É difícil acreditar que estamos a aproximar-nos do aniversário de um ano do RGPD. Após um período de transição de dois anos, o RGPD entrou em vigor a25 de maio de 2018 e transformou completamente a forma como as organizações abordam a privacidade dos dados.

A legislação foi introduzida para refletir o nosso mundo cada vez mais digitalizado e reconhecer os direitos dos indivíduos no que diz respeito à utilização dos seus dados pessoais.

Muitas organizações despenderam muito tempo e esforço para garantir que estão em conformidade com a nova legislação, no entanto, para outras, tem sido uma jornada mais difícil e árdua. Demonstrar a conformidade com o RGPD é um processo contínuo e há muitos aspectos da legislação que ainda requerem esclarecimento e podem ser confusos para as organizações.

Dois termos que ouvimos constantemente em relação ao GDPR são “Controladores de dados” e “Processadores de dados”. É importante compreender a distinção entre estes dois termos, uma vez que determinará as tuas responsabilidades ao abrigo da legislação.

A distinção entre um Responsável pelo Tratamento de Dados e um Processador de Dados pode ter consequências significativas no mundo real. Se uma organização estiver envolvida no processamento de dados, é vital que estabeleça funções e responsabilidades numa fase inicial para evitar qualquer confusão caso ocorra uma violação de dados. Isto ajudará a garantir que não existem lacunas nas responsabilidades e que as organizações podem lidar com estas questões de forma eficiente e eficaz.

O que são dados pessoais?

Se a tua organização processa dados pessoais, então o RGPD aplica-se a ti. A UE define “Dados Pessoais” como qualquer informação que possa ser utilizada para identificar direta ou indiretamente um indivíduo (titular dos dados). Isto inclui tudo, desde um nome, endereço de correio eletrónico, endereço IP e imagens. Inclui também dados pessoais sensíveis, como dados biométricos ou dados genéticos, que podem ser processados para identificar uma pessoa.

És um “Controlador de dados” ou um “Processador de dados”?

1 6
1 6

    

Se a tua organização determina as finalidades e a forma como os dados pessoais são processados, então é considerada um responsável pelo tratamento de dados.

Os responsáveis pelo tratamento de dados desempenham um papel fundamental na conformidade com o RGPD devido aos dados pessoais de clientes e funcionários que retêm e recolhem.

As funções do controlador de dados incluem:

  • Facilitar uma maior transparência do tratamento dos dados relativos à privacidade em relação aos pedidos dos titulares dos dados
  • Assegurar que os titulares dos dados são tratados dentro dos prazos definidos pelo RGPD
  • Efetuar avaliações da privacidade e nomear DPOs
  • Notificar as autoridades de controlo das violações de dados no prazo de 72 horas após a descoberta da violação
  • Monitorizar e responder às alterações nos mandatos de conformidade
  • Substituir os campos de dados de identificação por pseudónimos e encriptar os dados pessoais
  • Manter registos do tratamento de dados pessoais através de um Registo de Dados Pessoais
  • Gerir e controlar a interação de terceiros relativamente ao processamento e tratamento de dados pessoais

Quem é um subcontratante de dados e quais são as suas responsabilidades?

Responsabilidades do processador de dados

Se uma pessoa, organização, agência ou outro organismo atuar em nome de um responsável pelo tratamento de dados, é considerada um subcontratante.

Exemplos de um Processador de Dados incluem:

  • Uma agência externa (por exemplo, uma empresa responsável pela eliminação de informações de clientes)
  • Um fornecedor de serviços na nuvem que armazena dados pessoais
  • Qualquer prestador de serviços que actue em teu nome com acesso aos dados pessoais de um cliente ou empregado

Lê também o Dummies guide to ePrivacy Regulation

As funções do processador de dados incluem:

  • Decide quais os sistemas informáticos ou outros métodos a utilizar para recolher dados pessoais
  • Como armazenar dados pessoais
  • Segurança dos dados
  • Meios utilizados para transferir dados de uma organização para outra
  • Meios utilizados para obter dados pessoais sobre determinadas pessoas
  • Assegura que o método subjacente ao calendário de conservação é cumprido
  • Meios utilizados para apagar/eliminar dados

Os processadores de dados estão sujeitos a várias novas obrigações ao abrigo do RGPD, que incluem a manutenção de medidas que atribuem níveis adequados de segurança aos dados pessoais em relação ao risco potencial.

Os processadores de dados são obrigados a cumprir as instruções dos responsáveis pelo tratamento de dados, a menos que essas instruções entrem em conflito com o próprio RGPD.

Um responsável pelo tratamento de dados pode ser também um subcontratante?

Existem certas áreas cinzentas onde as situações se podem sobrepor, tornando difícil distinguir se és um responsável pelo tratamento de dados ou um processador de dados. No entanto, o ICO é claro nos seus conselhos, afirmando que: “Uma organização não pode ser simultaneamente responsável pelo tratamento de dados e subcontratante para a mesma atividade de tratamento de dados; tem de ser uma ou outra.

Isto significa que, para determinar que organização é responsável pela proteção de que dados, é necessário analisar o tratamento em questão, bem como as organizações envolvidas. É também importante que, na medida do possível, os sistemas e procedimentos distingam entre os “próprios” dados da organização e os dados que esta trata em nome de outras.”

Aprende também o que é um consentimento válido para o RGPD

Para garantir a conformidade total com o RGPD, as organizações terão de definir claramente as funções e responsabilidades para evitar entrar em conflito com a legislação. Se não tiveres a certeza de qual é a situação da tua organização, deves consultar um consultor jurídico para obteres mais esclarecimentos.

O MetaPrivacy foi concebido para fornecer a melhor abordagem prática à conformidade com a privacidade dos dados. Contacta-nos para obteres mais informações sobre como podemos ajudar a tua organização a melhorar a sua estrutura de conformidade.

AVISO LEGAL: O conteúdo e as opiniões deste blogue destinam-se apenas a fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser considerados ou tratados como substitutos de aconselhamento específico relevante para circunstâncias particulares, a Lei de Proteção de Dados ou qualquer outra legislação atual ou futura. O MetaCompliance não se responsabiliza por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança nos materiais contidos neste blogue.