Um Acordo de Responsabilidade Conjunta deve ser celebrado sempre que duas ou mais entidades determinem em conjunto as finalidades e os meios (materiais e humanos) de um tratamento de dados pessoais, conforme o artigo 26.º do Regulamento Geral sobre a Proteção de Dados (RGPD).
O acordo deve estabelecer de forma transparente:
• Os fins para os quais as entidades tratam os dados;
• Os procedimentos e responsabilidades de cada parte;
• As garantias a assegurar aos titulares dos dados.
Conteúdo típico do acordo:
• Identificação das entidades envolvidas (nome, morada, NIPC);
• Identificação das finalidades do tratamento (ex.: projeto de investigação e tarefas associadas);
• Identificação dos dados pessoais tratados;
• Base de licitude (art. 6.º e, quando aplicável, art. 9.º do RGPD);
• Medidas técnicas e organizativas para proteção dos dados;
• Funções e obrigações de cada entidade, incluindo as relativas à informação aos titulares (artigos 13.º e 14.º do RGPD);
• Identificação de eventuais subcontratantes;
• Contactos para exercício de direitos dos titulares e comunicação com a autoridade de controlo;
• Procedimentos em caso de violação de dados (investigação, medidas corretivas e notificações);
• Identificação do Encarregado de Proteção de Dados (EPD) de cada entidade;
• Lei aplicável e foro competente.
Divulgação:
A essência do acordo deve ser acessível aos titulares dos dados, por exemplo, através da página do projeto na internet.
Modelo:
Não existe um modelo único imposto pela Comissão Europeia.
Âmbito:
Aplica-se a entidades sediadas no Espaço Económico Europeu (EEE).
Nos casos que envolvam entidades de países terceiros, devem ser observadas as disposições do Capítulo V do RGPD sobre transferências internacionais.