Conformidade com o Artigo 28 do GDPR usando as APIs da Didit (PT-BR)

Compreendendo o Artigo 28O Artigo 28 do GDPR impõe condições estritas aos processadores de dados, exigindo que ajam apenas de acordo com as instruções documentadas do controlador e implementem medidas de segurança adequadas para proteger os dados pessoais.

Relação Controlador-ProcessadorUm contrato claro e juridicamente vinculativo (Acordo de Processamento de Dados) é essencial, definindo papéis, responsabilidades e cláusulas de proteção de dados entre o controlador e o processador de dados.

Medidas Técnicas e OrganizacionaisOs processadores devem empregar segurança de ponta, incluindo criptografia, pseudonimização, testes regulares e controles de acesso robustos, garantindo a integridade e confidencialidade dos dados.

Vantagem de Conformidade da DiditA plataforma de identidade modular e nativa de IA da Didit oferece segurança integrada, trilhas de auditoria e fluxos de trabalho configuráveis, permitindo que as empresas atendam aos requisitos do Artigo 28 de forma eficiente e eficaz.

No mundo atual, impulsionado por dados, a conformidade com regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) não é apenas uma obrigação legal, mas um pilar de confiança para qualquer negócio que lida com dados pessoais. Para empresas que atuam como processadores de dados, especialmente no espaço de verificação de identidade, compreender e implementar o Artigo 28 do GDPR é primordial. Este artigo aprofunda as complexidades do Artigo 28 e demonstra como a plataforma de identidade avançada e orientada por API da Didit pode ser sua ferramenta mais eficaz para alcançar e manter a conformidade.

O que é o Artigo 28 do GDPR e Por Que Ele Importa?

O Artigo 28 do GDPR estabelece as condições que regem o papel de um processador de dados. Ele esclarece que um controlador de dados (a entidade que determina o 'porquê' e o 'como' do processamento de dados) deve contratar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas para atender aos requisitos do GDPR e proteger os direitos dos titulares dos dados. Essencialmente, garante que, quando uma empresa (controlador) terceiriza o processamento de dados, essa entidade terceirizada (processador) mantém os mesmos altos padrões de proteção de dados.

Para os processadores de identidade, isso significa garantir que cada etapa do processo de verificação — desde a coleta de dados via Verificação de ID (OCR, MRZ, códigos de barras) até verificações biométricas como Liveness Passivo e Ativo e Comparação Facial 1:1 — seja tratada com o máximo cuidado, segurança e transparência. A não conformidade pode levar a penalidades severas, danos à reputação e uma perda significativa da confiança do cliente.

Principais Requisitos para Processadores de Dados sob o Artigo 28

O Artigo 28 descreve vários mandatos críticos para processadores de dados:

1. Instruções Documentadas: Os processadores devem processar dados pessoais apenas de acordo com as instruções documentadas do controlador. Isso significa que não há decisões independentes de processamento.
2. Confidencialidade: Os processadores devem garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal apropriada de confidencialidade.
3. Segurança do Processamento: Os processadores devem implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco. Isso frequentemente envolve medidas como pseudonimização e criptografia de dados pessoais, a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento, e a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnico.
4. Subprocessadores: Os processadores não podem contratar outro processador (subprocessador) sem a autorização prévia específica ou geral por escrito do controlador. Quando autorizado, o processador deve impor as mesmas obrigações de proteção de dados ao subprocessador que as estabelecidas no contrato entre o controlador e o processador.
5. Assistência ao Controlador: Os processadores devem auxiliar o controlador a garantir a conformidade com as obrigações do controlador, particularmente em relação às solicitações de direitos dos titulares dos dados, avaliações de impacto na proteção de dados e notificações de violação de segurança.
6. Exclusão ou Retorno de Dados: Após a conclusão dos serviços, os processadores devem, à escolha do controlador, excluir ou devolver todos os dados pessoais ao controlador e excluir as cópias existentes, a menos que exigido por lei para armazenar os dados pessoais.
7. Direitos de Auditoria: Os processadores devem disponibilizar ao controlador todas as informações necessárias para demonstrar a conformidade com o Artigo 28 e permitir e contribuir para auditorias, incluindo inspeções, realizadas pelo controlador ou por outro auditor mandatado pelo controlador.

A plataforma da Didit é projetada com esses princípios em mente, oferecendo recursos que apoiam diretamente a conformidade com cada um desses requisitos. Por exemplo, nossas robustas trilhas de auditoria e a capacidade de gerar relatórios em PDF prontos para conformidade para qualquer sessão de verificação (via API Generate PDF) abordam diretamente a necessidade de transparência e auditabilidade.

A Importância das Medidas Técnicas e Organizacionais (TOMs)

A cláusula de "medidas técnicas e organizacionais apropriadas" é onde a teoria encontra a prática para os processadores de dados. Não se trata apenas de ter uma política de privacidade; trata-se de incorporar a proteção de dados na própria arquitetura de seus sistemas. Para verificação de identidade, isso inclui:

• Minimização de Dados: Coletar apenas os dados absolutamente necessários para o propósito da verificação.
• Criptografia: Proteger dados tanto em trânsito quanto em repouso.
• Controles de Acesso: Limitar quem pode acessar dados de identidade sensíveis.
• Auditorias de Segurança Regulares: Identificar e mitigar proativamente vulnerabilidades. A Didit é certificada ISO 27001, compatível com GDPR e certificada iBeta Nível 1, demonstrando nosso compromisso com a segurança de nível empresarial.
• Resposta a Incidentes: Ter procedimentos claros para lidar com violações de dados.
• Políticas de Retenção de Dados: Adotar períodos definidos para o armazenamento de dados, alinhados com as instruções do controlador.

A arquitetura nativa de IA da Didit garante que essas TOMs sejam incorporadas desde o início. O design modular de nossa plataforma permite que os controladores configurem fluxos de trabalho com precisão, garantindo que apenas os dados necessários sejam processados. Por exemplo, a Estimativa de Idade pode ser usada para serviços restritos por idade sem coletar detalhes completos de identidade, aderindo aos princípios de minimização de dados.

Como a Didit Ajuda a Alcançar a Conformidade com o Artigo 28 do GDPR

A Didit é projetada para ser o parceiro ideal para controladores de dados que buscam verificação de identidade em conformidade com o Artigo 28 do GDPR. Nossa plataforma oferece as ferramentas e garantias necessárias:

• Fluxos de Trabalho Configuráveis: Os Fluxos de Trabalho Orquestrados da Didit, acessíveis via nossa Business Console, permitem que os controladores projetem jornadas de verificação de identidade em várias etapas, incluindo KYC, verificações de idade e Triagem e Monitoramento AML. Isso garante que o processamento se alinhe precisamente com as instruções documentadas e as necessidades específicas de conformidade.
• Segurança e Certificações Robustas: Construída com segurança de nível empresarial, a Didit é certificada ISO 27001, ISO 27017 e ISO 27018, e iBeta Nível 1 para detecção de vivacidade. Também estamos prontos para a Lei de IA da UE, fornecendo uma base de confiança e conformidade.
• Trilhas de Auditoria Abrangentes: Cada sessão de verificação gera registros detalhados, e nossa API Generate PDF permite a criação de relatórios prontos para conformidade, cruciais para demonstrar responsabilidade e auxiliar em auditorias do controlador.
• Minimização de Dados por Design: Recursos como a Estimativa de Idade que preserva a privacidade permitem que as empresas atendam aos requisitos de conformidade sem coletar dados pessoais em excesso.
• Cobertura Global: Com Verificação de ID suportando documentos de mais de 220 países, a Didit garante processamento consistente e compatível, independentemente da localização geográfica.
• Abordagem Developer-First: APIs limpas e um sandbox instantâneo capacitam os controladores a integrar e gerenciar seus processos de identidade com controle e transparência totais, atendendo ao requisito de instrução documentada.

O compromisso da Didit com a segurança, modularidade e design nativo de IA significa que, como processador de dados, fornecemos as mais altas garantias para proteger dados pessoais, tornando a conformidade com o Artigo 28 um processo simplificado e confiável para nossos clientes. Nossa oferta de KYC Core Gratuito permite que as empresas comecem a construir esses fluxos de trabalho compatíveis sem investimento inicial, destacando nosso compromisso com soluções de identidade acessíveis e seguras.

Pronto para Começar?

Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o plano gratuito da Didit.