• Cristina Paula Baptista

12 Obrigações do responsável pelo tratamento de dados

Atualizado: 31 de Mai de 2018

Faz tratamento de dados pessoais? Sabe quais são as suas obrigações?


São 12 as obrigações que o Regulamento Geral de Proteção de Dados (#RGPD #GDPR) atribui ao responsável pelo tratamento de dados (RT). Podemos dizer que essas 12 obrigações se traduzem em 5 responsabilidades de carácter geral, relativas aos princípios a que deve obedecer o tratamento, sendo as outras 7 responsabilidades específicas, que dizem respeito à qualidade e segurança.


1. Garantir a conformidade do tratamento com o RGPD

O tratamento de dados pessoais obedece a um conjunto de princípios cujo cumprimento é da responsabilidade do RT. Isto quer dizer que cabe ao RT a obrigação de aplicar as medidas técnicas e organizativas que sejam adequadas para assegurar a conformidade do tratamento de dados com o RGPD.

2. Demonstrar que o tratamento é realizado em conformidade com o RGPD

Mas não basta assegurar essa conformidade, o RT tem de poder demonstrá-la. Para tanto o RT tem que adoptar políticas próprias de proteção de dados, aderir a códigos de conduta ou ter implementado mecanismos de certificação. Têm que existir documentos que comprovem que a conformidade com o RGPD está implementada, é efectiva e que existem mecanismos de revisão e de melhoria, sempre que necessário.

3. Escolher o subcontratante

O RT pode escolher um subcontratante que trate os dados pessoais por sua conta. Nestes casos o RT só pode recorrer a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas, de forma a que o tratamento de dados se realize em conformidade com o RGPD.

4. Garantir os registos das actividades de tratamento

O registo das atividades de tratamento de dados pessoais é um documento interno onde é possível ver como e porquê se procedeu ao tratamento daqueles dados em concreto. Há tratamentos de dados que estão dispensados deste registo.

5. Cooperar com a Comissão Nacional de Proteção de Dados (#CNPD)

As autoridades de controlo têm um conjunto de atribuições relativas à proteção de dados, cabendo ao RT de dados colaborar no âmbito da sua prossecução. Em Portugal a autoridade de controlo é a Comissão Nacional de Proteção de Dados.

6. Garantir a segurança do tratamento

O RT tem de garantir que o tratamento de dados pessoais é seguro. Neste sentido o RT tem de levar em linha de conta o disposto no RGPD quando implementa as medidas técnicas (tecnologias) e organizacionais relativas a cada tratamento de dados pessoais.

7. Notificar a violação de dados à CNPD

No caso de ocorrer uma violação de dados, o RT está obrigado a comunicar à Comissão Nacional de Proteção de Dados. Essa comunicação deve ser feita sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma.

8. Comunicar a violação de dados aos titulares dos dados

Quando a violação de dados pessoais implicar um risco para os direitos e liberdades das pessoas singulares o RT poderá estar obrigado a comunicar a violação de dados ao seu titular.

9. Fazer avaliação de impacto da proteção de dados

Antes de dar início a um tratamento de dados pessoais o RT, em colaboração com o encarregado de proteção de dados (quando exista), deve realizar uma avaliação de impacto da proteção de dados (AIPD). Esta #AIPD é obrigatória sempre que do tratamento de dados pessoais possa resultar um elevado risco para os direitos e liberdades das pessoas, esteja prevista em código de conduta aprovado ou se refira a determinadas categorias de dados.

10. Realizar a consulta prévia junto da CNPD

Sempre que a AIPD concluir que a não adopção de medidas de salvaguarda e proteção que garantam a segurança do tratamento de dados pode resultar em elevado risco para os direitos e liberdades das pessoas, o RT fica obrigado a, antes de iniciar o tratamento de dados, submeter o relatório da AIPD à consulta prévia da CNPD.

11. Contratar o encarregado de proteção de dados (EPD)

O RT é obrigado a designar um #EPD sempre o tratamento de dados: (i) é realizado por uma autoridade ou organismo público, (ii) quando a sua natureza, âmbito ou finalidade exija um controlo regular e sistemático dos titulares dos dados e (iii) quando a atividade do RT consista no tratamento de dados pessoais em grande escala, ou se refira a determinadas categorias de dados (os dos artigos 9.º e 10.º).

12. Garantir o estatuto de autonomia do encarregado de proteção de dados

O EPD tem responsabilidades próprias, cabendo ao RT assegurar que o EPD dispõe de todas as condições necessárias ao exercício da suas funções. Assim, o RT assegura que o EPD seja envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.


Duas notas finais:

- Muitas das obrigações do RT são, também, obrigações do subcontratante, sendo estes solidariamente responsáveis pelo seu cumprimento;

- Quando o RT está estabelecido fora da União Europeia tem a obrigação de designar um representante seu na União.


Outras leituras neste blog:

- 5 Coisas que deve saber sobre proteção dados

- RGPD|GDPR - Enquadramento

- 9 + 3 - Os Direitos do Titular de Dados Pessoais


Se necessita de aconselhamento especializado sobre o RGPD e procedimentos de conformidade com o RGPD entre em contacto comigo.


#privacidade #RGPD #GDPR #proteçãodedados #avaliaçãodeimpacto

572 visualizações