Thursday, 12 October 2017

A auto-responsabilização pelo tratamento de dados: o novo paradigma do regime europeu da proteção de dados

VolverEste mês o Departamento de Direito Digital da Belzuz Abogados S.L.P. – Sucursal em Portugal debruça-se sobre a responsabilidade do responsável pelo tratamento e do subcontratante na nova regulamentação europeia da proteção de dados pessoais.

A anterior Diretiva 95/46/CE de 24 de Outubro de 1995, agora revogada, apenas previa, de forma genérica, o direito do titular dos dados a obter, do responsável pelo tratamento, a reparação dos prejuízos sofridos e, paralelamente, a possibilidade da exoneração da responsabilidade deste através da prova de que o facto danoso não lhe era imputável.

Já o novo Regulamento UE 2016/679 de 27 de abril de 2016 – de aplicação direta aos Estados-Membros – consagra expressamente a responsabilidade do responsável por qualquer tratamento de dados pessoais, quer pelo mesmo realizado quer subcontratado, cabendo-lhe proactivamente comprovar que cumpre a legislação aplicável com vista à proteção efetiva dos direitos dos titulares dos dados.

O mesmo princípio encontra expressão na previsão da responsabilidade conjunta dos responsáveis pelo tratamento. Existindo mais de um responsável, as respetivas funções no tratamento dos dados, correspondentes responsabilidades pelo cumprimento do Regulamento e inerentes obrigações, incluindo no respeitante à informação a prestar ao titular dos dados, devem estar claramente acordadas e definidas em documento escrito, cujo conteúdo essencial deve ser comunicado ao titular dos dados.

Com vista à efetivação desta responsabilidade, passa a ser obrigatória, para o responsável pelo tratamento ou subcontratante que não estejam estabelecidos na UE (nos casos, expressamente previstos, em que o Regulamento será aplicável), a designação de um representante, estabelecido num dos Estados Membros onde se encontram os titulares dos dados objeto de tratamento, com poderes de representação (em complemento ou substituição do responsável pelo tratamento ou do subcontratante), designadamente perante as autoridades de controlo e os titulares dos dados.

Inovadora é também (e sobretudo) a regulamentação comunitária em matéria de subcontratação.

O novo Regulamento impõe ao responsável pelo tratamento o recurso a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas com vista ao cumprimento dos requisitos legais e à proteção dos direitos do titular dos dados.

Resulta agora manifesto que o subcontratante age sob a autoridade do responsável pelo tratamento. Nessa medida, a subcontratação, promovida pelo subcontratante – com expressa previsão legal - depende de prévia autorização escrita do responsável pelo tratamento.

Paralelamente, o subcontratante que, em violação do Regulamento, determinar as finalidades e os meios de tratamento, passa a ser considerado responsável pelo mesmo.

O tratamento de dados em subcontratação deve agora ser regulado por contrato escrito ou outro ato normativo ao abrigo do direito comunitário ou nacional, que vincule o subcontratante ao responsável pelo tratamento e estabeleça os correspondentes direitos e obrigações, nomeadamente a obrigação do subcontratante de tratar os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento (salvo imposição legal), a sua obrigação de confidencialidade ou o dever de prestação, ao responsável pelo tratamento, das informações necessárias para demonstrar o cumprimento das respetivas obrigações.

Em cumprimento deste princípio de auto-responsabilização, cada responsável pelo tratamento e cada subcontratante deve conservar um registo escrito e em formato eletrónico, de todas as atividades de tratamento sob a sua responsabilidade. De notar que esta obrigação só é aplicável a organizações com mais de 250 trabalhadores, exceto em caso de tratamento regular de categorias especiais de dados suscetíveis de implicar risco para os direitos e liberdades dos titulares dos dados (como dados genéticos, biométricos ou de saúde).

No contexto deste novo paradigma, o Regulamento Geral de Proteção de Dados Pessoais impõe ainda, ex novo, ao responsável pelo tratamento, particulares obrigações: (i) avaliação prévia do impacto das operações de tratamento sobre a proteção de dados quando o mesmo seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares; (ii) consulta prévia à autoridade de controlo quando tal avaliação prévia indicar que o tratamento implica um risco elevado de violação deste normativo; em casos específicos (designadamente havendo tratamento de dados pessoais em grande escala) designação de um encarregado da proteção de dados.

O Departamento de Direito Digital da Belzuz Abogados S.L.P. – Sucursal em Portugal está habilitada a prestar assessoria jurídica em matéria de proteção de dados pessoais e, nomeadamente, na adaptação das empresas responsáveis pelo tratamento de dados ao novo regime europeu.

 

Digital Law department | Portugal

 

Belzuz Advogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa