Resposta

O responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Portanto, a sua empresa/organização é a responsável pelo tratamento se decide «porquê» e «como» os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas enquanto responsável pelo tratamento.

A sua empresa/organização é responsável conjunto pelo tratamento quando determina, em conjunto com uma ou mais organizações, «porquê» e «como» os dados pessoais devem ser tratados. Os responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas cujos dados são objeto de tratamento.

O subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. O subcontratante é geralmente um terceiro externo à empresa; contudo, no caso dos grupos de empresas, uma empresa pode atuar como subcontratante para outra empresa.

Os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico. Por exemplo, o contrato deve indicar o que acontece aos dados pessoais uma vez terminado o contrato. Uma atividade típica dos subcontratantes é a oferta de soluções informáticas, incluindo armazenamento em nuvem. O subcontratante só pode subcontratar uma parte das suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver recebido autorização prévia por escrito do responsável pelo tratamento dos dados.

Existem situações em que uma entidade pode ser um responsável pelo tratamento, um subcontratante ou ambos.

Exemplos

Responsável pelo tratamento e subcontratante

Uma fábrica de cerveja tem muitos trabalhadores. Assina um contrato com uma empresa de gestão de folhas de pagamento para que esta efetue o pagamento dos seus salários. A fábrica de cerveja informa a empresa de gestão de folhas de pagamento quando os salários devem ser pagos, quando um trabalhador sai da empresa ou recebe um aumento, e fornece todos os restantes dados necessários para a folha de salário e o pagamento. A empresa de gestão de folhas de pagamento fornece o sistema informático e armazena os dados dos trabalhadores. A fábrica de cerveja é a responsável pelo tratamento e a empresa de gestão de folhas de pagamento é a subcontratante.

Responsáveis conjuntos pelo tratamento

A sua  empresa/organização oferece serviços de babysitting através de uma plataforma em linha. Simultaneamente, a sua empresa/organização tem um contrato com outra empresa que lhe permite prestar serviços de valor acrescentado. Estes serviços incluem a possibilidade de os pais escolherem, não só a babysitter, mas também alugar jogos e DVD para a babysitter levar consigo. Ambas as empresas participam na configuração técnica do sítio web. Neste caso, as empresas decidiram utilizar a plataforma para ambas as finalidades (serviços de babysitting e aluguer de DVD/jogos) e partilham frequentemente os nomes dos clientes. Por conseguinte, as duas empresas são responsáveis conjuntas pelo tratamento, porque não só concordaram em oferecer a possibilidade de «serviços combinados», como também conceberam e utilizam uma plataforma comum.

Referências:

  • Artigo 4.º, n.os 7 e 8, artigos 24.º, 26.º, 28.º e 29.º e considerandos 74, 79 e 81 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169)