Por que os DPOs precisam avaliar ferramentas de anonimização
O RGPD exige uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) para tratamentos de alto risco. O tratamento de informações pessoais em grande escala é de alto risco. Uma ferramenta de anonimização é um subcontratante. Ela está sujeita às regras de subcontratantes. Avalie-a antes de colocá-la em produção.
Duas coisas são necessárias. Os subcontratantes precisam oferecer "garantias suficientes" em matéria de segurança. Todo tratamento precisa ser regido por um contrato escrito. Como DPO, registre as medidas de segurança da ferramenta, seus sub-subcontratantes, o local de hospedagem, os procedimentos em caso de violação e o acordo de tratamento de dados (ATD).
A certificação ISO 27001 reduz o trabalho. Pesquisas do BSI mostram que organizações certificadas reduzem o tempo dedicado a questionários de segurança em 73 %. Pesquisas da Gartner indicam que a ISO 27001 é exigida em 78 % das licitações do Fortune 500. Uma ferramenta certificada permite que você cite o certificado. Não é necessário verificar cada controle manualmente. Ferramentas sem certificação exigem mais revisão manual.
Consulte nossa visão geral de conformidade e nossa página de segurança para saber como atendemos a essas regras.
Sete pontos a verificar
Use esta lista para qualquer ferramenta ou fornecedor de anonimização.
1. Acordo de tratamento de dados. Há um ATD compatível com o RGPD em vigor? Ele precisa cobrir: tratamento somente conforme suas instruções, dever de cuidado, medidas de segurança, controle de sub-subcontratantes, assistência a solicitações de direitos, eliminação ou devolução de arquivos e direitos de auditoria.
2. Registros de segurança. As medidas de segurança estão documentadas por escrito? Fornecedores certificados pela ISO 27001 podem apresentar seu certificado e Declaração de Aplicabilidade. Isso satisfaz o requisito.
3. Lista de sub-subcontratantes. A ferramenta usa sub-subcontratantes? Estão identificados? Você precisa de aviso prévio de qualquer mudança. Provedores de nuvem, CDNs e ferramentas de OCR contam. Nomes ausentes são uma lacuna frequente.
4. Local de hospedagem. Seus arquivos estão hospedados na UE? A hospedagem na UE é a mais simples para empresas europeias. Ferramentas de conhecimento zero também são aceitáveis — nenhum arquivo sai do seu dispositivo. Fornecedores dos EUA precisam de Cláusulas Contratuais Padrão (CCP).
5. Aviso de violação. Com que rapidez o fornecedor o informará sobre uma violação? A lei exige notificação ao regulador em 72 horas. O fornecedor precisa avisá-lo primeiro. Verifique se o ATD confirma isso.
6. AIPD do fornecedor. O fornecedor realizou sua própria AIPD? Você pode consultá-la? Sem AIPD há uma lacuna nos seus próprios registros. Isso é um problema frequente.
7. Eliminação e portabilidade. O fornecedor consegue lidar com solicitações de eliminação e portabilidade? Ferramentas de conhecimento zero não armazenam arquivos — a eliminação pode não se aplicar. A AIPD precisa indicar isso.
Um bom fornecedor entrega quatro documentos: certificado ISO 27001, prova de hospedagem na UE, sua AIPD e um ATD assinado. Esses quatro itens fecham todas as lacunas na sua própria AIPD. Seu regulador ficará satisfeito.
Consulte nossas Perguntas frequentes para DPOs sobre as etapas de avaliação de fornecedores.