RGPD: O Tratamento de dados pessoais em grande escala e os Encarregados da Protecção de Dados (EPD)

O Regulamento Geral sobre a Protecção de Dados (RGPD), que irá entrar em vigor já no próximo dia 25 de Maio, define um novo papel para os encarregados da protecção de dados (EPD), cuja designação é obrigatória sempre que exista tratamento de dados pessoais realizado em grande escala.


O que são dados em grande escala

O RGPD exige a designação obrigatória de um EPD sempre que o tratamento de dados pessoais seja realizado em grande escala, mas não define em que consiste o tratamento de grande escala.

Apenas são dadas algumas linhas de orientação nos considerandos iniciais do regulamento, embora se refiram às avaliações do impacto sobre a protecção de dados.

Assim, o EPD é obrigatório quando se trate de tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional, que possam afectar um número considerável de titulares de dados e sejam susceptíveis de implicar um elevado risco.
Não deve ser considerado de grande escala quando diga respeito aos dados pessoais de clientes de advogados ou pacientes de médicos, profissionais de cuidados de saúde.

Contudo, entre dois extremos – como o tratamento de dados por um médico e o tratamento de dados de um país inteiro ou à escala da Europa - existe uma zona cinzenta que precisa ser definida, na qual não é possível quantificar um número preciso quanto ao volume de dados tratados ou ao número de pessoas em causa que seria aplicável em todas as situações.

Existe tratamento de grande escala, por exemplo, no tratamento de dados:

  • De dados de viagem das pessoas que usam o sistema de transportes públicos de uma cidade (através dos passes de viagem por exemplo);
  • Em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos por parte de um subcontratante especializado na prestação desses serviços;
  • De clientes no exercício normal das actividades de uma companhia de seguros ou de um banco;
  • Para fins de publicidade comportamental por um motor de busca;
  • De dados por operadoras telefónicas ou fornecedores de serviços de internet (conteúdo, tráfego, localização);
  • De doentes no exercício normal das actividades de um hospital.

 

Não constituem tratamento de grande escala, nomeadamente:

  • o tratamento de dados de doentes pacientes por um médico;
  • o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.

 

Portanto, para determinar se um tratamento é efectuado em grande escala, a recomendação do Grupo de Trabalho encarregue de dar uniformização à aplicação do RGPD é que se tome em consideração os seguintes factores:

  • o número de titulares de dados afectados (número concreto ou percentagem da população em causa);
  • o volume de dados e/ou o alcance dos diferentes elementos de dados objecto de tratamento;
  • a duração, ou permanência, da actividade de tratamento de dados;
  • o âmbito geográfico da actividade de tratamento.

 

Casos de obrigação ou não de ter EPD

Certos responsáveis pelo tratamento de dados e subcontratantes devem obrigatoriamente designar um EPD, como é o caso de todas as autoridades e organismos públicos (independentemente do tipo de dados que tratam) e de outras organizações cuja actividade principal consista no controlo de pessoas de forma sistemática e em grande escala, ou que tratam de categorias especiais de dados pessoais em larga escala.
Mesmo quando o RGPD não exige especificamente a nomeação de um EPD, as organizações podem, nalguns casos, considerar conveniente designar um a título voluntário.

Os EPD não são pessoalmente responsáveis em caso de incumprimento do RGPD. É ao responsável pelo tratamento ou ao subcontratante que co

mpete assegurar e comprovar que o tratamento é realizado em conformidade com as suas regras.
O conceito de EPD não é novo; já estava previsto na Directiva de 1995 que é agora substituída pelo RGPD mas esta não obrigava qualquer organização a nomear um EPD.

Contudo, o seu papel mudou e é considerado um pilar da responsabilidade em matéria de tratamento de dados, nomeadamente viabilizando avaliações de impacto sobre a protecção de dados e efectuando ou viabilizando auditorias.

Além disso os EPD servem de intermediários entre as partes interessadas - as autoridades de controlo, os titulares de dados e as unidades empresariais dentro de uma organização.

Acontece que mesmo que o responsável pelo tratamento preencha os critérios de designação obrigatória, o seu subcontratante não tem necessariamente de nomear um EPD, embora isso possa constituir uma boa prática.

Será o caso de uma pequena empresa familiar de distribuição de eletrodomésticos numa localidade que usa os serviços de um subcontratante que lhe presta serviços analíticos e de assistência no site, com publicidade e marketing direcionados. As actividades da empresa familiar e os seus clientes não são um tratamento de dados «em grande escala», atendendo ao número reduzido de clientes e ao âmbito relativamente limitado das actividades.

No entanto, globalmente, as actividades do subcontratante, com muitos clientes, a exemplo desta pequena empresa, acarretam um tratamento de grande escala. Em consequência, o subcontratante terá de designar um EPD. A empresa familiar não é obrigada a designar individualmente um EPD.

Uma empresa de média dimensão que, por exemplo fabrique ladrilhos e subcontrate os seus serviços de medicina do trabalho a um subcontratante externo que tenha um grande número de clientes semelhantes não está necessariamente sujeita à obrigação de designar um EPD, mas o subcontratante estará desde que o tratamento seja efetuado em grande escala.

 

Referências:

Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27.04.2016

Lei n.º 67/98 de 26 de Outubro, artigo 37.º, n.º 1, alíneas b) e c)

Proposta de Lei n.º 120/XIII, de 26.03.2018 (GOV)

FIND OUT MORE ABOUT OUR SERVICES!

 

For further informations contact us.

Media