Baixe o app para aproveitar ainda mais
Prévia do material em texto
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 1/44 Página 1 Adotada - versão para consulta pública 1 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 Adotado em 02 de setembro de 2020 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 2/44 Página 2 Adotada - versão para consulta pública 2 Página 3 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 3/44 Adotada - versão para consulta pública 3 SUMÁRIO EXECUTIVO Os conceitos de controlador, controlador conjunto e processador desempenham um papel crucial na aplicação do Regulamento Geral de Proteção de Dados 2016/679 (GDPR), uma vez que determinam quem será o responsável para o cumprimento das diferentes regras de proteção de dados e como os titulares dos dados podem exercer seus direitos prática. O significado preciso desses conceitos e os critérios para sua correta interpretação devem ser suficientemente claro e consistente em todo o Espaço Económico Europeu (EEE). Os conceitos de controlador, controlador conjunto e processador são conceitos funcionais na medida em que visam alocar responsabilidades de acordo com as funções reais das partes e conceitos autônomos no sentido que devem ser interpretados principalmente de acordo com a legislação da UE em matéria de proteção de dados. Controlador Em princípio, não há limitação quanto ao tipo de entidade que pode assumir a função de controlador, mas na prática, geralmente é a organização como tal, e não um indivíduo dentro da organização (como o CEO, um funcionário ou membro do conselho), que atua como controlador. Um controlador é um corpo que decide certos elementos-chave do processamento. Controladoria pode ser definido por lei ou pode resultar da análise de elementos de fato ou circunstâncias do caso. Certas atividades de processamento podem ser vistas como naturalmente ligadas ao papel de uma entidade (um empregador para funcionários, um editor para assinantes ou uma associação para seus membros). Em muitos casos, os termos de um contrato pode ajudar a identificar o controlador, embora não sejam decisivos em todas as circunstâncias. Um controlador determina os objetivos e meios do processamento, ou seja, o porquê e como do em processamento. O controlador deve decidir sobre os objetivos e os meios. No entanto, alguns mais práticos aspectos de implementação (“meios não essenciais”) podem ser deixados para o processador. Não é necessário se o controlador realmente tem acesso aos dados que estão sendo processados para ser qualificado como controlador. Controladores conjuntos A qualificação como controladores conjuntos pode surgir quando mais de um ator está envolvido no processamento. O GDPR apresenta regras específicas para controladores conjuntos e define uma estrutura para governar seus relação. O critério geral para a existência de controladoria conjunta é a participação conjunta de dois ou mais entidades na determinação dos propósitos e meios de uma operação de processamento. Junta a participação pode assumir a forma de decisão comum tomada por duas ou mais entidades ou resultar de decisões convergentes por duas ou mais entidades, onde as decisões se complementam e são necessário para que o processamento ocorra de tal maneira que tenham um impacto tangível no determinação das finalidades e meios de processamento. Um critério importante é que o o processamento não seria possível sem a participação de ambas as partes, no sentido de que o processamento por cada parte é inseparável, ou seja, inextricavelmente ligada. A participação conjunta deve incluir o determinação dos fins, por um lado, e determinação dos meios, por outro. Processador Processador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do responsável pelo tratamento. Existem duas condições básicas para se qualificar como processador: que é uma entidade separada em relação ao controlador e que processa dados pessoais no controlador lado. O processador não deve processar os dados senão de acordo com as instruções do controlador. o as instruções do controlador ainda podem deixar um certo grau de discrição sobre como melhor servir o Página 4 interesses do controlador, permitindo ao processador escolher o técnico e organizacional mais adequado significa. Um processador infringe o GDPR, no entanto, se for além das instruções do controlador e começa a determinar seus próprios fins e meios de processamento. O processador então será considerado um controlador em relação a esse processamento e pode estar sujeito a sanções por ir além as instruções do controlador. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 4/44 Adotada - versão para consulta pública 4 Relação entre controlador e processador Um controlador deve usar apenas processadores que forneçam garantias suficientes para implementar as medidas técnicas e organizacionais para que o processamento atenda aos requisitos do GDPR. Os elementos a serem levados em consideração podem ser o conhecimento especializado do processador (por exemplo, especialização técnica no que diz respeito a medidas de segurança e violações de dados); a confiabilidade do processador; do processador recursos e a adesão do processador a um código de conduta aprovado ou mecanismo de certificação. Qualquer processamento de dados pessoais por um processador deve ser regido por um contrato ou outro ato legal que deve ser feito por escrito, inclusive em formato eletrônico, e ser vinculativo. O controlador e o processador podem optar por negociar seu próprio contrato incluindo todos os elementos obrigatórios ou por confiar, no todo ou em parte, em cláusulas contratuais padrão. O GDPR lista os elementos que devem ser definidos no acordo de processamento. O processamento o acordo não deve, entretanto, apenas reafirmar as disposições do GDPR; em vez disso, deve incluir informações mais específicas e concretas sobre como os requisitos serão atendidos e qual nível de segurança é necessário para o processamento de dados pessoais que é o objeto do acordo de processamento. Relacionamento entre controladores conjuntos Os controladores conjuntos devem, de maneira transparente, determinar e concordar com suas respectivas responsabilidades para o cumprimento das obrigações do GDPR. A determinação de seus respectivos responsabilidades devem, em particular, considerar o exercício dos direitos dos titulares dos dados e os deveres de fornecer em formação. Além disso, a distribuição de responsabilidades deve abranger outros controladores obrigações, como em relação aos princípios gerais de proteção de dados, base jurídica, medidas de segurança, obrigação de notificação de violação de dados, avaliações de impacto de proteção de dados, o uso de processadores, terceiros transferências de país e contactos com titulares de dados e autoridades de supervisão. Cada controlador conjunto tem o dever de garantir que possui uma base jurídica para o tratamento e que o os dados não são processados de maneira incompatível com os fins para os quais foram originalmente coletados pelo controlador que compartilha os dados. A forma jurídica do acordo entre controladores conjuntos não é especificada pelo GDPR. Pelo bem de segurança jurídica, e de forma a proporcionar transparência e responsabilização, o EDPB recomenda que tal acordo seja feito na forma de um documento vinculativo, como um contrato ou outro ato vinculativo ao abrigo da legislação da UE ou dos Estados-Membros a que os responsáveis pelo tratamento estão sujeitos. O acordo deve refletir devidamente os respectivos papéis e relações dos controladores conjuntosvis-à- em relação ao titular dos dados e a essência do acordo devem ser disponibilizados ao titular dos dados. Independentemente dos termos do acordo, os titulares dos dados podem exercer os seus direitos em relação a e contra cada um dos controladores conjuntos. As autoridades de supervisão não estão vinculadas aos termos do acordo seja sobre a questão da qualificação das partes como controladores conjuntos ou o ponto de contato designado. Página 5 Índice SUMÁRIO EXECUTIVO................................................ .................................................. .... 3 INTRODUÇÃO ................................................. .................................................. ............. 7 PARTE I - CONCEITOS .............................................. .................................................. ........... 8 1 OBSERVAÇÕES GERAIS ................................................ ............................................... 8 2 DEFINIÇÃO DO CONTROLADOR ............................................... ........................................... 9 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 5/44 Adotada - versão para consulta pública 5 2.1 Definição de controlador .............................................. .................................................. .................... 9 2.1.1 “Pessoa física ou jurídica, autoridade pública, agência ou outro órgão” .................................... ... 10 2.1.2 “Determina” ............................................... .................................................. ........................ 10 2.1.3 “Sozinho ou em conjunto com outros” ........................................... .................................................. ... 12 2.1.4 “Finalidades e meios” ............................................. .................................................. ........... 13 2.1.5 “Do tratamento de dados pessoais” .......................................... .......................................... 15 3DEFINIÇÃO DE CONTROLADORES DE JUNTA .............................................. ............................... 16 3.1 Definição de controladores conjuntos ............................................. .................................................. ......... 16 3.2 Existência de controladoria conjunta ............................................. .................................................. ..... 17 3.2.1 Considerações gerais ................................................ .................................................. ........ 17 3.2.2 Avaliação da participação conjunta .............................................. ............................................ 18 4 DEFINIÇÃO DO PROCESSADOR ............................................... ........................................... 24 5 DEFINIÇÃO DE TERCEIRO / DESTINATÁRIO ............................................ ........................... 27 PARTE II - CONSEQUÊNCIAS DA ATRIBUIÇÃO DE DIFERENTES PAPÉIS ........................................ 29 1 RELAÇÃO ENTRE CONTROLADOR E PROCESSADOR ............................................. 29 1.1 Escolha do processador ............................................. .................................................. .................. 29 1.2 Forma do contrato ou outro ato legal ......................................... ................................................ 30 1.3 Conteúdo do contrato ou outro ato legal ......................................... ........................................... 32 1.3.1 O processador só deve processar os dados de acordo com as instruções documentadas do controlador (art. 28 (3) (a) GDPR) ......................................... .................................................. ............................ 34 1.3.2 O processador deve garantir que as pessoas autorizadas a processar os dados pessoais tenham comprometeram-se com a confidencialidade ou estão sob uma obrigação legal apropriada de confidencialidade (Art. 28 (3) (b) GDPR) ..................................... ................................................. 35 1.3.3 O transformador deve tomar todas as medidas exigidas nos termos do artigo 32 (Art. 28 (3) (c) GDPR) ................................................ .................................................. ................................... 35 1.3.4 O transformador deve respeitar as condições referidas no Artigo 28 (2) e 28 (4) para contratar outro processador (Art. 28 (3) (d) GDPR) .................................... ............................................. 36 Página 6 1.3.5 O processador deve auxiliar o controlador para o cumprimento de sua obrigação de responder pedidos de exercício dos direitos do titular dos dados (artigo 28.º, n.º 3, alínea e), do RGPD) . ............................ 36 1.3.6 O processador deve ajudar o controlador a garantir o cumprimento das obrigações nos termos dos artigos 32.º a 36.º (artigo 28.º, n.º 3, alínea f), do GDPR) . .................................................. .............. 37 1.3.7 Ao término das atividades de processamento, o processador deve, à escolha do controlador, exclua ou devolva todos os dados pessoais ao controlador e exclua as cópias existentes (Art. 28 (3) (g) GDPR) ...................................... .................................................. ....................... 38 1.3.8 O processador deve disponibilizar ao controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no artigo 28 e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo controlador ou outro auditor mandatada pelo controlador (Art. 28 (3) (h) GDPR). .................................................. ............... 38 1.4 Instruções que infringem a lei de proteção de dados ............................................ ....................................... 38 1.5 Finalidades de determinação do processador e meios de processamento .......................................... ............... 39 1.6 Subprocessadores .............................................. .................................................. .............................. 39 Ê 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 6/44 Adotada - versão para consulta pública 6 2 CONSEQUÊNCIAS DE CONTROLE CONJUNTO .............................................. .................. 40 2.1 Determinar de forma transparente as respectivas responsabilidades dos controladores conjuntos para conformidade com as obrigações do GDPR ........................................... ..................................... 40 2.2 A atribuição de responsabilidades deve ser feita por meio de um acordo ................................. 42 2.2.1 Forma do acordo .............................................. .................................................. ...... 42 2.2.2. Obrigações para com os titulares dos dados .............................................. .......................................... 43 2.3 Obrigações para com as autoridades de proteção de dados ............................................ .............................. 45 Página 7 O Conselho Europeu de Proteção de Dados Tendo em conta o artigo 70.º, n.º 1, do Regulamento 2016/679 / UE do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao tratamento de pessoas dados e sobre a livre circulação de tais dados, e revogando a Diretiva 95/46 / CE, (doravante "RGPD" ou "o Regulamento"), Tendo em conta o Acordo EEE e, em particular, o Anexo XI e o Protocolo 37 do mesmo, conforme alterado pela Decisão do Comité Misto do EEE n.º 154/2018, de 6 de julho de 2018 1 , Tendo em conta os artigos 12 e 22 de seu Regulamento, Considerando que o trabalhopreparatório dessas diretrizes envolveu a coleta de informações das partes interessadas, tanto por escrito quanto em um evento para as partes interessadas, a fim de identificar os desafios mais urgentes; ADOTOU AS SEGUINTES DIRETRIZES INTRODUÇÃO 1 Este documento visa fornecer orientação sobre os conceitos de controlador e processador com base no As regras do RGPD sobre as definições do artigo 4.º e as disposições sobre as obrigações do capítulo IV. O objetivo principal é 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 7/44 Adotada - versão para consulta pública 7 para esclarecer o significado dos conceitos e para esclarecer os diferentes papéis e a distribuição de responsabilidades entre esses atores. 2 O conceito de controlador e sua interação com o conceito de processador desempenham um papel crucial no aplicação do GDPR, uma vez que determinam quem será responsável pelo cumprimento de diferentes regras de proteção de dados e como os titulares dos dados podem exercer os seus direitos na prática. O GDPR explicitamente introduz o princípio de responsabilidade, ou seja, o controlador deve ser responsável por, e ser capaz de demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais previstos no artigo 5. Além disso, o GDPR também introduz regras mais específicas sobre o uso de processador (es) e alguns dos as disposições sobre o processamento de dados pessoais são dirigidas - não apenas aos controladores - mas também aos processadores. 3 - Portanto, é de suma importância que o significado preciso desses conceitos e dos critérios para a sua correta utilização são suficientemente claros e partilhados na União Europeia e no EEE. 4 - O Grupo de Trabalho do Artigo 29 emitiu orientações sobre os conceitos de controlador / processador em seu parecer 1/2010 (WP169) 2 , a fim de fornecer esclarecimentos e exemplos concretos a respeito destes conceitos. Desde a entrada em vigor do GDPR, muitas questões foram levantadas sobre o que extensão o GDPR trouxe mudanças aos conceitos de controlador e processador e seus respectivos papéis. Foram levantadas questões em particular quanto à substância e implicações do conceito de articulação controladoria (por exemplo, conforme estabelecido no Artigo 26 do RGPD) e às obrigações específicas para os processadores estabelecidas estabelecidas no Capítulo IV (por exemplo, conforme estabelecido no Artigo 28 do RGPD). Portanto, e como a EDPB reconhece que a aplicação concreta dos conceitos carece de maior clarificação, o EDPB agora considera necessário 1 As referências a "Estados-Membros" feitas ao longo deste documento devem ser entendidas como referências a "EEA Estados-Membros ”. 2 Artigo 29.º Parecer do Grupo de Trabalho 1/2010 sobre os conceitos de "controlador" e "processador", adotado em 16 Fevereiro de 2010, 264/10 / EN, WP 169 Página 8 para dar orientações mais desenvolvidas e específicas, a fim de garantir uma consistente e harmonizada abordagem em toda a UE e EEE. As presentes diretrizes substituem a opinião anterior de Grupo de Trabalho 29 sobre estes conceitos (WP169). 5 Na parte I, essas diretrizes discutem as definições dos diferentes conceitos de controlador, controladores, processador e terceiros / destinatários. Na parte II, são fornecidas mais orientações sobre o consequências que estão associadas às diferentes funções de controlador, controladores conjuntos e processador. PARTE I - CONCEITOS 1 OBSERVAÇÕES GERAIS 6 O GDPR, no Artigo 5 (2), introduz explicitamente o princípio da responsabilidade, o que significa que: - o responsável pelo tratamento é responsável pelo cumprimento dos princípios enunciados no artigo 5.º, n.º 1 GDPR; e essa - o responsável pelo tratamento deve ser capaz de demonstrar o cumprimento dos princípios enunciados no artigo 5.º, n.º 1 GDPR. Este princípio foi descrito em um parecer pelo Artigo 29 WP 3 e não será discutido em detalhes aqui. 7 O objetivo de incorporar o princípio de responsabilidade ao RGPD e torná-lo um princípio central foi enfatizar que os controladores de dados devem implementar medidas adequadas e eficazes e ser capaz de demonstrar conformidade. 4 8 O princípio da responsabilidade foi elaborado mais detalhadamente no Artigo 24, que afirma que o controlador deve implementar medidas técnicas e organizacionais adequadas para garantir e ser capaz de demonstrar que o processamento é realizado de acordo com o GDPR. Tais medidas devem ser 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 8/44 Adotada - versão para consulta pública 8 revisado e atualizado, se necessário. O princípio da responsabilidade também se reflete no Artigo 28, queestabelece as obrigações do controlador ao contratar um processador. 9 O princípio da responsabilidade é dirigido diretamente ao controlador. No entanto, alguns dos mais específicos regras são dirigidas a controladores e processadores, tais como as regras sobre autoridades de supervisão ' poderes do artigo 58. Tanto controladores quanto processadores podem ser multados em caso de não cumprimento do obrigações do GDPR que são relevantes para eles e ambos são diretamente responsáveis perante autoridades de supervisão em virtude das obrigações de manter e fornecer documentação mediante solicitação, cooperar em caso de investigação e acatar pedidos. Ao mesmo tempo, deve-se lembrar que os processadores devem sempre cumprir e agir apenas ligado, as instruções do controlador. 10 O princípio da responsabilização, juntamente com as demais regras mais específicas sobre como cumprir o O GDPR e a distribuição de responsabilidades, portanto, torna necessário definir as diferentes funções de vários atores envolvidos em uma atividade de processamento de dados pessoais. 3 Parecer do Grupo de Trabalho do artigo 29.º 3/2010 sobre o princípio da responsabilidade, adotado em 13 de julho de 2010, 00062/10 / EN WP 173. 4 Considerando 74 GDPR Página 9 11 Uma observação geral sobre os conceitos de controlador e processador no GDPR é que eles têm não foi alterado em comparação com a Diretiva 95/46 / CE e que, em geral, os critérios de como atribuir o papéis diferentes permanecem os mesmos. 12 Os conceitos de controlador e processador são conceitos funcionais : eles visam alocar responsabilidades de acordo com os papéis reais das partes. 5 Isso implica que o status legal de um ator como um “Controlador” ou “processador” deve, em princípio, ser determinado por suas atividades reais em um determinado situação, ao invés da designação formal de um ator como sendo um "controlador" ou “Processador” (por exemplo, em um contrato). 6 13 Os conceitos de controlador e processador também são conceitos autônomos no sentido de que, embora fontes externas legais podem ajudar a identificar quem é um controlador, deve ser interpretado principalmente de acordo com conformidade com a legislação da UE em matéria de proteção de dados. O conceito de controlador não deve ser prejudicado por outros - às vezes colidindo ou sobrepondo-se - conceitos em outras áreas do direito, como o criador ou o titular do direito em direitos de propriedade intelectual ou direito da concorrência. 14 Como o objetivo subjacente de atribuir a função de controlador é garantir a responsabilidade e o proteção efetiva e abrangente dos dados pessoais, o conceito de 'controlador' deve ser interpretado de uma forma suficientemente ampla para garantir o pleno efeito da legislação de proteção de dados da UE, para evitar lacunas e prevenir possíveis contornos das regras. 2 DEFINIÇÃO DE CONTROLADOR 2.1 Definição de controlador 15 Um controlador é definido pelo Artigo 4 (7) GDPR como “A pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros , determina as finalidades e meios de tratamento de dados pessoais ; onde o fins e meios de tal tratamento são determinadospela legislação da União ou dos Estados-Membros, o controlador ou os critérios específicos para sua nomeação podem ser fornecidos pela União ou Membro Lei estadual ” . 16 A definição de controlador contém cinco blocos de construção principais, que serão analisados separadamente para os objetivos destas Diretrizes. Eles são os seguintes: 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 9/44 Adotada - versão para consulta pública 9 ▪ “a pessoa física ou jurídica, autoridade pública, agência ou outro órgão” ▪ “determina” ▪ “sozinho ou em conjunto com outros” ▪ “os fins e meios” ▪ “do tratamento de dados pessoais”. 5 Parecer do Grupo de Trabalho do Artigo 29.º 1/2010, WP 169, p. 9 6 Ver também as conclusões do advogado-geral Mengozzi, nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 57, n. ° 68 (“ Para efeitos de determinação do 'controlador' na aceção da Diretiva 95/46, sou inclinado a considerar [...] que o formalismo excessivo tornaria mais fácil contornar as disposições da diretiva 95/46 e que, por conseguinte, é necessário recorrer a uma análise mais factual do que formal […]. ”) Página 10 2.1.1 “Pessoa física ou jurídica, autoridade pública, agência ou outro órgão” 17 O primeiro bloco de construção está relacionado ao tipo de entidade que pode ser um controlador. Sob o GDPR, um o controlador pode ser “ uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão ”. Isso significa que, em princípio, não há limitação quanto ao tipo de entidade que pode assumir a função de controlador. isto pode ser uma organização, mas também pode ser um indivíduo ou um grupo de indivíduos. 7 Na prática, no entanto, geralmente é a organização como tal, e não um indivíduo dentro da organização (como o CEO, um funcionário ou um membro do conselho), que atua como um controlador na acepção do GDPR. No que diz respeito ao processamento de dados dentro de um grupo de empresas, atenção especial deve ser dada à questão de saber se um estabelecimento atua como controlador ou processador, por exemplo, ao processar dados em nome da empresa-mãe. 18 Às vezes, empresas e órgãos públicos nomeiam uma pessoa específica responsável pela implementação das operações de processamento. Mesmo se uma pessoa física específica for nomeada para garantir o cumprimento regras de proteção de dados, esta pessoa não será o controlador, mas agirá em nome da pessoa jurídica (empresa ou órgão público) que será o responsável final em caso de violação das regras em sua capacidade de controlador. 2.1.2 “Determina” 19 O segundo bloco de construção do conceito de controlador refere-se à influência do controlador sobre o processamento, em virtude do exercício do poder de decisão . Um controlador é um corpo que decide certos elementos-chave sobre o processamento. Essa controladoria pode ser definida por lei ou pode ter origem a partir de uma análise dos elementos factuais ou circunstâncias do caso. Deve-se olhar para o específico operações de processamento em questão e entender quem as determina, considerando primeiro o seguintes perguntas: " por que esse processamento está ocorrendo ?" e “ quem decidiu que o processamento deve ocorrer para um propósito específico? ” . Circunstâncias que dão origem ao controle 20 Tendo dito que o conceito de controlador é um conceito funcional, é, portanto, baseado em um conceito factual em vez de uma análise formal . Para facilitar a análise, certas regras práticas e práticas presunções podem ser usadas para orientar e simplificar o processo. Na maioria das situações, o "determinante corpo "pode ser facilmente e claramente identificado por referência a certas circunstâncias legais e / ou factuais da qual normalmente se pode inferir “influência”, a menos que outros elementos indiquem o contrário. Dois podem ser distinguidas categorias de situações: (1) controle decorrente de dispositivos legais ; e (2) controle decorrente de influência factual . 1) Controle decorrente de dispositivos legais 21 Há casos em que o controle pode ser inferido da competência legal explícita, por exemplo, quando o controlador ou os critérios específicos para a sua nomeação são determinados pela legislação nacional ou da União. Na verdade, o Artigo 4 (7) afirma que " quando os fins e meios de tal processamento são determinados pela União ou Membro 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 10/44 Adotada - versão para consulta pública 10 A legislação estadual, o controlador ou os critérios específicos para sua nomeação podem ser previstos pela União ou Legislação dos Estados-Membros. "Onde o controlador for especificamente identificado por lei, ele será determinante para estabelecer quem está atuando como controlador. Isso pressupõe que o legislador tenha designada como controladora a entidade com capacidade genuína de exercer controle. Em alguns países, o 7 Por exemplo, no seu julgamento nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75, o TJUE considerou que uma comunidade religiosa de testemunhas de Jeová atuou como um controlador, juntamente com seu indivíduo membros. Julgamento nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75. Página 11 a legislação nacional estabelece que as autoridades públicas são responsáveis pelo processamento de dados pessoais no contexto das suas funções. 22 No entanto, mais comumente, ao invés de nomear diretamente o controlador ou estabelecer os critérios para sua nomeação, a lei estabelecerá uma tarefa ou imporá a alguém o dever de coletar e processar certos dados. Nesses casos, o objetivo do processamento é frequentemente determinado pela lei. o controlador será normalmente aquele designado por lei para a realização dessa finalidade, este público tarefa. Por exemplo, este seria o caso em que uma entidade a quem são confiadas certas tarefas públicas (por exemplo, segurança social) que não pode ser cumprida sem coletar pelo menos alguns dados pessoais, configura um banco de dados ou registro para cumprir essas tarefas públicas. Nesse caso, a lei, ainda que indiretamente, estabelece quem é o controlador. De forma mais geral, a lei também pode impor uma obrigação ao público ou entidades privadas para reter ou fornecer certos dados. Essas entidades normalmente seriam consideradas como controladores no que diz respeito ao processamento necessário ao cumprimento desta obrigação. Exemplo: disposições legais A legislação nacional do país A estabelece a obrigação de as autoridades municipais fornecerem benefícios de bem-estar social, como pagamentos mensais aos cidadãos, dependendo de suas finanças situação. Para efetuar esses pagamentos, o município deve arrecadar e processar dados sobre a situação financeira dos candidatos. Mesmo que a lei não declarar explicitamente que as autoridades municipais são os controladores desse processamento, segue implicitamente das disposições legais. 2) Controle decorrente de influência factual 23 Na ausência de controle decorrente de dispositivos legais, a qualificação de uma parte como controlador deve ser estabelecida com base na avaliação das circunstâncias factuais que envolvem o processamento. Todas as circunstâncias factuais relevantes devem ser levadas em consideração a fim de se chegar a uma conclusão quanto a se uma determinada entidade exerce uma influência determinante no que diz respeito ao processamento de dados pessoais em questão. 24 A necessidade de avaliação factual também significa que o papel de um controlador não decorre da natureza de uma entidade que está processando dados, mas a partir de suas atividades concretas em um contexto específico. Em outras palavras, a mesma entidade pode atuar ao mesmo tempo como controladora para certas operações de processamento e como processador para outros, e a qualificação como controlador ou processador deve ser avaliadaem relação a cada atividade específica de processamento de dados. 25 Na prática, certas atividades de processamento podem ser consideradas como naturalmente ligadas à função ou atividades de uma entidade, em última análise, implicando responsabilidades do ponto de vista da proteção de dados. Isso pode ser devido a disposições legais mais gerais ou a uma prática legal estabelecida em diferentes áreas (direito civil, comercial direito, direito do trabalho, etc.). Neste caso, funções tradicionais existentes e experiência profissional que normalmente implicar uma certa responsabilidade ajudará na identificação do controlador, por exemplo, um empregador em relação para processar dados pessoais sobre seus funcionários, um editor que processa dados pessoais sobre seu assinantes ou uma associação que processa dados pessoais sobre seus membros ou colaboradores. Quando um entidade se envolve no processamento de dados pessoais como parte de suas interações com seus próprios funcionários, clientes ou membros, geralmente será aquele que efetivamente pode determinar o propósito e 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 11/44 Adotada - versão para consulta pública 11 significa em torno do processamento e, portanto, atua como um controlador dentro do significado do GDPR. Página 12 Adotada - versão para consulta pública 12 Exemplo: escritórios de advocacia A empresa ABC contrata um escritório de advocacia para representá-la em uma disputa. Para realizar esta tarefa, o escritório de advocacia precisa processar os dados pessoais relacionados ao caso. Os motivos do processamento os dados pessoais são mandato do escritório de advocacia para representar o cliente em tribunal. Este mandato no entanto, não se destina especificamente ao processamento de dados pessoais. O escritório de advocacia atua com um grau significativo de independência, por exemplo, na decisão de quais informações usar e como para usá-lo, e não há instruções da empresa cliente sobre os dados pessoais em processamento. O processamento que o escritório de advocacia realiza para cumprir a tarefa como legal representante da empresa está, portanto, ligado ao papel funcional do escritório de advocacia que deve ser considerado como controlador desse processamento. 26 Em muitos casos, uma avaliação dos termos contratuais entre as diferentes partes envolvidas pode facilitar a determinação de qual parte (ou partes) está atuando como controlador. Mesmo se um contrato for silencioso quanto a quem é o controlador, pode conter elementos suficientes para inferir quem exerce uma tomada de decisão função no que diz respeito aos fins e meios de processamento. Também pode ser que o contrato contém uma declaração explícita quanto à identidade do controlador. Se não há razão para duvidar disso isso reflete com precisão a realidade, não há nada contra seguir os termos do contrato. No entanto, os termos de um contrato não são decisivos em todas as circunstâncias, pois isso simplesmente permitiria as partes atribuam responsabilidades como acharem adequado. Não é possível se tornar um controlador ou escapar das obrigações do controlador simplesmente moldando o contrato de uma certa maneira, onde o as circunstâncias dizem outra coisa. 27 Se uma parte de fato decidir por que e como os dados pessoais são processados, essa parte será o controlador mesmo que um contrato diga que se trata de um processador. Da mesma forma, não é porque um contrato comercial usa o termo "subcontratado" que uma entidade deve ser considerada um processador do ponto de vista dos dados lei de proteção. 8 28 Em linha com a abordagem factual, a palavra "determina" significa que a entidade que realmente exerce influência sobre os objetivos e meios de processamento é o controlador. Normalmente, um processador acordo estabelece quem são a parte determinante (controlador) e a parte instruída (processador). Mesmo que o processador ofereça um serviço previamente definido de uma forma específica, o controlador deve ser apresentado com uma descrição detalhada do serviço e deve tomar a decisão final para ativamente aprovar a forma como o processamento é realizado e poder solicitar alterações, se necessário. Além disso, o processador não pode, em um estágio posterior, alterar os elementos essenciais do processamento sem a aprovação do controlador. 2.1.3 “Sozinho ou em conjunto com outros” 29 O Artigo 4 (7) reconhece que os "fins e meios" do tratamento podem ser determinados por mais de um ator. Afirma que o controlador é o ator que "sozinho ou em conjunto com outros" determina os objetivos e meios do processamento. Isso significa que várias entidades diferentes podem atuar como controladores para o mesmo processamento, sendo cada um deles sujeito aos dados aplicáveis 8 Ver, por exemplo, Artigo 29 do Grupo de Trabalho de Proteção de Dados, Parecer 10/2006 sobre o processamento de dados pessoais pelo Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 de novembro de 2006, WP128, p. 11 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 12/44 Página 13 Adotada - versão para consulta pública 13 disposições de proteção. Correspondentemente, uma organização ainda pode ser um controlador, mesmo que não faça todas as decisões quanto a propósitos e meios. Os critérios de controladoria conjunta e em que medida dois ou mais atores exercem o controle em conjunto podem assumir diferentes formas, conforme será esclarecido posteriormente. 9 2.1.4 "Objetivos e meios" 30 O quarto bloco de construção da definição do controlador refere-se ao objeto de influência do controlador, nomeadamente os “fins e meios” do tratamento. Ele representa a parte substantiva do conceito de controlador: o que uma parte deve determinar para se qualificar como controlador. 31 Os dicionários definem "propósito" como "um resultado antecipado pretendido ou que orienta o seu planejamento ações ”e“ meios ”como“ como um resultado é obtido ou um fim é alcançado ”. 32 O GDPR estabelece que os dados devem ser coletados para fins específicos, explícitos e legítimos e não posteriormente processado de forma incompatível com esses fins. Determinação dos "objetivos" de o processamento e os "meios" para alcançá-los são, portanto, particularmente importantes. 33 Determinar os objetivos e os meios equivale a decidir, respectivamente, o "por que" e o "como" do processamento: 10 dada uma operação de processamento particular, o controlador é o ator que tem determinou porque o processamento está ocorrendo (ou seja, "para que fim"; ou "para quê") e como isso objetivo deve ser alcançado (isto é, que meios devem ser empregados para atingir o objetivo). Um natural ou pessoa jurídica que exerce tal influência sobre o tratamento de dados pessoais, participando assim de a determinação das finalidades e meios desse processamento de acordo com a definição em Artigo 4 (7) do RGPD. 11 34 O controlador deve decidir sobre a finalidade e os meios de processamento, conforme descrito abaixo. Como um resultado, o controlador não pode resolver apenas determinando o propósito. Ele também deve tomar decisões sobre os meios de processamento . Por outro lado, a parte que atua como processador nunca pode determinar o finalidade do processamento. 35 Na prática, se um controlador contrata um processador para realizar o processamento em seu nome, isso geralmente significa que o processador deve ser capaz de tomar certas decisões sobre como realizar o processamento. A EDPB reconhece que pode existir alguma margem de manobra para que o processador também seja capaz de tomar algumas decisões em relação ao processamento. Nessa perspectiva, é necessário fornecer orientação sobre qual nível de influência sobre o "porquê" e o "como" deve implicar a qualificação de uma entidade como um controlador e até que ponto um processador pode tomar decisões porconta própria. 36 Quando uma entidade determina claramente os propósitos e meios, confiando a outra entidade o processamento atividades que equivalem à execução de suas instruções detalhadas, a situação é simples, e não há dúvida de que a segunda entidade deve ser considerada como um processador, enquanto a primeira entidade é o controlador. Meios essenciais vs. não essenciais 37 A questão é onde traçar a linha entre as decisões que são reservadas ao controlador e decisões que podem ser deixadas ao critério do processador. Decisões sobre a finalidade do processamento são claramente sempre para o controlador fazer. 9 Ver seção 3, p.15 10 Ver também as conclusões do advogado-geral Bot no processo Wirtschaftsakademie , C ‑ 210/16, ECLI: EU: C: 2017: 796, parágrafo 46. 11 Sentença nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 68. Página 14 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 13/44 Adotada - versão para consulta pública 14 38 No que diz respeito à determinação dos meios, pode ser feita uma distinção entre essenciais e não essenciais. significa. "Meios essenciais" estão intimamente ligados ao propósito e ao escopo do processamento e são tradicional e inerentemente reservado ao controlador. Exemplos de meios essenciais são o tipo de dados pessoais que são processados (" quais dados devem ser processados ?"), a duração do processamento (" Por quanto tempo eles devem ser processados? "), As categorias de destinatários (" quem deve ter acesso a eles? ”) E as categorias dos titulares dos dados (“ cujos dados pessoais estão a ser tratados? ”). "Não- meios essenciais ”referem-se a aspectos mais práticos da implementação, como a escolha de um determinado tipo de hardware ou software ou as medidas de segurança detalhadas que podem ser deixadas para o processador decidir sobre. Exemplo: administração da folha de pagamento O empregador A contrata outra empresa para administrar o pagamento dos salários de seus funcionários. O empregador A dá instruções claras sobre quem pagar, quais valores, em que data, em que banco, por quanto tempo os dados devem ser armazenados, quais dados devem ser divulgados para a autoridade fiscal etc. Neste caso, o processamento de dados é realizado para o propósito da Empresa A de pagar salários aos seus funcionários e o administrador da folha de pagamento não pode usar os dados para qualquer finalidade de sua próprio. A maneira pela qual o administrador da folha de pagamento deve realizar o processamento é basicamente claramente e rigidamente definido. No entanto, o administrador da folha de pagamento pode decidir sobre certos assuntos detalhados sobre o processamento, como qual software usar, como distribuir acesso dentro de sua própria organização, etc. Isso não altera seu papel como processador, desde que o administrador não vai contra ou além das instruções fornecidas pela Empresa A. Exemplo: pagamentos bancários Como parte das instruções do Empregador A, a administração da folha de pagamento transmite informações ao Banco B para que possam efetuar o pagamento efetivo aos funcionários do Empregador A. Este atividade inclui o processamento de dados pessoais pelo Banco B, que realiza com o propósito de exercício de atividade bancária. Dentro desta atividade, o banco decide independentemente de Empregador A sobre quais dados devem ser processados para fornecer o serviço, por quanto tempo o os dados devem ser armazenados, etc. O empregador A não pode ter qualquer influência sobre a finalidade e os meios de Processamento de dados do Banco B. O Banco B deve, portanto, ser visto como um controlador para este processamento e a transmissão de dados pessoais da administração da folha de pagamento deve ser considerada como um divulgação de informações entre dois controladores, do Empregador A ao Banco B. Exemplo: Contadores O empregador A também contrata a empresa de contabilidade C para realizar auditorias de sua contabilidade e, portanto, transfere dados sobre transações financeiras (incluindo dados pessoais) para C. Empresa de contabilidade C processa esses dados sem instruções detalhadas de A. A empresa de contabilidade C decide por si mesma, em de acordo com as disposições legais que regulam as atribuições das atividades de auditoria realizadas pela C, que os dados que coleta serão processados apenas para fins de auditoria A e determina quais dados ele precisa ter, quais categorias de pessoas precisam ser registradas, por quanto tempo os dados devem ser mantidos e quais os meios técnicos a serem usados. Sob essas circunstâncias, A empresa de contabilidade C deve ser considerada como controladora própria ao realizar sua auditoria serviços para A. No entanto, esta avaliação pode ser diferente dependendo do nível de Página 15 instruções de A. Em uma situação em que a lei não estabeleça obrigações específicas para o empresa de contabilidade e a empresa cliente fornecem instruções muito detalhadas sobre o processamento, a firma de contabilidade estaria de fato atuando como um processador. Uma distinção pode ser feita entre uma situação em que o processamento é - de acordo com as leis que regulam este profissão - feito como parte da atividade principal da empresa de contabilidade e onde o processamento é um tarefa acessória mais limitada que é realizada no âmbito da atividade da empresa cliente. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 14/44 Adotada - versão para consulta pública 15 Exemplo: serviços de hospedagem O empregador A contrata o serviço de hospedagem H para armazenar dados criptografados nos servidores de H. O serviço de hospedagem H não determina se os dados que hospeda são dados pessoais nem processa dados em qualquer outra forma que não seja armazená-lo em seus servidores. Como o armazenamento é um exemplo de dados pessoais atividade de processamento, o serviço de hospedagem H está processando dados pessoais em nome do empregador A e é, portanto, um processador. O empregador A deve fornecer as instruções necessárias para H sobre, para exemplo, quais medidas de segurança técnicas e organizacionais são necessárias e um dado acordo de processamento de acordo com o artigo 28º. H deve ajudar A a garantir que as medidas de segurança necessárias sejam tomadas e notifique-o no caso de quaisquer dados pessoais violação. 39 Mesmo que as decisões sobre meios não essenciais possam ser deixadas para o processador, o controlador ainda deve estipular certos elementos no contrato do processador, como - em relação ao título requisito, por exemplo, uma instrução para tomar todas as medidas exigidas de acordo com o Artigo 32 do RGPD. o acordo também deve estabelecer que o processador deve ajudar o controlador a garantir o cumprimento, por exemplo, o Artigo 32. Em qualquer caso, o controlador permanece responsável pela implementação de medidas técnicas e organizacionais adequadas para garantir e ser capaz de demonstrar que o o tratamento é efectuado em conformidade com o regulamento (artigo 24.º). Ao fazer isso, o controlador deve levar em consideração a natureza, escopo, contexto e finalidades do processamento, bem como os riscos para direitos e liberdades das pessoas singulares. Por este motivo, o controlador deve ser totalmente informado sobre os meios que são utilizados para que possa tomar uma decisão informada a este respeito. Para que o controlador para poder demonstrar a legalidade do tratamento, é aconselhável documentar em as medidas técnicas e organizacionais mínimas necessárias no contrato ou outras medidas juridicamente vinculativas instrumento entre o controlador e o processador. 2.1.5 “Do tratamento de dados pessoais” 40 Os objetivos e meios determinados pelo controlador devem estar relacionados ao "processamento de pessoal dados". O Artigo 4 (2) GDPR define o processamento de dados pessoais como “qualquer operação ou conjunto de operações que é realizado em dados pessoais ou em conjuntos de dados pessoais ”. Como resultado, o conceito de um controlador pode ser vinculado a uma única operação de processamento ou a um conjunto de operações. Na prática, isso pode significa que o controle exercido por uma determinada entidade pode se estender à totalidade do processamento em questão mas também pode ser limitado a um estágio particular do processamento. 12 12 Acórdão Fashion ID , C ‑ 40/17, ECLI: EU: C: 2019: 629, n. ° 74: “ (A) s, o advogado-geral observou, [...-] parece que uma pessoa singular ou colectiva pode ser responsável pelo tratamento, na acepção do artigo 2.º, alínea d), da Directiva 95/46, em conjunto com outros apenas em relação a operações envolvendo o processamento de dados pessoais para as quais determina Página 16 41 Qualquer pessoa que decida processar dados deve considerar se isso inclui dados pessoais e, em caso afirmativo, quais são as obrigações de acordo com o GDPR. Um ator será considerado um "controlador" mesmo que não visa deliberadamente dados pessoais como tais ou avaliou erroneamente que não processa dados pessoais. 42 Não é necessário que o controlador realmente tenha acesso aos dados que estão sendo processados 13 . Alguém quem terceiriza uma atividade de processamento e, ao fazê-lo, tem uma influência determinante na finalidade e meios (essenciais) de processamento (por exemplo, ajustando os parâmetros de um serviço de tal forma que influências cujos dados pessoais devem ser processados), deve ser considerado como controlador, embora ele ou ela nunca terá acesso real aos dados . 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 15/44 Adotada - versão para consulta pública 16 Exemplo: pesquisa de mercado A empresa ABC deseja entender quais tipos de consumidores têm maior probabilidade de se interessar em seus produtos e contratos um provedor de serviços, XYZ, para obter as informações relevantes. A empresa ABC instrui XYZ sobre o tipo de informação em que está interessada e fornece uma lista de perguntas a serem feitas aos participantes da pesquisa de mercado. A empresa ABC recebe apenas informações estatísticas (por exemplo, identificando tendências de consumo por região) de XYZ e não tem acesso aos dados pessoais em si. No entanto, empresa ABC decidiu que o processamento deveria ocorrer, o processamento é realizado para o seu propósito e sua atividade e forneceu a XYZ instruções detalhadas sobre quais informações coletar. A empresa ABC, portanto, ainda deve ser considerada uma controladora em relação à processamento de dados pessoais que ocorre a fim de fornecer as informações que possui Requeridos. XYZ só pode processar os dados para os fins fornecidos pela Empresa ABC e de acordo com suas instruções detalhadas e, portanto, deve ser considerado um processador. 3 DEFINIÇÃO DE CONTROLADORES DE JUNTA 3.1 Definição de controladores conjuntos 43 A qualificação como controladores conjuntos pode surgir quando mais de um ator está envolvido no processamento. 44 Embora o conceito não seja novo e já existisse ao abrigo da Diretiva 95/46 / CE, o GDPR, no seu artigo 26.º, introduz regras específicas para controladores conjuntos e define uma estrutura para governar seu relacionamento. No em conjunto os fins e meios. Em contrapartida, essa [...] pessoa singular ou coletiva não pode ser considerada um controlador, na aceção dessa disposição, no contexto das operações que precedem ou são subsequentes em a cadeia geral de processamento para a qual essa pessoa não determina os propósitos ou os meios ”. 13 Acórdão Wirtschaftsakademie , C-201/16, ECLI: EU: C: 2018: 388, n.o 38. Página 17 além disso, o Tribunal de Justiça da União Europeia (TJUE), em acórdãos recentes, trouxe esclarecimentos sobre este conceito e suas implicações 14 . 45 Conforme desenvolvido na Parte II, seção 2, a qualificação de controladores conjuntos terá principalmente consequências em termos de atribuição de obrigações para o cumprimento das regras de proteção de dados e em em particular no que diz respeito aos direitos dos indivíduos. 46 Nessa perspectiva, a seção a seguir tem como objetivo fornecer orientações sobre o conceito de controladores conjuntos de acordo com o GDPR e a jurisprudência do CJEU para ajudar as entidades a determinar onde podem atuar como controladores conjuntos e aplicar o conceito na prática. 3.2 Existência de controladoria conjunta 3.2.1 Considerações gerais 47 A definição de controlador no artigo 4.º, n.º 7, do RGPD constitui o ponto de partida para a determinação da junta controladoria. As considerações nesta seção estão, portanto, diretamente relacionadas e complementam o considerações na seção sobre o conceito de controlador. Como consequência, a avaliação da articulação a controladoria deve espelhar a avaliação do controle "único" desenvolvida acima. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 16/44 Adotada - versão para consulta pública 17 48 O Artigo 26 do RGPD, que reflete a definição do Artigo 4 (7) do RGPD, estabelece que “[w] aqui dois ou mais os controladores determinam em conjunto as finalidades e os meios de processamento, eles devem ser os controladores conjuntos. ” No termos amplos, a controladoria conjunta existe no que diz respeito a uma atividade de processamento específica quando diferente as partes determinam em conjunto a finalidade e os meios dessa atividade de processamento. Portanto, avaliando o existência de controladores conjuntos requer o exame se a determinação de propósitos e meios que caracterizam um controlador são decididas por mais de uma parte. “Conjuntamente” deve ser interpretado como significando “junto com” ou “não sozinho”, em diferentes formas e combinações, conforme explicado a seguir. 49. A avaliação da controladoria conjunta deve ser realizada com base em uma análise factual, e não formal da influência real nas finalidades e meios de processamento. Todos existentes ou previstos arranjos devem ser verificados contra as circunstâncias factuais sobre a relação entre as festas. Um critério meramente formal não seria suficiente por pelo menos duas razões: em alguns casos, a nomeação formal de um controlador conjunto - prevista, por exemplo, por lei ou em contrato - seria ausente; em outros casos, pode ser que a nomeação formal não reflita a realidade do acordos, ao confiar formalmente a função de controlador a uma entidade que, na verdade, não está no posição para "determinar" as finalidades e meios do processamento. 50 Nem todas as operações de processamento envolvendo entidades diversas dão origem a controladoria conjunta. O abrangente critério de existência de controladoria conjunta é a participação conjunta de duas ou mais entidades no determinação das finalidades e meios de uma operação de processamento. Mais especificamente, a participação deve incluir a determinação de propósitos por um lado e a determinação 14 Ver, em particular, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie , (C- 210/16), Tietosuojavaltuutettu v Jehovan todistajat - uskonnollinen yhdyskunta (C-25/17), Fashion ID GmbH & Co. KG contra Verbraucherzentrale NRW eV ( C-40/17). Note-se que, embora esses julgamentos tenham sido emitidos pelo CJUE sobre a interpretação do conceito de controladores conjuntos nos termos da Diretiva 95/46 / CE, eles permanecem válidos no contexto do GDPR, dado que os elementos que determinam este conceito no GDPR permanecem os mesmos que nos termos da directiva. Página 18 de meios, por outro lado. Se cada um desses elementos for determinado por todas as entidades envolvidas, eles devem ser considerados controladores conjuntos do processamento em questão. 3.2.2 Avaliação da participação conjunta 51 A participação conjunta na determinação de objetivos e meios implica quemais de uma entidade tenha uma influência decisiva sobre se e como o processamento ocorre. Na prática, a participação conjunta pode assumir várias formas diferentes. Por exemplo, a participação conjunta pode assumir a forma de um comum decisão tomada por duas ou mais entidades ou resultado da convergência de decisões de duas ou mais entidades quanto aos fins e meios essenciais. 52 A participação conjunta através de uma decisão comum significa decidir em conjunto e envolve uma intenção de acordo com o entendimento mais comum do termo "em conjunto" referido em Artigo 26 do GDPR. 53 A situação de participação conjunta por meio de decisões convergentes resulta mais particularmente da jurisprudência do TJUE sobre o conceito de controladores conjuntos. As decisões podem ser consideradas convergentes em fins e meios se eles se complementam e são necessários para que o processamento tome colocar de forma que tenham impacto tangível na determinação dos propósitos e meio de processamento . Como tal, um critério importante para identificar decisões convergentes neste contexto é se o processamento não seria possível sem a participação de ambas as partes no sentido que o processamento por cada parte é inseparável, ou seja, inextricavelmente vinculado. A situação do conjunto controladores agindo com base em decisões convergentes devem, no entanto, ser distinguidos do caso de um processador, uma vez que este - enquanto participa do desempenho de um processamento - não processa os dados para seus próprios fins, mas realiza o processamento em nome do responsável pelo tratamento. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 17/44 Adotada - versão para consulta pública 18 54 O fato de uma das partes não ter acesso aos dados pessoais processados não é suficiente para excluir controladoria conjunta 15 . Por exemplo, nas Testemunhas de Jeová , o TJUE considerou que um comunidade religiosa deve ser considerada um controlador, juntamente com seus membros que se engajam em pregação, do tratamento de dados pessoais efectuado por esta última no âmbito da porta a porta pregação. 16 O TJUE considerou que não era necessário que a comunidade tivesse acesso aos dados em questão, ou para estabelecer que essa comunidade deu aos seus membros orientações por escrito ou instruções em relação ao processamento de dados. 17 A comunidade participou da determinação de fins e meios para organizar e coordenar as atividades dos seus membros, o que ajudou a alcançar o objetivo da comunidade das Testemunhas de Jeová. 18 Além disso, a comunidade tinha conhecimento em um nível geral do fato de que tal processamento foi realizado a fim de difundir sua fé. 19 55 Também é importante sublinhar, conforme esclarecido pelo TJEU, que entidade será considerada solidária controlador com o (s) outro (s) apenas em relação às operações para as quais determina, em conjunto com outros, os meios e os fins do processamento. Se uma dessas entidades decidir sozinha, o 15 Acórdão Wirtschaftsakademie , C-210/16, ECLI: EU: C: 2018: 388, n.o 38. 16 Julgamento nas testemunhas de Jeová, C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75. 17 Ibid. 18 Ibid, parágrafo 71. 19 Ibid. Página 19 fins e meios de operações que precedem ou são subsequentes na cadeia de processamento, este entidade deve ser considerada como o único controlador desta operação anterior ou subsequente 20 . 56 A existência de responsabilidade conjunta não implica necessariamente responsabilidade igual das várias operadores envolvidos no tratamento de dados pessoais. Pelo contrário, o TJEU esclareceu que esses operadores podem estar envolvidos em diferentes estágios desse processamento e em diferentes graus para que o nível de responsabilidade de cada um deles deve ser avaliado em relação a todos os circunstâncias do caso particular. 3.2.2.1 Propósito (s) determinado (s) em conjunto 57 A controladoria conjunta existe quando entidades envolvidas na mesma operação de processamento processam esses dados para fins definidos em conjunto. Este será o caso se as entidades envolvidas processarem os dados para o mesmo, ou propósitos comuns. 58 Além disso, quando as entidades não tiverem a mesma finalidade de processamento, a controladoria solidária também podem, à luz da jurisprudência do TJUE, ser constituídas quando as entidades envolvidas prossigam fins que estão intimamente ligados ou complementares. Esse pode ser o caso, por exemplo, quando há um benefício decorrente da mesma operação de processamento, desde que cada uma das entidades envolvidas participa na determinação das finalidades e meios da operação de processamento relevante. No Fashion ID , por exemplo, o CJEU esclareceu que um operador de site participa da determinação das finalidades (e meios) do processamento, incorporando um plug-in social em um site, a fim de otimizar a publicidade de seus produtos, tornando-os mais visíveis na rede social. O CJEU considerou que as operações de processamento em questão foram realizadas no interesse económico de ambos o operador do site e o provedor do plug-in social. 21 59. Da mesma forma, conforme observado pelo CJEU em Wirtschaftsakademie , o processamento de dados pessoais por meio de estatísticas de visitantes de uma página de fãs têm como objetivo permitir que o Facebook melhore seu sistema de publicidade transmitido através de sua rede e para permitir ao administrador da fan page obter estatísticas para gerir a promoção da sua atividade. 22 Cada entidade, neste caso, persegue seu próprio interesse, mas ambas as partes participar na determinação das finalidades (e meios) do processamento de dados pessoais como diz respeito aos visitantes da página de fãs. 23 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 18/44 Adotada - versão para consulta pública 19 60 A este respeito, é importante destacar que a mera existência de benefício mútuo (por ex. comercial) decorrente de uma atividade de processamento não dá origem a controladoria conjunta. Se a entidade envolvida no processamento não persegue qualquer propósito (s) próprio em relação ao processamento atividade, mas está apenas sendo pago por serviços prestados, está agindo como um processador, e não como um conjunto controlador. 3.2.2.2 Meios determinados em conjunto 61 A controladoria conjunta também exige que duas ou mais entidades tenham exercido influência sobre os meios de o processamento. Isso não significa que, para que exista a controladoria conjunta, cada entidade envolvida precisa de todos os casos para determinar todos os meios. Na verdade, conforme esclarecido pelo CJEU, diferentes entidades podem ser 20 Acórdão no Fashion ID , C-40/17, ECLI: EU: 2018: 1039, parágrafo 74 " Em contraste, e sem prejuízo de qualquer responsabilidade civil prevista na legislação nacional a este respeito, essa pessoa singular ou colectiva não pode ser considerada como um controlador, na aceção dessa disposição, no contexto das operações que precedem ou são subsequentes em a cadeia geral de processamento para a qual essa pessoa não determina os propósitos ou os meios ”. 21 Acórdão no Fashion ID, C-40/17, ECLI: EU: 2018: 1039, parágrafo 80. 22 Acórdão Wirtschaftsakademie , C-210/16, ECLI: EU: C: 2018: 388, n.o 34. 23 Acórdão Wirtschaftsakademie, C-210/16, ECLI: EU: C: 2018: 388, n.o 39. Página 20 envolvidos em diferentes estágios desse processamento e em diferentes graus. Diferentes controladores conjuntos podem portanto, definem os meios de processamento em uma extensão diferente, dependendo de quem está efetivamente em uma posição para fazê-lo. 62 Também pode ser o caso de uma das entidades envolvidas fornecer os meios de processamento e disponibiliza-o para atividades de processamento de dados pessoais por outras entidades. A entidade que decide fazer uso desses meios para que os dados pessoais também possam ser processados para uma finalidadeespecífica participa na determinação dos meios de processamento. 63 Este cenário pode surgir notavelmente no caso de plataformas, ferramentas padronizadas ou outra infraestrutura que permite as partes processem os mesmos dados pessoais e que tenham sido configurados de uma determinada forma por um dos as partes a serem utilizadas por outros que também podem decidir como configurá-lo 24 . O uso de um já existente sistema técnico não exclui a controladoria conjunta quando os usuários do sistema podem decidir sobre o tratamento de dados pessoais a realizar neste contexto. 64 A título de exemplo, o CJEU realizou em Wirtschaftsakademie que o administrador de uma fan page hospedado no Facebook, definindo parâmetros com base no seu público-alvo e nos objetivos do gestão e promoção de suas atividades, deve ser considerada como participante na determinação do meios de tratamento de dados pessoais relativos aos visitantes da sua fan page. 65 Além disso, a escolha feita por uma entidade de usar para seus próprios fins uma ferramenta ou outro sistema desenvolvido por outra entidade, permitindo o processamento de dados pessoais, provavelmente equivalerá a uma decisão sobre os meios desse tratamento por essas entidades. Isso decorre do caso do Fashion ID, onde o CJEU concluiu, que ao incorporar no seu site o botão Curtir do Facebook disponibilizado pela Facebook para operadores de sites, Fashion ID hasex exerceu uma influência decisiva em relação às operações envolvendo a recolha e transmissão dos dados pessoais dos visitantes do seu site para o Facebook e, assim, determinou em conjunto com o Facebook os meios desse processamento 25 . 66 É importante sublinhar que a utilização de um sistema ou infraestrutura comum de processamento de dados irá nem em todos os casos conduzem a qualificar as partes envolvidas como controladores conjuntos, em particular quando o o processamento que realizam é separável e pode ser realizado por uma das partes sem a intervenção de o outro ou quando o provedor é um processador na ausência de qualquer propósito próprio (a existência de um mero benefício comercial para as partes envolvidas não é suficiente para qualificar como um propósito de em processamento). Exemplo: agência de viagens Uma agência de viagens envia dados pessoais de seus clientes para a companhia aérea e uma rede de hotéis, com 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 19/44 Adotada - versão para consulta pública 20 com o objetivo de fazer reservas para um pacote de viagem. A companhia aérea e o hotel confirmam o disponibilidade dos lugares e quartos solicitados. A agência de viagens emite os documentos de viagem e vouchers para seus clientes. Cada um dos atores processa os dados para a realização de seus atividades próprias e com meios próprios. Neste caso, a agência de viagens, a companhia aérea e a 24 O provedor do sistema pode ser um controlador conjunto se os critérios mencionados acima forem atendidos, ou seja, se o provedor participa da determinação de propósitos e meios. Caso contrário, o provedor deve ser considerado como um processador. 25 Acórdão no Fashion ID, C-40/17, ECLI: EU: 2018: 1039, parágrafos 77-79. Página 21 hotel são três controladores de dados diferentes que processam os dados para seus próprios fins e não há controladoria conjunta. A agência de viagens, a rede de hotéis e a companhia aérea decidem então participar conjuntamente da configuração uma plataforma comum baseada na Internet com o propósito comum de fornecer viagens organizadas promoções. Eles concordam sobre os meios essenciais a serem usados, como quais dados serão armazenados, como as reservas serão atribuídas e confirmadas, e quem pode ter acesso às informações armazenado. Além disso, eles decidem compartilhar os dados de seus clientes, a fim de realizar ações conjuntas de marketing. Nesse caso, a agência de viagens, a companhia aérea e a rede hoteleira, em conjunto determinar por que e como os dados pessoais de seus respectivos clientes são processados e portanto, ser controladores conjuntos no que diz respeito às operações de processamento relativas ao plataforma de reservas baseada na Internet e as ações de marketing conjuntas. No entanto, cada um deles ainda manteria o controle exclusivo no que diz respeito a outras atividades de processamento fora da internet- plataforma comum baseada. Exemplo: projeto de pesquisa por institutos Vários institutos de pesquisa decidem participar de um projeto específico de pesquisa conjunta e usar para o efeito, a plataforma existente de um dos institutos envolvidos no projeto. Cada instituto alimenta os dados pessoais que mantém na plataforma para fins de pesquisa conjunta e usa os dados fornecidos por terceiros por meio da plataforma de realização da pesquisa. Nesse caso, todos os institutos se qualificam como controladores conjuntos para o processamento de dados pessoais que é feito através do armazenamento e divulgar informações desta plataforma, uma vez que decidiram juntos o propósito do processamento e dos meios a serem utilizados (plataforma existente). Cada um dos institutos no entanto, é um controlador separado para qualquer outro processamento que possa ser realizado fora do plataforma para seus respectivos fins. Exemplo: operação de marketing As empresas A e B lançaram um produto de marca conjunta C e desejam organizar um evento para promover este produto. Para esse fim, eles decidem compartilhar dados de seus respectivos clientes e banco de dados de clientes potenciais e decidir sobre a lista de convidados para o evento com base nisso. Eles também concordam sobre as modalidades de envio dos convites para o evento, como coletar feedback durante o eventos e ações de marketing de acompanhamento. As empresas A e B podem ser consideradas conjuntas controladores para o processamento de dados pessoais relacionados com a organização da promoção evento conforme eles decidem juntos sobre a finalidade definida em conjunto e os meios essenciais dos dados processamento neste contexto. Exemplo: ensaios clínicos 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 20/44 Adotada - versão para consulta pública 21 Um provedor de saúde (o investigador) e uma universidade (o patrocinador) decidem lançar juntos um ensaio clínico com o mesmo propósito. Eles colaboram juntos para a elaboração do protocolo do estudo (ou seja, objetivo, metodologia / desenho do estudo, dados a serem coletados, sujeito critérios de exclusão / inclusão, reutilização da base de dados (quando relevante), etc.). Eles podem ser considerados como controladores conjuntos, para este ensaio clínico, uma vez que determinam e concordam em conjunto com o mesmo propósito e os meios essenciais do processamento. A coleta de dados pessoais do médico Página 22 registro do paciente para fins de pesquisa deve ser distinguido do armazenamento e uso dos mesmos dados para fins de atendimento ao paciente, para o qual o provedor de saúde permanece o controlador. Caso o investigador não participe da elaboração do protocolo (ele apenas aceita o protocolo já elaborado pelo patrocinador), e o protocolo é desenhado apenas por o patrocinador, o investigador deve ser considerado como um processador e o patrocinador como o controlador para este ensaio clínico. Exemplo: Headhunters A Empresa X ajuda a Empresa Y no recrutamento de novos funcionários - com seu famoso serviço de valor agregado "matchz global". A empresa X procura candidatos adequados entre os currículos recebidos diretamente pela Empresa Y e aqueles que já possui em seu próprio banco de dados. Esse banco de dados é criado e administrado pela Empresa X por conta própria. Isso garante que a Empresa X aprimore a correspondência entre ofertas de emprego e procura de emprego, aumentando assim o seu faturamento. Mesmo que eles não tenham formalmente tomadauma decisão em conjunto, as Empresas X e Y participam conjuntamente do processamento com o objetivo de encontrar candidatos adequados com base em decisões convergentes: a decisão de criar e gerenciar o serviço “global matchz” para a Empresa X e a decisão da Empresa Y para enriquecer a base de dados com os currículos que recebe diretamente. Essas decisões complementam cada outros, são inseparáveis e necessários para o processamento de encontrar candidatos adequados para tomar Lugar, colocar. Portanto, neste caso particular, eles devem ser considerados como controladores conjuntos de tais em processamento. No entanto, a Empresa X é a única controladora do processamento necessário para gerenciar seu banco de dados e a Empresa Y é a única controladora do processamento de contratação subsequente para seu propósito próprio (organização de entrevistas, celebração do contrato e gestão de RH dados). 3.2.3 Situações em que não há controladoria conjunta 67 O fato de vários atores estarem envolvidos no mesmo processamento não significa que eles estejam necessariamente atuando como controladores conjuntos de tal processamento. Nem todos os tipos de parcerias, cooperação ou colaboração implica qualificação de controladores conjuntos, uma vez que tal qualificação requer um caso a caso análise de cada processamento em jogo e o papel preciso de cada entidade em relação a cada processamento. Os casos a seguir fornecem exemplos não exaustivos de situações em que não há controladoria conjunta. 68 Por exemplo, a troca dos mesmos dados ou conjunto de dados entre duas entidades sem em conjunto propósitos determinados ou meios de processamento determinados em conjunto devem ser considerados como um transmissão de dados entre controladores separados. Exemplo: transmissão de dados de funcionários às autoridades fiscais Uma empresa coleta e processa dados pessoais de seus funcionários com o objetivo de gestão de salários, seguros de saúde, etc. Uma lei impõe à empresa a obrigação de encaminhar todos os dados salariais ao fisco, com vistas a reforçar o controle fiscal. Nesse caso, embora tanto a empresa quanto o fisco processem os mesmos dados no que diz respeito aos salários, a falta de objetivos e meios determinados conjuntamente com relação a esses dados o processamento resultará na qualificação das duas entidades como dois controladores de dados separados. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 21/44 Adotada - versão para consulta pública 22 Página 23 Adotada - versão para consulta pública 23 69 A controladoria conjunta também pode ser excluída em uma situação em que várias entidades usam um banco de dados compartilhado ou uma infraestrutura comum, se cada entidade determinar independentemente seus próprios objetivos. Exemplo: operações de marketing em um grupo de empresas usando um banco de dados compartilhado: Um grupo de empresas usa o mesmo banco de dados para o gerenciamento de clientes e clientes potenciais. Esse banco de dados está hospedado nos servidores da empresa-mãe que, portanto, é um processador das empresas no que diz respeito ao armazenamento dos dados. Cada entidade do grupo entra no dados de seus próprios clientes e clientes potenciais e processa esses dados apenas para seus próprios fins. Além disso, cada entidade decide independentemente sobre o acesso, os períodos de retenção, a correção ou exclusão dos dados de seus clientes e clientes potenciais. Eles não podem acessar ou usar os dados uns dos outros. o o simples fato de essas empresas usarem um banco de dados de grupo compartilhado não implica, como tal, controladoria. Nessas circunstâncias, cada empresa é, portanto, um controlador separado. Exemplo: controladores independentes ao usar uma infraestrutura compartilhada A empresa XYZ hospeda um banco de dados e o disponibiliza a outras empresas para processar e hospedar dados pessoais sobre seus funcionários. A empresa XYZ é uma processadora em relação ao processamento e armazenamento de funcionários de outras empresas, uma vez que essas operações são realizadas em nome e de acordo com as instruções dessas outras empresas. Além disso, as outras empresas processar os dados sem qualquer envolvimento da Empresa XYZ e para fins que não são de qualquer forma compartilhada pela Empresa XYZ. 70 Além disso, pode haver situações em que vários atores processam sucessivamente os mesmos dados pessoais em um cadeia de operações, cada um desses atores tendo um propósito independente e meios independentes em sua parte da cadeia. Na ausência de participação conjunta na determinação dos objetivos e meio da mesma operação de processamento ou conjunto de operações, a controladoria conjunta deve ser excluída e os vários atores devem ser considerados controladores independentes sucessivos. Exemplo: análise estatística para uma tarefa de interesse público Uma autoridade pública (Autoridade A) tem a tarefa legal de fazer análises e estatísticas relevantes sobre como a taxa de emprego do país se desenvolve. Para fazer isso, muitas outras entidades públicas são legalmente obrigada a divulgar dados específicos à Autoridade A. A Autoridade A decide usar um sistema específico para processar os dados, incluindo a coleta. Isso também significa que as outras unidades são obrigadas a usar o sistema de divulgação de dados. Neste caso, sem prejuízo de qualquer atribuição de funções por lei, a Autoridade A será a única controladora do processamento para fins de análise e estatísticas da taxa de emprego processada no sistema, porque Autoridade A determina a finalidade do processamento e decidiu como o processamento será organizado. Claro, os demais entes públicos, como controladores de seu próprio processamento atividades, são responsáveis por garantir a precisão dos dados que processaram anteriormente, que eles então divulgam à Autoridade A. 14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0 https://translate.googleusercontent.com/translate_f 22/44 Página 24 Adotada - versão para consulta pública 24 4 DEFINIÇÃO DE PROCESSADOR 71 Um transformador é definido no artigo 4.º, n.º 8, como uma pessoa singular ou coletiva, autoridade pública, agência ou outro órgão, que processa dados pessoais em nome do responsável pelo tratamento. Semelhante à definição de controlador, a definição de processador contempla uma ampla gama de atores - pode ser “ uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão ”. Isso significa que não há, em princípio, nenhuma limitação quanto a qual tipo de ator pode assumir o papel de um processador. Pode ser uma organização, mas também pode ser um Individual. 72 O GDPR estabelece obrigações diretamente aplicáveis especificamente aos processadores, conforme especificado em Parte II, seção 1 destas diretrizes. Um processador pode ser responsabilizado ou multado em caso de não cumprimento com tais obrigações ou no caso de agir de forma alheia ou contrária às instruções legais do responsável pelo tratamento. 73 O processamento de dados pessoais pode envolver vários processadores. Por exemplo, um controlador pode ele mesmo optar por envolver diretamente vários processadores, envolvendo diferentes processadores em estágios separados de o processamento (múltiplos processadores). Um controlador também pode decidir envolver um processador, que em por sua vez - com a autorização do controlador - envolve um ou mais outros processadores (“sub processador (es) ”). A atividade de processamento confiada ao processador pode ser limitada a uma tarefa muito específica ou contexto ou pode ser mais geral e extenso. 74 Duas condições básicas para se qualificar como processador são: a) ser uma entidade separada em relação ao controlador e b) processamento de dados pessoais em nome do responsável pelo tratamento . 75 Uma entidade separada significa que o controlador decide delegar todas ou parte das atividades de processamento
Compartilhar