Quais são os impactos do RGPD?

Introdução

O Regulamento Geral sobre a Proteção de Dados (RGPD) é a base jurídica para o tratamento de dados pessoais na Europa, a partir de 25 de maio de 2018. Ao contrário da Diretiva 95/46/CE, que regeu até agora estes tratamentos, o RGPD é de aplicação direta na União e não requer transposições nacionais. Como tal, facilitará a harmonização dos regimes jurídicos para a proteção dos dados pessoais na Europa. Melhor ainda, o RGPD tem um princípio da extraterritorialidade que permite, em determinadas circunstâncias, alargar o seu âmbito de aplicação para lá das fronteiras europeias.

Existe uma elevada probabilidade de qualquer estrutura que trate dados de caráter pessoal estar sujeita à disposições do RGPD. A este respeito, está sujeita a obrigações para o seguir. O mesmo se passa com a OVH, que, dada a sua situação, terá obrigações distintas: na sua qualidade de subcontratante ou de responsável de tratamento.

Definições

Compreender as implicações reais e precisas de um regulamento europeu nem sempre é tarefa fácil, especialmente quando contém 99 artigos, 173 considerandos e numerosas linhas diretivas para esclarecer a sua interpretação. No entanto, é primordial para evitar quaisquer riscos que possam resultar de uma interpretação demasiado ampla ou imprecisa das obrigações regulamentares que incumbem à sua estrutura. A boa compreensão dos termos definidos abaixo é, portanto, essencial:

  • dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável. Uma pessoa singular identificável é um indivíduo que possa ser identificado, direta ou indiretamente.
  • tratamento: qualquer operação ou conjunto de operações realizadas ou não com recurso a procedimentos automatizados e aplicados a dados ou a conjuntos de dados pessoais (recolha, gravação, transmissão, armazenamento, conservação, extração, consulta, utilização, interconexão, etc.).
  • responsável de tratamento: a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que, individualmente ou em conjunto com outros, determine as finalidades e os meios de tratamento.
  • subcontratante: a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que lide com os dados pessoais em nome do responsável de tratamento.

A OVH como subcontratante

Thumbnail

É certamente nesta qualidade que as suas expectativas quanto à OVH são mais importantes. A OVH é qualificada como «subcontratante» quando trata dados de caráter pessoal por conta de um responsável de tratamento. Normalmente, é este o caso quando usa os serviços da OVH e armazena dados pessoais numa infraestrutura da OVH. Dentro dos limites dos constrangimentos técnicos, a OVH só pode tratar os dados armazenados de acordo com as suas instruções, e isto por sua conta.

Os compromissos da OVH na qualidade de subcontratante

Como subcontratante, a OVH está particularmente empenhada em implementar as seguintes ações:

  • tratar os dados pessoais apenas para efeitos da boa execução dos serviços: a OVH nunca irá tratar as suas informações para outros fins (marketing, etc.).
  • não transferir os dados do cliente para fora da UE ou para fora dos países reconhecidos pela Comissão Europeia como dispondo de um nível de proteção suficiente: desde que o cliente não selecione um datacenter numa área geográfica situada fora da UE.
  • informá-lo de qualquer recurso a subcontratantes que poderiam tratar os seus dados pessoais: até esta data, nenhuma prestação que implique o acesso aos conteúdos armazenados por si no quadro dos nossos serviços é realizada fora do grupo OVH.
  • implementar elevados padrões de segurança para fornecer um alto nível de segurança aos nossos serviços.
  • notificá-lo imediatamente em caso de uma violação de dados.
  • ajudá-lo a cumprir as suas obrigações regulamentares, fornecendo-lhe a documentação adequada sobre os nossos serviços.

Estes compromissos traduzem-se, concretamente, nas Condições Gerais de Serviço (CGS) da OVH. Como tal, e salvo condições particulares, elas são oponíveis por qualquer cliente à OVH na sua qualidade de subcontratante.

As iniciativas da OVH na Europa

A fim de fortalecer os seus compromissos, a OVH foi uma das empresas a estar na origem da iniciativa de criar a associação CISPE (Cloud Infrastructure Services Providers in Europe). Esta elaborou, nomeadamente, um código de conduta cujo objetivo é promover a correta aplicação do RGPD pelos fornecedores de Infrastructure as a Service (IaaS). Pela sua participação ativa nesta iniciativa, a OVH demonstra o seu desejo de harmonizar, com um elevado nível de exigência, as regras de proteção de dados pessoais por toda a Europa.

Thumbnail

A oferta Private Cloud (IaaS) da OVH é o primeiro serviço da OVH a ser declarado em conformidade com o código de conduta da CISPE.

Perguntas frequentes: A OVH como subcontratante

Quem é o dono dos dados pessoais usados e armazenados pelo cliente no quadro dos serviços?

Os dados armazenados pelo cliente no quadro dos nossos serviços permanecem propriedade do cliente.

A OVH só acede a eles e só os utiliza quando necessário, no quadro da execução dos seus serviços e dentro dos limites dos constrangimentos técnicos.

Não nos autorizamos qualquer revenda dos ditos dados, assim como qualquer utilização para fins pessoais (como atividades de datamining, de análise de perfil ou de marketing direto).

Em que casos pode a OVH ser levada a aceder aos dados armazenados e usados pelo cliente no quadro dos serviços?

A OVH acede aos dados apenas em duas situações:

  • para efeitos do desempenho dos serviços e, especialmente, para maximizar a assistência aos clientes quando estes contactam o Apoio ao Cliente OVH. Neste caso, o acesso aos dados do cliente é enquadrado por autorizações específicas e por medidas de controlo e de segurança especiais;
  • para cumprir as obrigações legais no quadro de solicitações judiciais e/ou administrativas. Tais solicitações são enquadradas de forma muito rigorosa.

Acesso no âmbito do apoio ao cliente:
Quando contacta o Apoio ao Cliente OVH, dependendo da finalidade da assistência, há duas categorias de dados que podem estar sujeitas a acesso. Por um lado, a fim de tratar o melhor possível a solicitação do cliente, o apoio técnico toma conhecimento das informações fornecidas por este último durante a criação da sua conta OVH (nome, sobrenome, número de telefone, endereço de e-mail, etc.).
Por ouro lado, e apenas mediante pedido expresso do cliente, sob reserva das limitações técnicas próprias de cada serviço, o Apoio ao Cliente pode ter acesso aos dados armazenados nos serviços da OVH, de modo a identificar a origem do problema encontrado e, eventualmente, o resolver.

Acesso no âmbito de uma solicitação das autoridades judiciais e/ou administrativas:
Para agir de acordo com as normas em vigor, a OVH deve satisfazer as exigências das autoridades judiciais e/ou administrativas. Os pedidos de acesso estão sujeitos a um regime jurídico estrito. A OVH só os autoriza depois de garantir a validade e os fundamentos da solicitação. Além disso, desde que o pedido ou a lei não o proíba, a OVH compromete-se a avisar o cliente o mais rapidamente possível de tal pedido. Quanto a pedidos provenientes de um país terceiro, só são tratados com a condição de se basearem num acordo internacional (como um tratado de entreajuda jurídica) em vigor entre o o país terceiro que faz o pedido e a União Europeia ou um seu Estado-membro.

Os dados dos clientes europeus da OVH são transferidos para fora da União Europeia?

Convém distinguir duas situações distintas nesta matéria. Estas podem depender da opção feita pelo cliente na escolha da localização dos datacenters nos quais os seus dados serão armazenados:

Quando o cliente escolhe um serviço cujos dados são armazenados em datacenters da União Europeia:
Neste caso, os dados do cliente nunca vão ser transferidos para fora:

  • de países membros da União Europeia
  • de países reconhecidos pela Comissão Europeia como tendo um nível suficiente de proteção de dados pessoais em relação à proteção da vida privada, das liberdades e dos direitos fundamentais dos indivíduos. A lista destes países pode ser encontrada a qualquer momento no site da Comissão Europeia.

No seguimento da invalidação do Safe Harbor, e ainda que a Comissão Europeia considere que os organismos americanos membros do Privacy Shield disponham de um nível de proteção suficiente, a OVH nunca transfere para os Estados Unidos da América os dados dos clientes cuja área geográfica selecionada se situa na UE.

No âmbito de uma intervenção de apoio ao cliente, é possível que ocorram transferências de dados para países reconhecidos pela Comissão Europeia como tendo um nível de proteção suficiente. Quando os datacenters da OVH se situam na União Europeia, as equipas de apoio da OVH que podem intervir encontram-se no seio da União Europeia, bem como no Canadá, sendo que o Canadá é reconhecido pela Comissão Europeia como um país que apresenta um nível adequado de proteção de dados pessoais. A OVH também se reserva o direito de confiar prestações de apoio que possam envolver um acesso remoto aos dados armazenados pelo cliente, no quadro dos serviços, a outras entidades do grupo OVH localizadas em países igualmente reconhecidos pela Comissão Europeia como tendo um nível de proteção suficiente (com exceção dos EUA).

Graças às garantias oferecidas pela OVH em matéria de transferência de dados, o cliente pode cumprir as suas obrigações regulamentares. O artigo 45 do RGPD, que determina os casos de "transferências com base numa decisão de adequação", estipula que pode ter lugar uma transferência de dados pessoais para um país terceiro ou para uma organização internacional quando a Comissão constatou, por via de decisão, que o país terceiro, um território ou um ou vários setores determinados neste país terceiro, ou a organização internacional em questão assegura um nível de proteção adequado. Tal transferência não requer nenhuma autorização específica.

Quando o cliente escolhe um serviço cujos dados são armazenados em datacenters fora da União Europeia:
Neste caso, parece evidente que os dados sejam transferidos para fora da União Europeia. A localização ou área geográfica dos datacenters usados no quadro do serviço é indicada no site da OVH. Quando vários locais estão disponíveis, o cliente escolhe o que preferir. A OVH não se autoriza a alterar, sem o consentimento do cliente, e sob reserva de condições específicas próprias a determinados serviços, a localização ou área geográfica aceite aquando da subscrição.

A fim de apoiar as estruturas que pretendem tratar dados pessoais por meio de datacenters situados fora da União Europeia, num país que não assegura um nível adequado de proteção dos dados de caráter pessoal, a OVH pode, sob pedido expresso, discutir a implementação de garantias que permitam uma transferência segundo o previsto no artigo 46.º do RGPD, "Transferências mediante garantias apropriadas".

A OVH enquanto responsável de tratamento

A OVH é considerada "responsável de tratamento" quando determina as finalidades e os meios dos "seus" tratamentos de dados pessoais.

Normalmente, é este o caso quando a OVH recolhe dados para fins de faturação, de gestão de cobrança, de melhoria da qualidade dos serviços e do desempenho, de marketing direto, de gestão comercial, etc. Mas também quando a OVH trata os dados pessoais dos seus próprios funcionários.

Neste cenário, os dados do cliente, aqueles que ele armazena nos serviços da OVH, não estão em causa. Por outro lado, determinadas informações relativas ao cliente ou relacionadas com os seus funcionários (identidade e informações de contacto do interlocutor OVH no contexto de uma solicitação de assistência técnica, por exemplo) podem estar. É por isso que a OVH faz questão de fornecer elementos de compreensão acerca das garantias implementadas de modo a assegurar a proteção destes dados pessoais:

  • limitar a recolha de dados àqueles que são estritamente úteis: é no quadro desta abordagem que, ao subscrever um serviço, o cliente só fornece os dados necessários para que a OVH possa assegurar serviços de faturação, de apoio técnico ou então para respeitar as suas próprias obrigações legais em matéria de conservação de dados.
  • não utilizar os dados recolhidos para outros fins que não aqueles para os quais foram recolhidos.
  • conservar os dados pessoais durante um período limitado e proporcionado. É assim que, a título de exemplo, os dados tratados para efeitos de gestão da relação entre o cliente e a OVH (nome completo, endereço postal, e-mail, etc.) são mantidos pela empresa enquanto durar o contrato e nos trinta e seis (36) meses seguintes. No final deste período, os dados são suprimidos em todos os suportes e backups.
  • não transferir estes dados a terceiros que não sejam as empresas do grupo OVH que se encontram envolvidas na execução do contrato. No âmbito destas transferências dentro do próprio grupo, alguns dados podem ser transferidos para fora da União Europeia com base nas rigorosas regras internas implementadas pelo grupo OVH.
  • implementar medidas técnicas e organizacionais apropriadas de modo a assegurar um elevado nível de segurança.