontratante e usa outro terceiro por baixo. A pergunta pratica nao e apenas se existe um vendor. E se a relacao envolve dados pessoais tratados por instrucoes e se consegue provar que a relacao esta controlada.

Em SaaS, a resposta e muitas vezes sim. Hosting, suporte, CRM, product analytics, billing, identity, observability, mensagens a clientes, security monitoring, ferramentas AI, data warehouses e suporte externalizado podem criar relacoes de subcontratante ou subcontratante ulterior.

O artigo 28 do RGPD exige que o responsavel use apenas subcontratantes com garantias suficientes de medidas tecnicas e organizativas adequadas. O tratamento deve ser regulado por contrato ou outro ato juridico vinculativo que descreva objeto, duracao, finalidade, tipos de dados, categorias de titulares e direitos e obrigacoes do responsavel.

Operacionalmente, isto cobre instrucoes documentadas, confidencialidade, seguranca, condicoes para subcontratantes ulteriores, apoio aos direitos dos titulares, eliminacao ou devolucao no fim do servico e informacao para demonstrar conformidade.

Quando se aplica claramente

Aplica-se claramente quando um terceiro trata dados pessoais para uma finalidade de produto ou negocio definida e sob as suas instrucoes.

Exemplos SaaS comuns incluem infraestrutura cloud, helpdesk, chat, chamadas, email transacional, product analytics, session replay, billing, pagamentos, plataformas identity, logs, backups, incident response, CRM, marketing automation, ferramentas AI para resumir ou pesquisar conteudo, e servicos externos de suporte ou operacoes.

A mesma empresa pode ter varios papeis. Um SaaS pode ser subcontratante para dados do workspace do cliente, responsavel por web analytics e dados de colaboradores, e responsavel ao avaliar os seus proprios fornecedores. A realidade do tratamento conta mais do que o rotulo no contrato.

Quando a resposta e menos obvia

Casos limite envolvem acesso limitado, features opcionais, ferramentas internas ou vendors que dizem nao armazenar dados de clientes. Nao salte a review porque sao "apenas metadados". Dados pessoais podem aparecer em logs, anexos de suporte, identificadores, notas de conta, telemetria, prompts, exports e dashboards admin.

As orientacoes do EDPB ajudam porque focam quem determina finalidades e meios essenciais. Se o vendor usa os dados para melhorar o proprio produto, publicidade, benchmarking ou treino de modelos, a relacao pode nao ser uma simples subcontratacao.

O que fazer primeiro

Comece com um inventario rapido das relacoes que tocam dados pessoais. Para cada uma, registe nome legal do vendor, produto, business owner, technical owner, workflow, avaliacao de papel, categorias de dados, pessoas afetadas, acesso a sistemas, DPA, subcontratantes, evidencia de seguranca, localizacao dos dados, transferencias, retencao, eliminacao, disclosure a clientes e proxima review.

O registo nao precisa de ser perfeito no primeiro dia. Precisa de ser util para que legal, seguranca, produto, procurement, customer success e audit owners respondam a partir dos mesmos factos.

Integrar no workflow operacional

A gestao falha quando a review comeca depois da ferramenta ja estar live. O trigger deve estar em procurement, product launch, security review e vendor onboarding.

Um intake pratico pergunta que dados pessoais o vendor recebe ou ve, que clientes ou utilizadores sao afetados, se existem subcontratantes, onde os dados sao alojados ou acedidos, se o vendor usa dados para fins proprios e que evidencia existe sobre DPA, seguranca, transferencias e eliminacao.

Seguranca revê medidas tecnicas e organizativas. Privacy ou legal revê papel, DPA, instrucoes, subcontratantes e transferencias. Procurement gere contrato e renovacoes. Product ou engineering possui limites de configuracao. Compliance garante que a evidencia e encontravel depois.

Gerir subcontratantes antes das perguntas dos clientes

Subcontratantes contam duas vezes: os seus vendors podem usa-los, e os seus clientes normalmente esperam uma lista clara, notificacoes de mudanca e processo de oposicao alinhado com o DPA.

O artigo 28 exige autorizacao previa especifica ou geral por escrito. Na pratica precisa de uma pagina ou schedule estavel, um workflow de aprovacao e evidencia de review antes de adicionar um subcontratante.

Evidencia que resiste a review

Evidencia util inclui DPA ou online terms, analise de papel, questionario de seguranca, documentacao de seguranca, lista de subcontratantes, salvaguarda de transferencia, ticket de aprovacao, decisao de risco residual, settings de retencao, procedimento de eliminacao e disclosure a clientes.

Isto apoia planeamento GDPR, data protection by design and default, data minimisation e a ideia de que GDPR nao e apenas cookie banners.

Exemplo pratico

Uma empresa SaaS quer adicionar uma ferramenta AI que resume tickets de suporte. A ferramenta pode receber nomes, emails, account IDs, conteudo de tickets, anexos e metadados. A equipa decide primeiro se o vendor atua como subcontratante ou usa o conteudo para finalidades proprias. Depois revê DPA, instrucoes, seguranca, subcontratantes, hosting, transferencias, retencao, controlos de treino e compromissos com clientes.

Se aprovado, o registo documenta workflow, categorias de dados, owner, terms, transferencia, configuracao, estado dos subcontratantes, localizacao da evidencia e data de review.

FAQ

O que devem as equipas entender?

Que a gestao se aplica quando terceiros tratam dados pessoais por conta da empresa ou sob a sua propria funcao de subcontratante. Deve produzir owners, triggers, evidencia contratual, evidencia de seguranca, controlos de subcontratantes e records audit-ready.

Porque importa na pratica?

Porque equipas SaaS dependem de terceiros para produto e operacoes. Sem controlo, DPAs, avisos de privacidade, questionarios de seguranca e respostas de auditoria podem afastar-se da realidade.

O que documentar primeiro?

Comece por relacoes que afetam dados de clientes, security reviews, transferencias, subcontratantes, AI ou disclosures a clientes. Atribua owners, confirme o papel e recolha DPA e evidencia de seguranca.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
• Information Commissioner's Office, Contracts and liabilities between controllers and processors.
• European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.