Com o novo Regulamento Geral sobre a Proteção de Dados (RGPD), as empresas que processam dados terão de garantir que possuem registos detalhados do que estão a fazer com os dados.

O artigo 30º diz: “Cada responsável pelo tratamento e, se for caso disso, o seu representante, manterá um registo das actividades de tratamento sob a sua responsabilidade”.

O RGPD vai acabar com qualquer distinção entre registos internos e externos. Passa a haver apenas um tipo de registo – o registo interno – que tem de ser disponibilizado às autoridades de controlo a pedido destas.

Em casos extremos, o não cumprimento dos requisitos do RGPD pode levar a tua organização a enfrentar uma multa até 20 milhões de euros ou 4% do volume de negócios global anual, consoante o que for mais elevado.

Controlador ou Processador

Controlador de dados ou Processador de dados

Se é a tua organização que decide para que finalidade os dados são recolhidos, ou como são recolhidos, então és um controlador de dados.

No entanto, se estiveres a fazer o tratamento em nome de outra organização, então és um processador de dados. É provável que a tua organização seja simultaneamente responsável pelo tratamento e subcontratante.

O novo regulamento GDPR tem um conjunto rigoroso de requisitos a seguir, tanto para os responsáveis pelo tratamento de dados como para os processadores de dados. O regulamento estabelece que tens de registar:
1) Os teus dados organizacionais e os dados de contacto do teu responsável pela proteção de dados. Além disso, se a tua empresa não estiver na UE, tens de fornecer os dados do teu representante designado na UE
2) Uma descrição das medidas de segurança que tens em vigor para proteger os dados. Isto inclui tanto medidas de segurança técnica, como a encriptação, como de segurança organizacional, por exemplo, restrições internas sobre quem tem acesso a que partes da rede
3) Para transferências de dados fora do EEE, as organizações terão de documentar para onde os dados estão a ser transferidos e as salvaguardas em vigor para proteger esses dados.

Artigo 30º – O que significa para o Controlador?

Se a tua função é atuar como responsável pelo tratamento, cabe-te a ti determinar a finalidade do tratamento dos dados.

Terás também de registar os tipos de pessoas com cujos dados estás a trabalhar e os tipos de dados com que estás a trabalhar, que serão inevitavelmente diferentes consoante a natureza da tua empresa.

Se fores um responsável pelo tratamento, também terás de registar os tipos de destinatários a quem vais divulgar os dados. É também da responsabilidade do responsável pelo tratamento documentar o período de tempo que planeia manter cada categoria de dados antes de serem apagados.

Artigo 30º – O que significa para o processador?

Se fores o processador, terás de tratar da documentação dos dados. Terás de registar:
– Os nomes e os dados de contacto do responsável pelo tratamento dos dados
– Os dados do RPD do responsável pelo tratamento (se existir) e do seu representante, se não estiver sediado na UE.

Isto pode não parecer muito exigente, mas tens de ter em conta que um subcontratante médio, por exemplo, uma agência de marketing, processa dados em nome de vários clientes. Estes dados também devem ser registados para cada responsável pelo tratamento em nome do qual o subcontratante trata os dados.

Além disso, os subcontratantes têm de documentar as diferentes categorias de tratamento efectuadas em nome de cada responsável pelo tratamento. O GDPR define processamento como: “qualquer operação ou conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Com tantas variáveis, podes ver como isto se pode tornar um problema complexo muito rapidamente.

Que mais precisas de saber sobre o artigo 30º?

Que mais precisas de saber sobre o artigo 30º?

Muitos não estão preparados para este nível de conformidade com a proteção de dados. Terão rapidamente de adotar diretrizes de privacidade maduras que possam auditar as actividades de processamento em vários departamentos, empresas e mercados.

Tens de ter um registo de todo o processamento de dados, quer os dados estejam ou não em formato escrito ou eletrónico, e esse registo tem de estar disponível para a tua autoridade de supervisão local quando esta o solicitar.

Preparação para o artigo 30

As funções empresariais relevantes e as actividades de processamento de dados de terceiros têm de ser identificadas e deve ser criado um Registo de Dados Pessoais. As tuas políticas e avisos de privacidade devem ser actualizados e o pessoal interno deve ser informado sobre o RGPD no que diz respeito às suas funções específicas.

Num contexto mais amplo, o cerne do RGPD reside na sua ênfase na responsabilidade. Deve ser estabelecida uma cadeia de responsabilidade ao nível do departamento, da empresa e da organização, a fim de manter um tratamento coerente dos incidentes, dos processos operacionais e das actividades de comunicação. Podes ler mais sobre a importância da responsabilidade no nosso blogue anterior  aqui.

Se quiseres ajuda adicional para o teu projeto RGPD, podes visitar-nos numa das nossas paragens como parte do nosso roadshow RGPD para Totós, que chegará em breve a uma cidade perto de ti. Inscreve-te nas sessões de informação gratuitas ao pequeno-almoço  aqui.

Também criámos o MetaPrivacy – uma solução do RGPD especificamente concebida para ajudar a sua empresa a lidar com o Artigo 30. Para mais informações sobre o MetaPrivacy e os nossos outros recursos do RGPD, visita  aqui.