Responsável pelo tratamento
A entidade que determina as finalidades e os meios do tratamento de dados pessoais.
Um responsável pelo tratamento é a organização ou indivíduo que decide porquê e como os dados pessoais são tratados. Ao abrigo do RGPD (Artigo 4(7)), o responsável pelo tratamento determina as finalidades (o porquê) e os meios (o como) do tratamento. Para um website, a empresa que detém e opera o site é tipicamente o responsável pelo tratamento, responsável pelas decisões sobre que dados recolher, durante quanto tempo os reter, com quem os partilhar e que medidas de segurança implementar.
Ser responsável pelo tratamento implica as obrigações de conformidade mais pesadas. Os responsáveis pelo tratamento devem garantir bases legais para todo o tratamento, implementar medidas de segurança adequadas, responder a pedidos de exercício de direitos dos titulares dos dados, reportar violações de dados às autoridades dentro de 72 horas, manter registos das atividades de tratamento e realizar Avaliações de Impacto sobre a Proteção de Dados quando necessário. Se um responsável pelo tratamento envolver terceiros para tratar dados em seu nome, deve assegurar que esses subcontratantes cumprem o RGPD através de acordos formais de tratamento de dados. Regimes de responsabilidade conjunta existem quando duas ou mais entidades determinam conjuntamente as finalidades e os meios do tratamento.