Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    EU GDPR controller vs. processor – Quais são as diferenças?

    Uma das questões que levantaram mais dúvidas nas organizações com que tenho trabalho é: “No escopo da EU GDPR (European General Data Protection Regulation – Regulamentação Geral Europeia de Proteção de Dados*), qual é a nossa responsabilidade em relação a dados pessoais que nossos clientes manipulam no escopo de suas atividades de negócio? Que dizer, dados pessoais são coletados e processado por nossos clientes e nós apenas os armazenamos”.

    De fato, algumas organizações não têm controle sobre os dados (elas apenas os armazenam) de seus clientes. A questão é: dentro da EU GDPR, quais são as responsabilidades destas organizações se elas armazenam dados pessoais? Elas estão cobertas pela nova regulamentação Europeia?

    European General Data Protection Regulation (EU GDPR)

    Esta nova regulamentação (EU GDPR) foi aprovada em 14 de abril de 2016, pelo Parlamento Europeu e Conselho da Europa. Ela será aplicada diretamente em cada país, participante ou não da União Europeia (que armazena dados pessoais de cidadãos Europeus), permitindo uma consistência de regras entre nações com relação aos direitos de privacidade dos cidadãos. Leia o artigo: O que é a EU GDPR por que ela é aplicável para todo o mundo? Para saber mais.

    Primeiro, todas as organizações coletam e/ou armazenam os dados pessoais de seus próprios empregados desde que eles sejam cidadãos Europeus; assim, todas as organizações, participantes ou não da União Europeia, são responsáveis pelo processamento destes dados dentro da EU GDPR. Por outro lado, organizações podem armazenar dados pessoais de seus clientes diretos ou dados pessoais que seus clientes coletam de pessoas. Dentro da EU GDPR, a responsabilidade da organização é diferente dependendo se ela coleta dados diretamente das pessoas donas dos dados, ou não?

    Controller vs. Processor

    De acordo com o Artigo 4 da EU GDPR, diferentes papéis são identificados como indicado abaixo:

    • Controller – “significa a pessoa natural ou legal, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina o propósito e meios de processamento de dados pessoais”*
    • Processor – “significa a pessoa natural ou legal, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controller”*

    Assim, as organizações que determinam os meios de processamento de dados pessoais são controllers, independente se elas coletam diretamente os dados das pessoas. Por exemplo, um banco (controller) coleta os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processor) que armazena, digitaliza, e cataloga toda a informação produzida em papel pelo banco. Estas organizações podem ser datacenters ou companhias de gestão de documentos. Ambas as organizações (controller e processor) são responsáveis por manipular os dados pessoais destes clientes.

    Quais são as responsabilidades do controllers?

    De acordo com o Artigo 5 da EU GDPR, o controller deve ser responsável por, e ser capaz de demonstrar conformidade com, princípios relacionados ao processamento de dados pessoais. Estas são: legalidade, imparcialidade e transparência, minimização, precisão, limitação de armazenamento e integridade dos dados, e confidencialidade dos dados pessoais.

    De acordo com o Artigo 24 da EU GDPR, “Levando em conta a natureza, escopo, contexto e propósito do processamento assim como os riscos de probabilidade e severidade variáveis para os direitos e liberdades das pessoas donas dos dados, o controller deverá implementar medidas técnicas e organizacionais apropriadas para assegurar e ser capaz de demonstrar que o processamento é realizado de acordo com esta Regulamentação. Estas medidas serão revisadas e atualizadas onde necessário.”*

    Exemplos de tais medidas podem ser alocar responsabilidades para proteção de dados, uma avaliação de impacto na proteção de dados e um plano de mitigação de riscos, implementação de pseudo-anonimização (o processamento de dados pessoais de tal forma que os dados pessoais não podem mais ser atribuídos a um sujeito específico sem o uso de informação adicional), e minimização e dados de forma a atender aos requisitos desta Regulamentação e proteger os direitos das pessoas donas dos dados.

    Caso existam várias organizações que compartilham a responsabilidade pelo processamento de dados pessoais, a EU GDPR incluí a existência de controllers conjuntos. Eles devem determinar suas respectivas responsabilidades por acordo e prover o conteúdo deste para as pessoas donas dos dados, definindo as formas de comunicação com os processors com um ponto único de contato.

    Quais são as responsabilidades dos processors?

    De acordo com o Artigo 28 da EU GDPR, “Quando o processamento for realizado em nome de um controller, o controles deverá usar apenas processors que forneçam garantias suficientes para implementar medidas técnicas e organizacionais adequadas de tal maneira que o processamento atenderá os requisitos desta Regulamentação e assegurará a proteção dos direitos das pessoas donas dos dados.”*

    Isto significa que se qualquer organização participante ou não da União Europeia quiser permanecer no negócio, como controller ou processor, ela terá que implementar os controles necessários para assegurar que estão em conformidade com a EU GDPR, porque as multas podem ser aplicadas tanto a controllers quanto a processors. De acordo com o Artigo 83, multas serão impostas considerando “o grau de responsabilidade do controller ou processor levando em conta as medidas técnicas e organizacionais implementadas por eles.”*

    A implementação da ISO 27001 satisfaz os requisitos da EU GDPR?

    A implementação da ISO 27001 cobre muitos dos requisitos da EU GDPR; contudo, alguns controles deveriam ser adaptados para incluir dados pessoais dentro do Sistema de Gestão de Segurança da Informação. Leia o artigo A implementação da ISO 27001 satisfaz os requisitos da EU GDPR? Para saber mais.

    Adicionalmente ao que é planejado para a implementação da ISO 27001, algumas medidas terão que ser incluídas de forma a uma organização, controller ou processor (ambos precisam realizar estas atividades), assegurar a conformidade com a EU GDPR, tais como:

    • procedimentos para assegurar o exercício dos direitos das pessoas donas dos dados
    • mecanismos para a transferência de dados para fora da UE
    • conteúdo da avaliação de impacto na proteção dos dados
    • Procedimentos a serem seguidos em caso de violação de dados pessoais

    Todas estas medidas podem ser integradas no Sistema de Gestão de Segurança da Informação, permitindo a garantia da conformidade legal e melhoria contínua – ainda mais se o SGSI e a EU GDPR estiverem alinhadas.

    As organizações cobertas pela EU GDPR, sejam controllers ou processors, tem até maio de 2018 para implementar um conjunto de medidas que podem dar origem a uma mudança drástica em seus modos de operação. Não saber por onde começar pode tornar todo este processo muito complexo. A implementação de um SGSI pode ser o suporte que a organização está precisando para estar em conformidade com a EU GDPR.

    Leia este artigo gratuito:  What is EU GDPR and how can ISO 27001 help? Para saber mais sobre proteção da privacidade.

    *: Tradução livre

    Nós agradecemos a Rhand Leal pela tradução para o português.