O RGPD distingue entre duas funções principais: as do responsável pelo tratamento de dados e do subcontratante. Esta distinção é crucial, uma vez que o responsável pelo tratamento dos dados assume mais responsabilidades e tem de cumprir mais obrigações do que o subcontratante.

Os responsáveis pelo tratamento de dados e os subcontratantes podem ser pessoas singulares ou coletivas, por exemplo: uma PME, uma autoridade pública, uma empresa, uma organização, um organismo estatal, uma associação, etc.

O responsável pelo tratamento determina as finalidades e os meios de uma operação de tratamento. Por outras palavras, o responsável pelo tratamento decide o como e o porquê de uma operação de tratamento. Considerando que os subcontratantes tratam dados pessoais em nome do responsável pelo tratamento, o tratamento efetuado pelos subcontratantes deve ser regulado por um contrato com o responsável pelo tratamento dos dados ou por outro ato jurídico.

Exemplos de responsáveis pelo tratamento:

• empresas que tratam os dados pessoais dos seus clientes para concluir uma venda;
• instituições financeiras que tratam dados pessoais dos seus clientes;
• associações que tratam os dados dos seus membros;
• escolas ou universidades que tratam dados pessoais de estudantes e professores;
• hospitais que tratam dados pessoais dos seus doentes;
• agências governamentais que tratam dados pessoais dos cidadãos.

Exemplos de subcontratantes:

• uma PME contrata um serviço de contabilidade para manter os seus livros e registos, a PME é responsável pelo tratamento de dados e o serviço de contabilidade é um subcontratante de dados;
• uma empresa de processamento de salários processa dados pessoais de uma PME. A empresa de processamento de salários atuará como subcontratante se apenas tratar os dados pessoais em nome da PME. A PME determina as finalidades e os meios do tratamento de dados e, por conseguinte, é responsável pelo tratamento dos dados.
• uma PME encarrega uma empresa de marketing de recolher endereços de correio eletrónico através de sítios Web de terceiros.  A empresa de marketing fá-lo de acordo com as instruções explícitas da PME e para fins exclusivos da PME. A Empresa de Marketing atua como subcontratante para esta recolha de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

O EPD pode ser um trabalhador existente com conhecimento suficiente do RGPD (se as tarefas profissionais do trabalhador forem compatíveis com as do EPD e tal não conduzir a conflitos de interesses) ou uma pessoa externa. O encarregado de proteção de dados deve poder desempenhar as suas funções de forma independente e comunicar diretamente ao mais alto nível da direção.

Mais informações:

• Encarregado de proteção de dados

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

• se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
• se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

• Respeitar os direitos dos indivíduos