Atores do RGPD – Proteção de Dados

RESPONSÁVEL DE TRATAMENTO DE DADOS (RT)
Quem é?
É a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo (sentido subjetivo), que individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.

Cada entidade é representada pelo seu dirigente máximo (os trabalhadores que efetuam o tratamento de dados pessoais na sua entidade fazem-no para cumprir as suas tarefas enquanto responsáveis pelo tratamento).

Quais as competências?
Aplicar as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento de dados é realizado em conformidade com o RGPD. O pedido de autorização e a notificação feitos anteriormente, à Comissão Nacional de Proteção de Dados, são agora substituídos pela auto-responsabilização do Responsável pelo Tratamento de Dados, cabendo-lhe respeitar o RGPD e guardar as provas documentais de tal tratamento.

O que é o princípio da responsabilidade?
O princípio da responsabilidade consagrado no n.º 2 do art.º 5.º, em conjugação com o art.º 24.º do RGPD, exige do Responsável pelo Tratamento de Dados a aplicação de medidas adequadas e eficazes e políticas de proteção de dados com base num critério de risco e de adaptabilidade e proporcionalidade das medidas que garantam o respeito pelos princípios e obrigações do RGPD e, quando solicitado, a sua demonstração às autoridades de controlo.
«…o responsável pelo tratamento deverá proceder, antes do tratamento, a uma avaliação do impacto sobre a proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deverá incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.»
Quais as obrigações?

Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD. Nesse sentido, as suas obrigações dependem da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos para os direitos e liberdades dos titulares de dados.
Respeitar os seguintes princípios:
Princípio da responsabilidade pelo tratamento dos dados em conformidade com o RGPD;
Princípio da segurança do tratamento;
Princípio da licitude, lealdade e transparência;
Princípio da limitação das finalidades e da conservação;
Princípio da minimização dos dados;
Princípio da exatidão;
Princípio da integridade e confidencialidade.
Documentar e identificar o fundamento jurídico dos tratamentos – Licitude do tratamento com o consentimento livre, específico, informado e explícito – (Art.o 6.º);
Respeitar e cumprir os direitos do titular dos dados pessoais (art.o 12.º);
Assegurar a proteção de dados por defeito e desde a conceção – Obrigação relacionada com os princípios da responsabilidade e da minimização (art.º 25.º);
Definir políticas, procedimentos, códigos de conduta adequadas (art.º 24º, nº2);
Obter garantias adequadas do subcontratado (art. 28º);
Registar as atividades de tratamento (art.º 30.º);
Assegurar a segurança do tratamento de dados pessoais e a gestão do risco (art.º 32.º);
Promover a notificação da violação dos dados pessoais (art.º 33.º);
Assegurar a Avaliação de Impacto de Proteção de Dados e a consulta prévia (art.o 35.º e 36.º).

E, ainda:

Cooperar com as autoridades de controlo (Artigo 31º);
Promover a notificação da violação dos dados pessoais à Autoridade de Controlo, em 72h (art.º 33.º).