Introdução
O Artigo 28 do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia é uma das principais disposições que trata da responsabilidade pelo tratamento de dados pessoais. Essa disposição estabelece as obrigações e responsabilidades dos responsáveis pelo tratamento de dados, bem como os direitos dos titulares dos dados. Neste glossário, iremos explorar detalhadamente o Artigo 28, analisando cada parágrafo e fornecendo uma visão abrangente sobre o tema.
Parágrafo 1: Definições
O primeiro parágrafo do Artigo 28 do RGPD estabelece as definições-chave para o entendimento do artigo. Aqui, são definidos termos como “responsável pelo tratamento”, “subcontratante”, “terceiro” e “titular dos dados”. Essas definições são fundamentais para a compreensão das obrigações e responsabilidades descritas nos parágrafos seguintes.
Parágrafo 2: Obrigações do responsável pelo tratamento
O segundo parágrafo do Artigo 28 estabelece as obrigações do responsável pelo tratamento de dados pessoais. Aqui, é destacada a necessidade de implementar medidas técnicas e organizacionais adequadas para garantir a segurança e a proteção dos dados pessoais. Além disso, o responsável pelo tratamento deve assegurar que apenas os dados necessários sejam coletados e que o tratamento seja realizado de acordo com as disposições do RGPD.
Parágrafo 3: Subcontratante
O terceiro parágrafo do Artigo 28 aborda a figura do subcontratante, que é a entidade que realiza o tratamento de dados em nome do responsável pelo tratamento. Aqui, é estabelecido que o subcontratante deve ser selecionado com cuidado, levando em consideração sua capacidade de implementar medidas de segurança adequadas e garantir a conformidade com as disposições do RGPD.
Parágrafo 4: Contrato entre o responsável pelo tratamento e o subcontratante
O quarto parágrafo do Artigo 28 estabelece a necessidade de um contrato entre o responsável pelo tratamento e o subcontratante. Esse contrato deve conter disposições específicas relacionadas à proteção de dados, incluindo a descrição dos tipos de dados pessoais tratados, as finalidades do tratamento, as medidas de segurança a serem implementadas e as obrigações do subcontratante em relação ao tratamento dos dados.
Parágrafo 5: Responsabilidade conjunta
O quinto parágrafo do Artigo 28 aborda a possibilidade de responsabilidade conjunta entre o responsável pelo tratamento e o subcontratante. Isso significa que ambos os envolvidos podem ser considerados responsáveis pelo tratamento de dados pessoais, devendo cumprir com as obrigações estabelecidas no RGPD. Essa disposição visa garantir uma maior proteção dos direitos dos titulares dos dados.
Parágrafo 6: Transferências de dados para países terceiros
O sexto parágrafo do Artigo 28 trata das transferências de dados pessoais para países terceiros. Aqui, é estabelecido que, caso o responsável pelo tratamento pretenda transferir dados pessoais para um país terceiro, ele deve garantir que o subcontratante também cumpra com as disposições do RGPD. Isso visa garantir que os dados pessoais sejam protegidos mesmo em países fora da União Europeia.
Parágrafo 7: Cooperação com a autoridade de controle
O sétimo parágrafo do Artigo 28 estabelece a obrigação do responsável pelo tratamento e do subcontratante de cooperar com a autoridade de controle competente. Isso inclui a prestação de informações e a realização de auditorias, quando necessário. Essa cooperação é fundamental para garantir a conformidade com as disposições do RGPD e a proteção dos direitos dos titulares dos dados.
Parágrafo 8: Escolha do subcontratante
O oitavo parágrafo do Artigo 28 estabelece que o responsável pelo tratamento deve ter o direito de escolher o subcontratante que irá realizar o tratamento de dados em seu nome. Essa escolha deve ser baseada em critérios de segurança e conformidade com as disposições do RGPD. Além disso, o responsável pelo tratamento deve ser notificado caso haja uma alteração no subcontratante escolhido.
Parágrafo 9: Responsabilidade do subcontratante
O nono parágrafo do Artigo 28 estabelece a responsabilidade do subcontratante em relação ao tratamento de dados pessoais. Aqui, é destacado que o subcontratante deve tratar os dados pessoais apenas de acordo com as instruções do responsável pelo tratamento e deve implementar medidas de segurança adequadas para proteger os dados. O subcontratante também deve informar o responsável pelo tratamento caso considere que uma instrução viola as disposições do RGPD.
Parágrafo 10: Direitos do titular dos dados
O décimo parágrafo do Artigo 28 trata dos direitos do titular dos dados pessoais. Aqui, é estabelecido que o titular dos dados tem o direito de exercer seus direitos, como o direito de acesso, retificação, exclusão e portabilidade dos dados, diretamente junto ao responsável pelo tratamento. O subcontratante deve auxiliar o responsável pelo tratamento no cumprimento desses direitos.
Parágrafo 11: Notificação de violação de dados
O décimo primeiro parágrafo do Artigo 28 estabelece a obrigação do subcontratante de notificar imediatamente o responsável pelo tratamento caso ocorra uma violação de dados pessoais. Essa notificação deve conter informações detalhadas sobre a violação, permitindo que o responsável pelo tratamento tome as medidas necessárias para mitigar os impactos da violação e proteger os direitos dos titulares dos dados.
Parágrafo 12: Fim do tratamento de dados
O décimo segundo parágrafo do Artigo 28 trata do fim do tratamento de dados pessoais. Aqui, é estabelecido que, ao término do tratamento, o subcontratante deve, a critério do responsável pelo tratamento, excluir ou devolver os dados pessoais. Essa disposição visa garantir que os dados pessoais sejam tratados apenas pelo tempo necessário e que sejam adequadamente descartados após o término do tratamento.
Parágrafo 13: Entrada em vigor
O décimo terceiro e último parágrafo do Artigo 28 estabelece a data de entrada em vigor do artigo. De acordo com o RGPD, o Artigo 28 entrou em vigor em 25 de maio de 2018. A partir dessa data, todas as organizações que realizam o tratamento de dados pessoais devem cumprir com as disposições estabelecidas no artigo, garantindo a proteção dos direitos dos titulares dos dados.
