ABC do RGPD – Parte 4 – Responsáveis de Tratamento e Subcontratantes

Segundo o RGPD, um  Responsável pelo Tratamento, é uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro; e um Subcontratante, é uma pessoa singular ou coletiva, uma autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

Ou seja, o Responsável pelo Tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Portanto, uma empresa/organização é a Responsável pelo Tratamento se decide «porquê» e «como» os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas enquanto Responsável pelo Tratamento. .O Subcontratante só efetua o tratamento de dados pessoais em nome do Responsável pelo Tratamento. O Subcontratante é geralmente um terceiro externo à empresa; contudo, no caso dos grupos de empresas, uma empresa pode atuar como Subcontratante para outra empresa.

Os deveres do Subcontratante perante o Responsável pelo Tratamento devem ser especificados num contrato ou noutro ato jurídico. Por exemplo, o contrato deve indicar o que acontece aos dados pessoais uma vez terminado o contrato. O subcontratante só pode subcontratar uma parte das suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver recebido autorização prévia por escrito do responsável pelo tratamento dos dados.