Quem é o responsável pelo tratamento e quem é o subcontratante?
O RGPD distingue entre duas funções principais: as do responsável pelo tratamento de dados e do subcontratante. Esta distinção é crucial, uma vez que o responsável pelo tratamento dos dados assume mais responsabilidades e tem de cumprir mais obrigações do que o subcontratante.
Os responsáveis pelo tratamento de dados e os subcontratantes podem ser pessoas singulares ou coletivas, por exemplo: uma PME, uma autoridade pública, uma empresa, uma organização, um organismo estatal, uma associação, etc.
O responsável pelo tratamento determina as finalidades e os meios de uma operação de tratamento. Por outras palavras, o responsável pelo tratamento decide o como e o porquê de uma operação de tratamento. Considerando que os subcontratantes tratam dados pessoais em nome do responsável pelo tratamento, o tratamento efetuado pelos subcontratantes deve ser regulado por um contrato com o responsável pelo tratamento dos dados ou por outro ato jurídico.
Exemplos de responsáveis pelo tratamento:
- empresas que tratam os dados pessoais dos seus clientes para concluir uma venda;
- instituições financeiras que tratam dados pessoais dos seus clientes;
- associações que tratam os dados dos seus membros;
- escolas ou universidades que tratam dados pessoais de estudantes e professores;
- hospitais que tratam dados pessoais dos seus doentes;
- agências governamentais que tratam dados pessoais dos cidadãos.
Exemplos de subcontratantes:
- uma PME contrata um serviço de contabilidade para manter os seus livros e registos, a PME é responsável pelo tratamento de dados e o serviço de contabilidade é um subcontratante de dados;
- uma empresa de processamento de salários processa dados pessoais de uma PME. A empresa de processamento de salários atuará como subcontratante se apenas tratar os dados pessoais em nome da PME. A PME determina as finalidades e os meios do tratamento de dados e, por conseguinte, é responsável pelo tratamento dos dados.
- uma PME encarrega uma empresa de marketing de recolher endereços de correio eletrónico através de sítios Web de terceiros. A empresa de marketing fá-lo de acordo com as instruções explícitas da PME e para fins exclusivos da PME. A Empresa de Marketing atua como subcontratante para esta recolha de dados.
Mais informações: