RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

Uma das questões que tem gerado dúvidas nas organizações com as quais eu tenho trabalhado na implementação do novo Regulamento Geral de Proteção de Dados (RGPD) é a responsabilidade em relação aos dados pessoais que a “nossa organização armazena, mas que são processados pelos nossos clientes”. No âmbito do novo RGPD, levanta-se a questão, quais as responsabilidades dessas organizações?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

Data controller  e  Data processor – O que significa?

De acordo com o artigo 4º do RGPD diferentes funções são identificadas do seguinte modo:

• Data controller (Controlador) – Qualquer organização que decide como e porque é que os dados são processados. Considera-se a pessoa física ou jurídica, a autoridade pública, a agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de dados pessoais.
• Data Processor (Processador) – A pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (subcontratante). Significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.

Assim, as organizações que determinam os meios de processamento de dados pessoais são controladores, independentemente de recolherem diretamente os dados das pessoas em questão. Por exemplo, um banco (controlador) recolhe os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas pela entidade bancária. Essas empresas podem ser Datacenters ou empresas de gestão e custódia de documentos. De acordo com RGPD, ambas as organizações (controlador e processador) são responsáveis ​​pelo tratamento dos dados pessoais desses clientes.

Quais são as responsabilidades dos controladores?

De acordo com o artigo 5º do RGPD, o controlador deve ser responsável e poder demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais, sistematizando: legalidade, equidade, transparência, minimização de dados, precisão, limitação de armazenamento, integridade, e confidencialidade.

Quais são as responsabilidades dos processadores?

De acordo com o artigo 28.º do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este só deve subcontratar apenas os processadores que forneçam garantias suficientes de cumprimento do RGPD, isto é, processadores que tenham evidências da implementação das medidas técnicas e organizacionais adequadas de tal forma que o processamento satisfaça os requisitos do regulamento.

Isto significa que, qualquer empresa da UE ou de fora da UE, como controlador ou processador, terá de implementar os controlos necessários para garantir que estes estejam em conformidade com o RGPD, porque a responsabilidade é de ambos e as multas podem ser aplicadas a ambos, aos controladores e processadores.

De acordo com o artigo 83.º, serão aplicadas multas em relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.