ABC_RGPD-16

ABC do RGPD – Parte 16 – Registo de Tratamento

Segundo a definição do artigo 4.º do RGPD «Tratamento» traduz-se por  uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a  organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Assim sendo, a equipa da MyDataPrivacy recomenda fortemente que todas as entidades façam os registos de tratamento dos seus processos, que manipulem dados pessoais, porque permitem:

  • Agrupar toda a informação relevante para um determinado tratamento de dados;
  • Facilitar a demonstração de evidências perante qualquer entidade externa;
  • Cumprir o regulamento e evitar multas.

 

No artigo 30.º do RGPD é descrito o que se pretende com o registo das atividades de tratamento:

  1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam as seguintes informações:
  • O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
  • As finalidades do tratamento dos dados;
  • A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;
  • Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
  • Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.º, nº1.
  1. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará:
  • O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados;
  • As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento;
  • Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;
  • Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.º, nº1.
  • Os registos a que se referem os nº 1 e 2 são efetuados por escrito, incluindo em formato eletrónico.
  • O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.
  • As obrigações a que se referem os nº 1 e 2 não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.º, nº 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 1.º.

 

Para mais informações acerca deste tema contacte-nos.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Estes cursos combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ou 350€ por pessoa em grupo com aulas síncronas ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/  Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog