De acordo com o artigo 4.º do GDPR da UE, os diferentes papéis são identificados como indicado abaixo:
(note que na LGPD no artigo 5.º, itens V e VI as definições são semelhantes, apenas menos abrangentes)
Controlador - “significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e meios do processamento de dados pessoais”
Processador - “significa uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento”
Assim, as organizações que determinam os meios de processar dados pessoais são controladores, independentemente de coletarem diretamente os dados dos sujeitos de dados. Por exemplo, um banco (controlador) coleta os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas em papel pelo banco. Essas empresas podem ser datacenters ou empresas de gerenciamento de documentos. Ambas as organizações (controlador e processador) são responsáveis por manipular os dados pessoais desses clientes.
Nos termos do artigo 5.º do GDPR da UE, o responsável pelo tratamento deve ser responsável e demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais. São eles: legalidade, justiça e transparência, minimização de dados, precisão, limitação e integridade de armazenamento e confidencialidade dos dados pessoais.
Nos termos do artigo 24.º do GDPR da UE, “Tendo em conta a natureza, o âmbito, o contexto e os fins do tratamento, bem como os riscos de variação de probabilidade e gravidade dos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve implementar as medidas técnicas e organizacionais adequadas. medidas para assegurar e demonstrar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário. ”
Exemplos de tais medidas podem ser a alocação de responsabilidades para proteção de dados, uma avaliação de impacto de proteção de dados e um plano de mitigação de riscos, implementação de pseudonimização (o processamento de dados pessoais de maneira que os dados pessoais não possam mais ser atribuídos a dados específicos). assunto sem o uso de informações adicionais) e a minimização de dados, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.
Se existem várias organizações que partilham a responsabilidade pelo processamento de dados pessoais, o GDPR da UE inclui a existência de controladores conjuntos. Eles devem determinar suas respectivas responsabilidades por acordo e fornecer o conteúdo deste acordo aos titulares dos dados, definindo os meios de comunicação com os processadores com um único ponto de contato.
De acordo com o Artigo 28 do GDPR da UE, “Quando o processamento é para ser executado em nome de um controlador, o controlador deve usar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal maneira que o processamento satisfará as exigências do presente regulamento e assegurar a protecção dos direitos da pessoa em causa. ”
Isso significa que, se qualquer empresa da UE ou de fora da UE quiser permanecer no negócio, como controladora ou processadora, terá que implementar os controles necessários para garantir que eles estejam em conformidade com o GDPR da UE, porque as multas podem ser aplicadas a ambos os controladores e processadores. De acordo com o Artigo 83, multas serão impostas com relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.
A implementação da ISO 27001 cobre a maioria dos requisitos do PIBR da UE; no entanto, alguns controles devem ser adaptados para incluir dados pessoais no Sistema de Gerenciamento de Segurança da Informação. Além do que está planejado para a implementação da ISO 27001, algumas medidas terão que ser incluídas para que uma organização, um controlador ou um processador (ambos precisam realizar essas atividades), para garantir a conformidade com o GDPR da UE, como :
Todas estas medidas podem ser integradas no Sistema de Gestão de Segurança da Informação, permitindo a garantia da conformidade legal e melhoria contínua - ainda mais se o SGSI e o GDR da UE estiverem alinhados. A implementação de um SGSI pode ser o apoio em falta que a organização necessita para cumprir o GDPR da UE.
