O requisito de avaliação de fornecedores de DPIA
O Artigo 35 do GDPR exige Avaliações de Impacto sobre a Proteção de Dados para o processamento que provavelmente resultará em alto risco aos direitos e liberdades dos indivíduos. O processamento em grande escala de dados pessoais (Artigo 35(3)(b)) se enquadra nesse requisito. Quando uma organização implementa uma ferramenta de anonimização para processamento em grande escala de PII, a DPIA deve avaliar a ferramenta como um processador de dados sob o Artigo 28 do GDPR.
O Artigo 28 exige que os processadores de dados forneçam "garantias suficientes para implementar medidas técnicas e organizacionais apropriadas" e que o processamento seja "regido por um contrato ou outro ato jurídico sob a lei da União ou do Estado-Membro." Um DPO que completa uma DPIA para uma ferramenta de anonimização deve documentar: as medidas de segurança da ferramenta, suas relações com sub-processadores, sua residência de dados, seus procedimentos de notificação de violação de dados e o acordo de processamento de dados que rege a relação.
A certificação ISO 27001 reduz significativamente a carga de documentação da DPIA: a pesquisa da BSI (2024) descobriu que organizações certificadas ISO 27001 reduzem o tempo do questionário de segurança em 73%. A Gartner descobriu que a aquisição de segurança da Fortune 500 exige ISO 27001 em 78% dos RFPs. Quando a ferramenta de anonimização é certificada ISO 27001, a DPIA pode referenciar a certificação em vez de tentar verificar independentemente os controles de segurança da ferramenta.
O checklist de avaliação de fornecedores do Artigo 28
Os DPOs que avaliam uma ferramenta de anonimização em relação aos requisitos do Artigo 28 do GDPR devem verificar:
1. Acordo de Processamento de Dados: Um DPA compatível com o GDPR está disponível? Ele cobre todas as disposições exigidas do Artigo 28: processamento apenas com instruções documentadas, obrigações de confidencialidade, medidas de segurança, controles de sub-processadores, assistência aos direitos dos titulares de dados, exclusão ou devolução ao final do contrato e cooperação em auditorias?
2. Documentação das medidas de segurança: As medidas de segurança técnicas e organizacionais estão documentadas de maneira que satisfaça o Artigo 32? Para ferramentas certificadas ISO 27001, a certificação e a Declaração de Aplicabilidade fornecem essa documentação.
3. Transparência dos sub-processadores: A ferramenta utiliza sub-processadores? Eles estão listados e acessíveis? Mudanças de sub-processadores requerem notificação prévia ao controlador. Ferramentas que utilizam múltiplos provedores de infraestrutura em nuvem (para redundância, CDN, etc.) devem documentar cada sub-processador.
4. Residência de dados: Onde os dados pessoais são processados e armazenados? Para DPOs baseados na UE, é necessária a residência de dados na UE ou uma arquitetura de conhecimento zero (nenhum dado pessoal transmitido para servidores). Ferramentas baseadas nos EUA requerem SCCs ou BCRs documentados.
5. Notificação de violação de dados: Quais são os procedimentos de notificação de violação da ferramenta? O Artigo 33 do GDPR exige notificação à autoridade supervisora dentro de 72 horas. O Artigo 28 exige que os processadores notifiquem os controladores "sem demora indevida" após tomarem conhecimento de uma violação — o que deve ocorrer antes do prazo de 72 horas.
6. Disponibilidade de DPIA: O fornecedor da ferramenta completou sua própria DPIA? Está disponível para clientes corporativos para inclusão na DPIA do controlador? Um fornecedor de ferramentas que não completou uma DPIA para seu próprio processamento cria uma lacuna de documentação na DPIA do controlador.
7. Suporte à exclusão e portabilidade: A ferramenta pode cumprir as obrigações do Artigo 17 (exclusão) e do Artigo 20 (portabilidade)? Para ferramentas de conhecimento zero onde nenhum dado pessoal é armazenado, a questão da exclusão pode não surgir — mas a DPIA deve documentar isso.
A companhia de seguros austríaca DPO completando uma DPIA para seu processo de anonimização de reclamações pode solicitar e receber: certificado ISO 27001, documentação de hospedagem na UE, DPIA e DPA de um fornecedor de ferramentas compatível. Esses quatro documentos fornecem cobertura completa da DPIA do Artigo 28. A auditoria da autoridade supervisora considera a DPIA completa.
Fontes: