Processador x sub processador

Bruno, tudo bom?

A lei não fala em sub-X, independente de ser controlador ou processador. Você terá as responsabilidades de processador junto com a terceirizada. É um nó jurídico, mas vou tentar dar um exemplo:

Imagine que a instituição financeira peça para que seja retirado o nome de uma pessoa do sistema. O processador vai no sistema tirar o nome, mas o seu sistema não permite. O processador ter que te contactar para que realize a operação. Se você não fizer vai ser um efeito cascata de punição, atingindo inclusive você.

Num caso real a instituição deveria garantir que a terceirizada use um software homologado para a LGPD. Isso com o tempo vai ser comum.

é nesse ponto que eu quero chegar! como um "fornecedor" de software eu forneço o banco de dados de um sistema a uma empresa, que por sua vez recebe os dados de um banco... neste cenário, que preocupações eu como fornecedor "genérico" de software (afinal forneço o mesmo software para várias empresas) tenho que tomar?

o banco de dados é do meu sistema, mas os dados são de outros, como defino o que poderá ou não, por exemplo, ser importado no sistema? De forma genérica...

Como a Lei ainda não está em vigor vamos ao campo do achismo, tentando desvendar o juridiquês. Participo de grupos sobre o tema, com advogados, e certa vez perguntei justamente isso. Eu faço um software e usam ele de forma incorreta? Como eu disse no exemplo, se você tiver a funcionalidade e o processador não apagar você não é comprometido. Se não tiver a funcionalidade vai precisar agir.

Mais uma analogia, a LGPD pode ser vista como um padrão a ser seguido. Para você fabricar uma peça automotiva você tem que seguir alguns padrões de qualidade (ISO, IMETRO, etc), o mesmo passa a ser feito com software. Você terá que fazer um software adequado aos termos da LGPD, primeiro para evitar problemas, segundo pq no futuro as empresas vão exigir isso dos seus fornecedores e se vc não estiver adequado vai perder mercado.

Então Ronald esse achismo que é f... Nunca estive perto de uma mudança tão "drástica" assim... Essa adequação do software que me preocupa... hoje mesmo entrei em contato com alguns clientes, questionando se as instituições financeiras já tinham passado adequações que eles precisavam seguir.. e eles estão mais perdidos que tudo! Como falei, no meu caso, o software é de cobrança dos diversos tipos: bancaria, veiculo, cartao, educacional... então tenho diversas estruturas e tratamentos para cada "banco"... cada banco obtém dados e repassa para que as assessorias possam realizar a cobrança mas ta cheio de dado DESNECESSÁRIO para a cobrança... será que na condição de fornecedor o software teria que "rejeitar" os dados DESNECESSÁRIOS para a atividade fim?

Você tem acesso a grupos do assunto x softwares ai?

Bruno, gosto bastante do grupo abaixo:

https://www.meetup.com/pt-BR/Conceito-LGPD-Lei-Geral-de-Protecao-de-Dados-Pessoais/

Inclusive foi nesse grupo que certa vez perguntei sobre a nossa responsabilidade como desenvolvedor no caso de uma IA caixa preta tomar decisões que eu não previ. Segundo os advogados de lá sou responsável por isso de qualquer forma.

A LGPD é uma lei, e como toda lei tem muito juridiquês no meio. Só vamos realmente ter certeza das coisas quando ela entrar em vigor e os exemplos forem entrando no processo. Exemplo, o órgão regulador nem está formado e nem maduro para julgar, como isso vai ser? Não sei, realmente tem a lei que deve ser lida e relida, você deve procurar ajuda jurídica e tem vários advogados, escritórios e consultorias se especializando no assunto. A certeza é que todas elas vão escorregar em algum momento, mas não tem muito para onde correr.