RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

Uma das questões que tem gerado dúvidas nas organizações com as quais eu tenho trabalhado na implementação do novo Regulamento Geral de Proteção de Dados (RGPD) é a responsabilidade em relação aos dados pessoais que a “nossa organização armazena, mas que são processados pelos nossos clientes”. No âmbito do novo RGPD, levanta-se a questão, quais as responsabilidades dessas organizações?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

Data controller  e  Data processor – O que significa?

De acordo com o artigo 4º do RGPD diferentes funções são identificadas do seguinte modo:

  • Data controller (Controlador) – Qualquer organização que decide como e porque é que os dados são processados. Considera-se a pessoa física ou jurídica, a autoridade pública, a agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de dados pessoais.
  • Data Processor (Processador) – A pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (subcontratante). Significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.

Assim, as organizações que determinam os meios de processamento de dados pessoais são controladores, independentemente de recolherem diretamente os dados das pessoas em questão. Por exemplo, um banco (controlador) recolhe os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas pela entidade bancária. Essas empresas podem ser Datacenters ou empresas de gestão e custódia de documentos. De acordo com RGPD, ambas as organizações (controlador e processador) são responsáveis ​​pelo tratamento dos dados pessoais desses clientes.

Quais são as responsabilidades dos controladores?

De acordo com o artigo 5º do RGPD, o controlador deve ser responsável e poder demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais, sistematizando: legalidade, equidade, transparência, minimização de dados, precisão, limitação de armazenamento, integridade, e confidencialidade.

Quais são as responsabilidades dos processadores?

De acordo com o artigo 28.º do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este só deve subcontratar apenas os processadores que forneçam garantias suficientes de cumprimento do RGPD, isto é, processadores que tenham evidências da implementação das medidas técnicas e organizacionais adequadas de tal forma que o processamento satisfaça os requisitos do regulamento.

Isto significa que, qualquer empresa da UE ou de fora da UE, como controlador ou processador, terá de implementar os controlos necessários para garantir que estes estejam em conformidade com o RGPD, porque a responsabilidade é de ambos e as multas podem ser aplicadas a ambos, aos controladores e processadores.

De acordo com o artigo 83.º, serão aplicadas multas em relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

No âmbito da aplicação do novo Regulamento Geral de Proteção de Dados (RGPD) a partir de 25.05.2018 e no novo modo de relacionamento das empresas com a autoridade nacional de supervisão competente – CNPD Comissão Nacional Proteção de Dados, podemos falar naquilo que chamamos uma mudança de paradigma. Iremos passar de um modelo de hetero regulação para um modelo de autorregulação.

Esta mudança coloca a todas as entidades, sejam elas organismos públicos ou empresas do setor privado, um novo de desafio na responsabilidade e na conformidade da proteção e na privacidade dos dados pessoais das pessoas singulares.

Pela Lei de Proteção de Dados 67/98, em vigor até à aplicação do novo Regulamento, temos o modelo da heteroregulação, o que quer dizer que se uma empresa decidir fazer a recolha e o tratamento de dados pessoais tem como obrigação notificar a CNPD antes dessa recolha e respetivo tratamento, utilizando para isso os respetivos formulários disponíveis no site da autoridade.

Estamos a falar de situações como o caso da instalação de sistemas de videovigilância, ou controle dados biométricos nos sistemas de controlo de acessos e nos sistemas de controlo de assiduidade, assim como num conjunto de outras situações, como por exemplo a geolocalização, no controlo do uso da internet pelos colaboradores. Esta notificação também abrange qualquer alteração que ocorrer nesse tratamento.

Com o novo Regulamento é eliminada essa obrigatoriedade de notificação. Por um lado podemos dizer que há um eliminar de uma fase burocrática e administrativa, por outro lado, representa uma maior responsabilidade das organizações que realizam tratamentos de dados pessoais.

Ao fazer esta notificação à CNPD, a empresa estava a conseguir uma decisão de conformidade ao dar as garantias dessa recolha e tratamento de dados por uma entidade externa, que ela mesma instalava e fiscalizava o sistema de coleta e tratamento dos dados. E se essa entidade fornecedora do sistema dizia que estava conforme, então as organizações estavam em conformidade e tranquilas a partir do momento que notificavam a CNPD.

Pelo novo Regulamento, são as organizações que terão assegurar, e demonstrar, que estão em conformidade com o RGPD. Portanto, há aqui um novo conjunto de obrigações que terão que ser asseguradas pelos responsáveis pelo tratamento e pelos subcontratantes.

O Regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

Neste sentido, o documento Privacy Impact Assessment (PIA) apresenta-se como o elemento principal para a conformidade com esta nova responsabilidade. Nesta avaliação a organizações deverão descrever com detalhe, por exemplo, todas as operações de tratamento de dados pessoais. E este estudo tem que estar disponível, porque num âmbito de uma inspeção, a CNPD vai solicitar esse repositório. Nesta situação, a inexistência deste documento apresenta-se como uma agravante para a aplicação de sanções.

Estamos assim a falar de um novo modelo de autorregulação e numa inversão do ónus da prova. Ou seja, antes teria que ser uma pessoa a comprovar que determinada entidade não cumpria a legislação da proteção de dados pessoais, com o novo modelo do Regulamento, terá que ser a organização a demonstrar e provar que cumpre o Regulamento e que nada fez de errado e que o tratamento está em conformidade. Daí se falar numa responsabilidade demonstrada.

Saiba como poderá ajudar a sua organização a dar o salto para a conformidade. Para uma avaliação primária da situação atual face ao RGPD, análise processual e tecnológica da empresa ou para assistir às próximas sessões de formação e sensibilização RGPD.