Responsável pelo tratamento

É a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo (sentido subjetivo), que individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.

Responsável pelo tratamento (data controller), é uma noção ampla que abrange entidades estabelecidas dentro da União (critério do estabelecimento) ou fora da União, quando os titulares dos dados se encontrem na União (critério do direcionamento), cabendo-lhe respeitar os princípios relativos ao tratamento de dados pessoais, bem como os direitos dos titulares e a quem são imputados os deveres impostos pelo RGPD em matéria de tratamento de dados e as sanções previstas no caso do incumprimento do regulamento.

O que é o princípio da responsabilidade?

Constituição da República Portuguesa

Responsabilidade das entidades públicas - "O Estado e as demais entidades públicas são civilmente responsáveis, em forma solidária com os titulares dos seus órgãos, funcionários ou agentes, por ações ou omissões praticadas no exercício das suas funções e por causa desse exercício, de que resulte violação dos direitos, liberdades e garantias ou prejuízo para outrem."

Princípio da competência e responsabilidade da Administração Pública

"Os funcionários agem de forma responsável e competente, dedicada e crítica, empenhando-se na valorização profissional."

Código do Procedimento Administrativo

"A Administração Pública responde, nos termos da lei, pelos danos causados no exercício da sua atividade".

RGPD

O princípio da responsabilidade consagrado no n.º 2 do art.º 5.º, em conjugação com o art.º 24.º, exige do responsável pelo tratamento de dados a aplicação de medidas adequadas e eficazes e políticas de proteção de dados com base num critério de risco e de adaptabilidade e proporcionalidade das medidas que garantam o respeito pelos princípios e obrigações do Regulamento e, quando solicitado, a sua demonstração às autoridades de controlo.

Significa, pois, que o responsável pelo tratamento de dados pessoais não só deve assegurar o cumprimento dos demais princípios previstos no referido art.º 5.º, como deve poder comprovar que as medidas técnicas e organizativas que adotou permitem tal cumprimento.

Refere ainda o considerando 90, que "…o responsável pelo tratamento deverá proceder, antes do tratamento, a uma avaliação do impacto sobre a proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deverá incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento."

Em conclusão

A responsabilidade pautua-se, portanto, por princípios que derivam do conceito de representação. E, a representação caracteriza a transferência de poderes de um indivíduo para outro(s), tornando quem recebe o poder, responsável pelos atos que adotar, em nome de quem transferiu, cabendo-lhe(s) assim, o dever de prestar contas dos seus atos. A representação é, pois, a atribuição de poderes por parte de uma pessoa, a outras que desempenham funções em nome e por conta daquele.

Nesta perspectiva e na impossibilidade da entidade UC, e por conseguência o Reitor que a representa, poder determinar "todas a finalidades e meio de tratamento dos dados pessoais" efetuados na UC, conclui-se que, apesar da entidade ser representada pelo seu dirigente máximo, os trabalhadores, por delegação de competências, ou pelas inerentes ao seu contrato de trabalho em funções públicas, ao efetuarem tratamento de dados pessoais pela UC, fazem-no para cumprir orientações do Responsável pelo tratamento ou, tendo eles próprios a definir a finalidade do tratamento, agem pelo Reitor como responsáveis pelo tratamento.

Quais as competências?

Aplicar as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento de dados é realizado em conformidade com o RGPD.

O pedido de autorização e a notificação feitos anteriormente à Comissão Nacional de Proteção de Dados, são agora substituídos pela auto-responsabilização do responsável pelo tratamento de dados, cabendo-lhe respeitar o RGPD e guardar as provas documentais de tal tratamento.

Quais as obrigações?

Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD. Nesse sentido, as suas obrigações dependem da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos para os direitos e liberdades dos titulares de dados.

- Respeitar os seguintes princípios:

Princípio da responsabilidade pelo tratamento dos dados em conformidade com o RGPD;
Princípio da segurança do tratamento;
Princípio da licitude, lealdade e transparência;
Princípio da limitação das finalidades e da conservação;
Princípio da minimização dos dados;
Princípio da exatidão;
Princípio da integridade e confidencialidade.

Saiba mais sobre estes princípios aqui.

- Documentar e identificar o fundamento jurídico dos tratamentos - Licitude do tratamento com o consentimento livre, específico, informado e explícito - (Art.o 6.º);

- Respeitar e cumprir os direitos do titular dos dados pessoais (art.o 12.º);

- Assegurar a proteção de dados por defeito e desde a conceção - Obrigação relacionada com os princípios da responsabilidade e da minimização (art.º 25.º);

- Definir políticas, procedimentos, códigos de conduta adequadas (art.º 24º, nº2);

- Obter garantias adequadas do subcontratado (art. 28º);

- Registar as atividades de tratamento (art.º 30.º);

- Assegurar a segurança do tratamento de dados pessoais e a gestão do risco (art.º 32.º);

- Promover a notificação da violação dos dados pessoais (art.º 33.º);

- Assegurar a Avaliação de Impacto de Proteção de Dados e a consulta prévia (art.o 35.º e 36.º).

E, ainda:

- Cooperar com as autoridades de controlo (Artigo 31º);

- Promover a notificação da violação dos dados pessoais à Autoridade de Controlo, em 72h (art.º 33.º).

O que preciso saber para a segurança no tratamento de dados?

· Dados pessoais

A informação relativa a uma pessoa singular identificada ou identificável, sendo considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Para mais informação, aceda aqui.

· A UC como responsável pelo tratamento de dados

Apesar de ser preferível que o responsável pelo tratamento coincida com o alcance da entidade de referência, estável e fiável, em detrimento de uma pessoa específica ou um “departamento”, em última análise, será sempre a UC, e quem a representa, que será considerada a responsável pelo tratamento dos dados e pelo cumprimento das obrigações legais. No entanto, os funcionários, que no desempenho das suas funções forem nomeados ou equiparados a responsável pelo tratamento, ou intervenientes no tratamento dos dados, apesar de agirem pela entidade, ficam solidariamente responsabilizados por eventuais incumprimentos, quando estes resultarem inequivocamente da sua ação.

· Responsabilidade sobre a Segurança do tratamento de dados pessoais

Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD (in art.º 24.º).

· Segurança do tratamento de dados pessoais – Considerandos no RGPD

A fim de preservar a segurança e evitar o tratamento em violação do RGPD, o responsável pelo tratamento, ou o subcontratante, deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem e que assegurem um nível de segurança adequado, nomeadamente a confidencialidade. Nesta avaliação deverão ser tidos em conta os riscos apresentados como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais (in 83)

A fim de promover o cumprimento do RGPD nos casos em que do tratamento de dados seja suscetível resultar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma Avaliação de Impacto da Proteção de Dados (AIPD) para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco (in 84).

O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial, quando:

O tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social;
Os titulares possam ficar privados dos seus direitos e liberdades, ou do exercício do controlo sobre os seus dados pessoais;
Forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas;
Forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis;
Forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças;
O tratamento incidir sobre uma grande quantidade de dados pessoais e um grande número de titulares de dados (in 75).

A probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados deverá ser determinada por referência à natureza, âmbito, contexto e finalidades do tratamento de dados. Os riscos deverão ser aferidos com base numa avaliação objetiva que determine o nível de risco das operações de tratamento de dados (in 76).

· Medidas de segurança do tratamento de dados pessoais previstas no RGPD

Pseudonimização e cifragem dos dados pessoais;
Capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
Capacidade de restabelecer o acesso aos dados pessoais de forma atempada em caso de incidente físico ou técnico;
Processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento (in art.º 32).

· Recomendações de boas práticas do EPD-UC

· Registo das atividades de tratamento

Cada responsável pelo tratamento conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento dos dados;

c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

e) Eventuais transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a sua identificação e, no caso das transferências referidas no art.º 49.º/1, segundo parágrafo, comprovativos da existência das garantias adequadas;

f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;

g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança.

Mapa de registo de atividade de tratamento

· Termo de responsabilidade do responsável pelo tratamento de dados

Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o RGPD. (in considerando 74).

Termo de responsabilidade

· Exemplos de contraordenações graves

Violar as condições do consentimento de crianças (art. 8.º do RGPD);
Não prestar informação aos titulares (art.º^s 13.º e 14.º);
Não adotar medidas desde a conceção e por defeito (art.º^s 24.º e 25.º);
Violar o acordo entre responsáveis conjuntos de tratamento (art.º 26.º);
O subcontratante efetuar tratamento de dados, sem instrução do responsável (art.º 29.º);
Não efetuar o registo dos tratamentos de dados pessoais (art.º 30.º);
Violar as regras de segurança (art.º 32.º);
Não notificar a CNPD, ou o titular, em caso de violação de dados (art.º^s 33.º e 34.º);
Não realizar avaliações de impacto (art.º 35.º);
Não consultar a CNPD quando exigível (art.º 36.º);
Não cumprir obrigações associadas à designação, independência e funções do EPD (art.º^s 37.º a 39.º);
Permitir a supervisão de códigos de conduta por organismos não acreditados (art.º 41.º).

· Avaliação da Maturidade de um tratamento de dados pessoais – alguns aspetos a considerar

Área	Artigo	Justificação	Questão
Recolha e infor-mação	5, 13, 14	Os titulares devem ser informados da finalidade do tratamento, do período ..., dos seus direitos, ... se os dados serão transferidos para outros países ou instituições.	Existe procedimento para garantir que antes da recolha dos dados os titulares têm uma informação atualizada e clara do propósito do tratamento dos seus dados?
	6, 7	Nos casos em que os titulares devem dar o consentimento, deve ser possível demonstrar que o deram. Nos restantes casos terá de ser demonstrado que foram informados.	Existe uma forma definida de registar, armazenar e disponibilizar, quando requisitado, o consentimento para o tratamento dos dados?
	5	Devem ser recolhidos apenas os dados necessários para os tratamentos identificados. O responsável pelo tratamento deve saber fundamentar a necessidade desses dados.	Existe procedimento para garantir que são recolhidos apenas os dados necessários para os tratamentos identificados (minimização dos dados)?
	5	Apenas devem ser realizados os tratamentos aos dados pessoais que foram identificados para os titulares, no momento da recolha dos dados.	Existe procedimento para garantir que apenas são realizados os tratamentos que foram propostos aos titulares (limitação das finalidades)?
	5	Os dados pessoais devem apenas permitir identificar os titulares durante o período necessário ao propósito para o qual os dados foram recolhidos.	Existem medidas como a pseudonimização ou mesmo a anonimização para garantir que os dados não permitem a identificação dos titulares?
Consenti-mento e direitos dos titulares	7	Deve ser possível os titulares retirarem o consentimento, ainda que sem prejudicar a licitude de tratamentos anteriores a essa retirada.	Existe procedimento para garantir que os dados dos titulares deixem de ser processados caso o titular assim o requisite?
	15	Deve ser possível aos titulares exercer os direitos sobre os seus dados pessoais, sempre que aplicável: - Direito de acesso; - Direito à retificação; - Direito ao apagamento/esquecimento; - Direito à restrição de tratamento; - Direito à portabilidade dos dados; - Direito à oposição.	Existe procedimento que permita dar aos titulares acesso aos respetivos dados pessoais, caso o mesmo os solicite?
	16, 19		Existe um procedimento para retificar os dados pessoais caso o titular o solicite?
	17, 19		Existe procedimento para garantir o apagamento dos dados quando extinta a finalidade, ou caso o titular o solicite?
	20		Existe procedimento para a exportação dos dados pessoais em formato que permita o seu envio e processamento por outras organizações, caso o titular o solicite?
	18, 21		Existe procedimento para limitar e/ou terminar determinado tratamento de dados, caso o titular o solicite?
Docu-mentação e requisitos legais	30	Deve ser mantido e atualizado um registo das atividades de tratamento.	É mantido um registo com os detalhes do tratamento (contante deste documento)?
	9	Caso seja efetuado o tratamento de dados sensíveis, deve existir uma justificação válida para o realizar.	Existe, e está documentada a justificação válida para o tratamento de dados pessoais sensíveis?
	28	Caso o tratamento de dados seja efetuado por terceiros, deve ser celebrado contrato entre as partes, no qual se comprometem a implementar as medidas técnicas e organizativas apropriadas ao cumprimento do RGPD.	Existe procedimento para salvaguardar o cumprimento do RGPD, em casos de subcontratação?
	17	O direito ao esquecimento aplica-se apenas quando o processamento não for obrigatório para cumprir com uma obrigação legal ou não for do interesse público o registo dos dados, como para fins científicos.	Caso seja obrigatório manter os dados pessoais após o processamento, devido a alguma obrigação legal, existe procedimento para garantir que os dados são apagados após o prazo de retenção definido por lei?
Controlos de segurança lógicos	25, 32	No tratamento de dados pessoais devem ser garantidas as medidas de segurança apropriadas para proteger os dados contra processamentos ilegais, perda acidental, destruição, dano, e colocar os dados disponíveis em caso de incidente.	O acesso aos dados pessoais é protegido e autenticado com credencias pessoais?
			As aplicações têm implementada autenticação multi-factor para utilizadores privilegiados?
			Caso as aplicações contenham dados pessoais sensíveis, têm implementada autenticação multi-factor para utilizadores com acesso a esses dados?
			Os perfis de acesso são diferenciados consoante a função/cargo de quem acede aos sistemas de informação?
			Está definida, e em prática, uma política de revisão de acessos periódica, nomeadamente eliminação de perfis dos utilizadores que cessem funções ou cesse apenas a necessidade de acesso aos dados pessoais?
			São realizados testes de segurança periódicos?
			Estão implementados mecanismos técnicos que permitam fazer tracking de todas as ações realizadas relacionadas com dados pessoais?
			Estão implementados mecanismos técnicos que permitam fazer tracking de todas as ações realizadas relacionadas com gestão de acessos?
			Estão implementados mecanismos técnicos para garantir a integridade dos acessos?
			Caso sejam transmitidos dados sensíveis entre aplicações, estas transferências são feitas através de canais seguros garantidos por encriptação?
			Caso sejam transmitidos dados pessoais para fora da UC, estas transferências são feitas através de canais seguros garantidos por encriptação?
			Os sistemas utilizados estão protegidos contra software malicioso e acessos indevidos?
			Existe política de backups que garante a integridade dos dados e diminui o risco de perda acidental?
			Está implementado um sistema para garantir a restauração dos dados pessoais em caso de desastre, dano ou perda dos mesmos?
			O tratamento de dados só é realizado através de equipamentos institucionais?
			Os equipamentos utilizam apenas software legítimo e atualizado?
			Os colaboradores vínculo à UC, mas com acesso aos dados, estão sensibilizados para os seus deveres de sigilo e confidencialidade e assinam termo de responsabilidade?
			Existem restrições e controlo de acessos ao datacenter?
			O acesso remoto aos sistemas é realizado através de ligações seguras por VPN?
			Os sistemas (backup, leitura e escrita) possuem mecanismos de encriptação de dados?
			Os backups são mantidos em localização física distinta da localização dos sistemas?
			Estão definidos os procedimentos para notificações de incidentes ao EPD-UC, no prazo de72 horas?
Controlos de segurança físicos	25, 32	No armazenamento de documentos com dados pessoais devem ser garantidas as medidas de segurança apropriadas para proteger os dados contra acessos indevidos.	O acesso a documentos físicos contra acessos indevidos está protegido?
Transfe-rências de dados interna-cionais	44, 45, 46	Caso sejam transferidos dados para outros países ou organizações internacionais, devem ser tomadas as medidas necessárias para garantir a segurança dos dados e privacidade dos titulares.	Existe mecanismo de verificação que garanta que os dados pessoais apenas são transferidos para entidades que cumprem o RGPD?
Transfe-rências de dados interna-cionais	44, 45, 46		Estão implementadas medidas técnicas para garantir que os dados pessoais em trânsito fora da organização não são comprometidos, como criptografia utilizando chaves apropriadas?

Autoriza o uso de cookies?

Responsável pelo tratamento