Especialistas jurídicos e do setor de Tradução e Interpretação definem diretrizes para o compliance da GDPR, a lei de proteção de dados da União Europeia
Entenda nesse artigo como isso pode impactar o Compliance na LGPD brasileira:
O Regulamento Geral de Proteção de Dados da União Europeia – RGPD (ou GDPR em inglês), lei que inspirou a nossa LGPD, entrou em vigor em 2018, mas até então não havia estabelecido regras claras para o setor de Tradução e Interpretação (T&I), o que resultou em polêmicas sobre compliance e ausência de diretrizes claras por parte das autoridades nacionais de proteção de dados.
Stefanie Bogaerts, Presidente da FreeLing Foundation, e John O´Shed, Presidente do Conselho da FIT Europe (braço europeu da Federação Internacional de Tradutores), comentam a questão:
“No setor de Tradução e Interpretação, a presença de dados pessoais em conteúdo traduzido ou interpretado apresenta desafios únicos. Os dados pessoais nesse tipo de conteúdo não são estruturados, mas ad hoc, quase incidentais, e como tal, difíceis de processar de forma consistentemente segura. Além disso, os clientes geralmente desconhecem suas obrigações em relação ao processamento seguro dos dados pessoais no conteúdo que enviam para tradução ou intepretação”.
Umas das formas mais utilizadas de proteção contra os riscos de vazamento de dados pessoais é a exigência de contratos com prestadores de serviços, sejam eles tradutores e intérpretes autônomos ou empresas de tradução. Os contratos específicos são fundamentais para a mitigação de riscos, mas não protegem contra a perda de reputação e o desgaste sofrido pelas partes envolvidas.
Diretrizes do TEW para o cumprimento da GDPR
Visando a criação de diretrizes para o cumprimento da GDPR no exercício da profissão de tradução e interpretação, a Direção Geral de Tradução da Comissão Europeia criou o TEW – Translating Europe Workshop – um painel de especialistas jurídicos e do setor de Tradução e Interpretação dedicado a preparar um conjunto de diretrizes voltadas para as necessidades do setor.
Desse Workshop resultou um relatório que analisa seis áreas específicas do setor:
- Tipos de dados pessoais tratados no setor de Tradução e Interpretação
- O papel dos prestadores de serviços linguísticos enquanto controladores e processadores
- Acordos contratuais entre controladores e processadores
- O uso de subprocessadores no setor de Tradução e Interpretação
- Questões e soluções relacionadas à retenção de dados
- Identificação, análise e mitigação de riscos
Esse Relatório pode ser acessado (em inglês) no site da EUATC – European Union of Associations of Translation Companies, a Associação Europeia de Empresas de Tradução.
Tratamento de dados pessoais nas empresas de tradução
Com relação aos tipos de dados pessoais tratados, as empresas prestadoras de serviços linguísticos normalmente processam dois tipos de dados pessoais: os dados administrativos – que incluem dados de clientes, fornecedores e empregados -, e os dados contidos em traduções e interpretações. Os dados administrativos, como nome devem ser tratados da mesma forma que em qualquer outro setor, mas o tratamento de dados traduzidos ou interpretados é bastante específico no setor de Tradução e Interpretação. Por exemplo, dado pessoais encontrados na tradução de um relatório médico, são informações que devem protegidas, assim como quaisquer dados relativos à saúde, orientação sexual, afiliação a partido político e religião, dentre outros.
O TEW concluiu que os prestadores de serviços linguísticos são sim responsáveis por assegurar que tratamento de dados pessoais contidos em suas traduções esteja em plena conformidade com o GDPR, com certas exceções somente para aqueles contidos em traduções públicas, como a tradução juramentada ou certificada, que possuem regras próprias, como, por exemplo, a retenção dos textos para fins de documentação obrigatória. Por outro lado, os dados encontrados em traduções juramentadas podem apresentar grandes riscos, como, por exemplo, a tradução de antecedentes criminais, já que dados relativos a condenações criminais são informações de altíssimo risco de acordo com a referida lei.
Por outro lado, o TEW considera que os dados contidos em conteúdos interpretados não devem ser considerados como processamento sob a GDPR, a menos que para a interpretação seja utilizado um suporte automatizado ou que a interpretação seja gravada. Mas se houver registro do conteúdo interpretado, seja ele pelo uso de ferramentas de tradução ou interpretação automática ou por qualquer registro verbal em qualquer mídia, então esse conteúdo tornar-se sujeito aos requisitos da lei.
Período de retenção de traduções contendo dados pessoais
Outra questão importante a ser considerada é o período de retenção de dados pessoais contidos nas traduções. De acordo com a GDPR, esses dados não podem ser retidos para sempre. Os dados administrativos, por exemplo, não devem retidos por um período maior do que o necessário, embora essa retenção seja necessária, de acordo com a lei local, para permitir o exercício de reivindicações jurídicas. As leis locais variam de país para país, principalmente no que se refere à retenção da tradução juramentada.
Fora da União Europeia, esse período de retenção varia ainda mais. No Brasil por exemplo, o registro de traduções juramentadas deve ser mantido pelo tradutor juramentado por toda a vida, para fins de reprodução, quando necessário, ou para a hipótese de o registro ser requerido em juízo.
A nossa LGPD – Lei Geral de Proteção de Dados ainda não se debruçou especificamente no tratamento de dados pessoais contidos em traduções ou interpretações, mas o trabalho do painel europeu pode nos ajudar a construirmos nosso próprio olhar.
Uma prática muito específica do setor de tradução é o uso de ferramentas como memórias de tradução, que são mantidas por longos períodos. Para esse caso, o painel do TEW recomenda o uso de ferramentas de anonimização de dados para a mitigação de riscos, mas observa que mesmo a anonimização não garante a remoção integral de dados pessoais.
Mitigação de Risco no tratamento de dados
Segundo o painel, há diversas medidas que devem ser tomadas pela empresa de tradução ao processar dados pessoais:
- Identifique e mitigue os riscos pela perspectiva das suas próprias operações como uma empresa de tradução;
- Estabeleça acordo contratuais adequados com o controlador e em toda a cadeia de suprimento;
- Documente as avaliações de risco e as atividades de processamento de dados pessoais e medidas técnicas e organizacionais a elas associadas;
- Assegure que as transferências de dados pessoais a outros países sejam contratualmente autorizadas e apropriadamente administradas;
- Estabeleça, verifique e cumpra com os períodos de retenção definidos;
- Envolva todos os níveis da cadeia de suprimento na conscientização de suas obrigações através de treinamento contínuo.
“Os riscos são inerentes a qualquer atividade, mas uma empresa de tradução que possui o selo ISO 27001 – Gestão da Segurança da Informação demonstra que foi submetida aos rigorosos escrutínios de certificadoras internacionais, tendo sido aprovada em suas práticas de tratamento de dados pessoais e informações confidenciais”, afirma Célia Korn, Tradutora Juramentada e CEO da Korn Traduções, única empresa brasileira certificada pela ATC – Association of Translation Companies do Reino Unido.
Para traduções juramentadas ou livres, conte com a Korn!
Korn Traduções: há 30 anos prestando serviços de tradução juramentada e livre, legendagem, transcrição de áudio e vídeo, revisão, pós-edição e tradução de websites. Dupla certificação internacional: ISO 27001 – Sistema de Gestão da Segurança da Informação e ISO 9001 – Sistema de Gestão da Qualidade. Solicite um orçamento.
Agilidade, Segurança e Qualidade. CONHEÇA NOSSO PROCESSO Anexe seus documentos e escolha o tipo de serviço que deseja.