• Cristina Paula Baptista

11 Requisitos dos contratos a celebrar com os "subcontratantes"

Atualizado: 31 de Mai de 2018

O "Subcontratante" ("Data Processor"), é a pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trata os dados pessoais por conta do responsável pelo tratamento destes.


São muitas as situações em que um responsável pelo tratamento de dados pessoais pode ter necessidade de recorrer a um subcontratante a quem tenha que disponibilizar os dados pessoais, tendo em vista a execução de um contrato. Apenas a título de exemplo, uma empresa que recorre a uma empresa terceira para o processamento de salários dos seus colaboradores terá que proceder à disponibilização dos dados pessoais desses trabalhadores. Na verdade, são muitas as situações do dia a dia das organizações em que há necessidade de proceder à disponibilização de dados pessoais.


Relativamente ao tratamento desses dados pessoais há um conjunto de requisitos que os destinatários dos dados pessoais têm que assegurar, desde logo o compromisso de que todos os tratamentos de dados pessoais por si realizados respeitam os direitos dos titulares dos dados e são feitos em conformidade com as regras do #RGPD. Por outro lado, sempre que tal se justifique, têm que ter um encarregado de proteção de dados (DPO) e, como não poderia deixar de ser, têm de garantir que possuem todas as condições técnicas e organizativas adequadas para que o tratamento de dados seja realizado em condições de segurança.

Para além disto, entre o responsável pelo tratamento de dados e o subcontratante tem de ser celebrado um contrato (ou outro instrumento legal), de onde constem regras sobre as condições de realização do tratamento de dados, designadamente:

1. Regras quanto às instruções

Devem ser reguladas as condições em que o responsável pelo tratamento dá instruções ao subcontratante quanto ao tratamento de dados pessoais, exigindo-se que essas instruções sejam dadas por escrito, usando, ou não, meios automatizados. O subcontratante deve manter um registo actualizados de todas as instruções que receba.

2. Confidencialidade

A confidencialidade do tratamento de dados por parte do subcontratante tem de estar expressamente consagrada, admitindo-se a possibilidade de inclusão de cláusulas penais em caso de quebra do dever de confidencialidade.

3. Segurança do tratamento

A segurança do tratamento de dados deve estar garantida contratualmente, assumindo o subcontratante as mesmas obrigações do responsável pelo tratamento em termos de segurança dos dados pessoais tratados. Isto é especialmente importante quando está em causa o tratamento de categorias especificas de dados ou a definição de perfis.

4. Registo de todos os tratamentos de dados

A obrigação de proceder ao registo de todos os tratamentos de dados pessoais resulta da necessidade de, a qualquer momento, poder comprovar quem acede aos dados, em que condições e com que finalidade.

5. Regras quanto à contratação de outro subcontratante

Contratualmente o responsável pelo tratamento de dados pode autorizar que o subcontratante recorra a um terceiro (outro subcontratante) para o tratamento dos dados pessoais. As condições em que tal é possível têm que estar expressamente reguladas e em conformidade com o RGPD.

6. Dever de assistência ao responsável do tratamento

No âmbito do tratamento de dados pessoais por conta de um responsável pelo tratamento, o sucontratante tem o dever de prestar assistência a esse responsável, designadamente no âmbito da comprovação da conformidade dos tratamentos de dados realizados com o RGPD e no âmbito da realização de auditorias de proteção de dados, com ou sem notificação prévia.

7. Estipular o destino dos dados pessoais

Concluído o tratamento de dados realizado pelo sucontratante importa regular qual o destino dos dados pessoais. Tendo em conta a finalidade do tratamento, as categorias dos dados e as categorias dos titulares podem ser eliminados/apagados ou devolvidos ao responsável pelo tratamento. Outras soluções são possíveis desde que para finalidades legítimas.

8. Demonstrar a conformidade do tratamento de dados

A todo o momento o subcontratante deve poder demonstrar que o tratamento de dados está a ser realizado em conformidade com o RGPD, quer perante o responsável pelo tratamento quer perante as autoridades de controlo. Deve, ainda permitir ao titular dos dados o exercício dos seus direitos.

9. Informação e assessoria ao responsável pelo tratamento

O subcontratante deve prestar informação e assessoria ao responsável pelo tratamento, designadamente quando, em sua opinião, as instruções recebidas quanto aos tratamentos a realizar não estejam em conformidade com o RGPD.

10. Cooperação com a CNPD

A obrigação de cooperação com as autoridades de controlo, em Portugal, com a CNPD, embora esteja prevista no RGPD deve constar do contrato que regula as relações entre o responsável pelo tratamento e o subcontratante, designadamente quanto a eventuais obrigações de informação mútua.

11. No caso de se encontrar fora UE

Por fim, nos casos em que o subcontratante se encontre fora da UE e não esteja abrangido pelas excepções do n.º2 do artigo 27.º do RGPD, terá que designar por escrito um representante seu na União Europeia.


Se necessita de aconselhamento especializado sobre o RGPD e procedimentos de conformidade com o RGPD entre em contacto comigo.


#GDPR #subcontratante #dataprocessor #CNPD #privacidade #dadospessoais

259 visualizações