Subcontratados, contratos e responsabilidade: a minuta angolana aperta a cadeia do tratamento

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A gestão de dados pessoais numa organização moderna raramente é um acto solitário. Desde o software de gestão de recursos humanos na nuvem, passando pela agência de marketing digital que gere as redes sociais, até à empresa de logística que entrega os produtos aos clientes, a cadeia de valor está repleta de parceiros. Cada um destes parceiros, ao manusear dados em nome da empresa contratante, representa um elo na cadeia de tratamento. A robustez desta cadeia é determinada pelo seu elo mais fraco. Uma falha de segurança ou um uso indevido de dados por parte de um fornecedor pode gerar responsabilidade directa para a organização que o contratou, com severos impactos reputacionais, operacionais e financeiros.

É precisamente esta realidade complexa que a minuta da nova Lei de Protecção de Dados Pessoais de Angola, actualmente em apreciação, procura endereçar com um rigor sem precedentes no ordenamento jurídico angolano. A proposta legislativa dedica uma atenção especial à figura do "subcontratado" — a entidade que trata dados pessoais por conta do responsável pelo tratamento. O objectivo é claro: substituir a confiança tácita e os acordos informais por um quadro de responsabilidade partilhada, formalizado através de contratos escritos, instruções documentadas e a possibilidade de auditorias. A mensagem para o mercado é inequívoca: o risco não termina nas fronteiras da sua empresa; ele estende-se a toda a rede de parceiros que tocam nos dados dos seus clientes, colaboradores e cidadãos.

Este aprofundamento das regras de subcontratação reflecte uma maturidade regulatória e uma aproximação às melhores práticas internacionais, como o Regulamento Geral sobre a Protecção de Dados (RGPD) europeu. Para as empresas em Angola, isto significa uma necessidade urgente de mapear, avaliar e formalizar as relações com todos os seus fornecedores que tratam dados. A era do "contrato de boca" ou das cláusulas genéricas está a chegar ao fim, dando lugar a uma era de governação, prova e prontidão. Este artigo analisa em detalhe o que a minuta propõe, as mudanças face à Lei n.º 22/11 e o que isto significa, na prática, para a gestão de risco e conformidade no tecido empresarial angolano.

O que a minuta propõe sobre a relação com subcontratados?

A proposta de actualização da lei angolana estabelece um quadro jurídico detalhado e exigente para a relação entre o Responsável pelo Tratamento (a empresa que define as finalidades e os meios do tratamento) e o Subcontratado (o fornecedor que trata os dados em nome do responsável). O princípio fundamental é que o tratamento realizado por um subcontratado deve ser regido por um contrato escrito que vincule as duas partes, estabelecendo um conjunto de obrigações claras e verificáveis.

De acordo com o texto em apreciação, este contrato deve especificar, no mínimo, os seguintes elementos:

• Objecto e duração do tratamento: O que será feito com os dados e por quanto tempo.
• Natureza e finalidade do tratamento: A razão pela qual o tratamento é necessário.
• Tipo de dados pessoais e categorias de titulares: Que tipo de informação está a ser partilhada e a quem pertence.
• Obrigações e direitos do responsável pelo tratamento: As responsabilidades da empresa contratante.

Mais importante ainda, a minuta impõe um conjunto de deveres estritos ao subcontratado, que devem estar contratualmente fixados. Estes incluem:

1. Agir apenas sob instruções documentadas: O subcontratado só pode tratar os dados seguindo as ordens explícitas e registadas do responsável. Isto elimina a margem para interpretações ou desvios de finalidade.
2. Dever de confidencialidade: As pessoas autorizadas a tratar os dados no subcontratado devem assumir um compromisso de confidencialidade ou estar sujeitas a obrigações legais de sigilo.
3. Segurança do tratamento: O subcontratado deve implementar as mesmas medidas técnicas e organizativas adequadas para garantir a segurança dos dados que são exigidas ao responsável principal.
4. Devolução ou apagamento dos dados: Findo o serviço, o subcontratado deve, por escolha do responsável, apagar ou devolver todos os dados pessoais e apagar as cópias existentes, a menos que a lei exija a sua conservação.
5. Direito à auditoria: O contrato deve prever que o responsável pelo tratamento (ou um auditor por ele mandatado) tenha o direito de realizar auditorias e inspecções para verificar o cumprimento das obrigações. Esta é uma das mudanças mais significativas, transformando a conformidade numa realidade auditável.

A proposta vai mais longe ao regular a "sub-subcontratação". Um subcontratado não pode contratar outro subcontratado sem a autorização prévia, específica e por escrito do responsável principal. Caso o faça, o subcontratado original torna-se plenamente responsável perante o contratante inicial pelas falhas do novo parceiro. Cria-se, assim, uma cadeia de responsabilidade ininterrupta.

O que muda face à Lei n.º 22/11?

A Lei da Protecção de Dados Pessoais actualmente em vigor, a Lei n.º 22/11, de 17 de Junho, já aborda a figura do subcontratado, mas de uma forma consideravelmente mais superficial. O seu artigo 18.º estabelece que o tratamento por conta de outrem deve ser regido por contrato ou acto jurídico que vincule o subcontratado ao responsável e que estipule que o tratamento será feito em conformidade com as instruções do responsável.

No entanto, a Lei n.º 22/11 é muito menos prescritiva quanto ao conteúdo obrigatório desse contrato. Não detalha a necessidade de cláusulas sobre auditorias, devolução/apagamento de dados, nem estabelece um regime tão claro para a subcontratação em cascata. A lei actual foca-se na obrigação de o subcontratado oferecer "garantias suficientes" em relação às medidas de segurança, mas deixa a definição e verificação dessas garantias muito em aberto.

A grande mudança que a minuta introduz é a passagem de uma obrigação de meios com contornos vagos para uma obrigação de resultado, contratualmente definida e empiricamente verificável. A nova proposta não se contenta com a promessa de segurança; exige a prova de segurança através de cláusulas contratuais robustas e do direito explícito à auditoria.

Enquanto a Lei n.º 22/11 se baseia na presunção de que o subcontratado seguirá as instruções, a minuta exige que essas instruções sejam documentadas, criando um rasto de evidências (audit trail) que pode ser fiscalizado pela Agência de Protecção de Dados (APD). A formalização do direito à auditoria é, talvez, a ferramenta de governação mais poderosa que a minuta confere aos responsáveis pelo tratamento, permitindo-lhes exercer uma supervisão activa e contínua sobre a sua cadeia de fornecedores, em vez de uma verificação meramente pontual no momento da contratação.

Exemplos práticos em Angola

Exemplo 1: Uma empresa de logística e um grande retalhista

Imagine uma grande cadeia de supermercados em Luanda que contrata uma empresa de logística para fazer as entregas ao domicílio das compras online. O supermercado (responsável pelo tratamento) partilha com a empresa de logística (subcontratado) dados pessoais dos seus clientes: nome, morada, número de telefone e, por vezes, o detalhe das compras. Caso a nova lei seja promulgada, a relação entre estas duas empresas teria de ser revista.

O contrato entre o supermercado e a transportadora não poderia ser um simples acordo de prestação de serviços. Teria de incluir cláusulas específicas de protecção de dados, estipulando que a empresa de logística só pode usar os dados para a finalidade da entrega, devendo apagá-los após a confirmação da mesma. O contrato teria de obrigar a transportadora a garantir a segurança dos dispositivos móveis dos seus estafetas e a formar a sua equipa sobre o dever de confidencialidade. Mais importante, o supermercado teria o direito contratual de auditar os sistemas da empresa de logística para verificar se os dados dos clientes estão a ser devidamente protegidos e eliminados, demonstrando assim a sua diligência perante a APD e os seus clientes.

Exemplo 2: Um banco e um fornecedor de software de CRM na nuvem

Considere um banco angolano que decide contratar uma plataforma internacional de Customer Relationship Management (CRM), alojada na nuvem, para gerir a sua carteira de clientes. Neste cenário, o banco é o responsável pelo tratamento, e o fornecedor do software, mesmo que esteja sediado fora de Angola, actua como subcontratado ao abrigo do princípio da extraterritorialidade que a minuta também reforça.

Com a nova proposta de lei, o banco teria de garantir que o contrato com este fornecedor tecnológico é extremamente robusto. Teria de haver instruções claras e documentadas sobre como os dados dos clientes podem ser processados pela plataforma. O contrato deveria prever mecanismos de auditoria, mesmo que remotos, para que o banco pudesse verificar as certificações de segurança do fornecedor e as suas políticas de gestão de acessos. A cláusula de devolução ou apagamento de dados seria crucial: se o banco terminasse o contrato, teria de ter a garantia jurídica e técnica de que o fornecedor eliminaria de forma segura e permanente toda a informação dos seus clientes, em vez de a manter nos seus servidores. A contratação de um serviço como este passaria a exigir um processo de due diligence muito mais aprofundado por parte do departamento de conformidade e de DPO as a Service do banco.

O que isto significa na prática?

A implementação destas novas regras, caso a minuta venha a ser aprovada, terá um impacto profundo na forma como as organizações em Angola gerem os seus fornecedores e parceiros. A conformidade em protecção de dados deixará de ser um exercício puramente interno para se tornar uma função de gestão da cadeia de valor.

Na prática, as empresas precisarão de:

• Mapear todos os subcontratados: Identificar todos os fornecedores, parceiros e prestadores de serviços que tratam dados pessoais em seu nome.
• Avaliar o risco: Classificar estes subcontratados com base no volume e na sensibilidade dos dados a que acedem, para priorizar os esforços de regularização.
• Rever e aditar contratos: Todos os contratos existentes terão de ser revistos e, muito provavelmente, aditados com as cláusulas específicas exigidas pela nova lei. Novos contratos terão de nascer já com esta matriz de conformidade.
• Criar um programa de auditoria a fornecedores: Desenvolver um processo para auditar periodicamente os subcontratados mais críticos, seja através de questionários, pedidos de certificações ou inspecções directas.
• Documentar tudo: Manter um registo centralizado de todos os contratos, instruções e relatórios de auditoria. Esta documentação será a principal linha de defesa em caso de uma fiscalização da APD ou de um incidente de segurança.

A mensagem central é que a responsabilidade é indelegável. Embora se possa subcontratar uma função, não se pode subcontratar a responsabilidade final perante o titular dos dados e o regulador. Este novo enquadramento força as empresas a olharem para os seus parceiros não apenas como fornecedores de serviços, mas como extensões da sua própria infraestrutura de governação de dados. A escolha de um parceiro passará a ser, mais do que nunca, uma decisão de risco. Para as organizações que procuram uma conformidade com evidência, este é um passo decisivo. Para agendar uma conversa sobre como preparar a sua organização, pode entrar em contacto connosco.