O responsável pelo tratamento denominado controller, referido no Artigo 24º, está sujeito a determinar as finalidades, os meios de tratamento dos dados pessoais bem como os riscos para os direitos e liberdades das pessoas singulares.
A essência do responsável pelo tratamento é aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD.
Em resumo, as obrigações do responsável pelo tratamento são as seguintes:
– Licitude do tratamento com o consentimento livre, específico, informado e explícito (Artigo 6º, nº1);
– Assegurar a privacidade desde o Padrão até ao Desenho (Artigo 25º);
– Definir políticas, procedimentos, códigos de conduta adequadas (Artigo 24º, nº2);
– Garantias adequadas do subcontratado (Artigo 28º);
– Proceder ao registo das atividades de tratamento, quanto aplicável (Artigo 30º);
– Cooperar com as autoridades de controlo (Artigo 31º);
– Segurança do tratamento com medidas técnicas de pseudonimização (Artigo 32º nº1);
– Assegurar a gestão do risco (Artigo 32º nº2);
– Notificação de violação à Autoridade de Controlo, em 72h (Artigo 33º);
– Proceder à avaliação de impacto de proteção de dados (Artigo 35º);
– Designar o DPO (Artigo 37º);
Estas obrigações devem ser revistas e atualizadas consoante as necessidades.
