O registo das atividades de tratamento é uma obrigação imposta pelo artigo 30.º do RGPD para os responsáveis pelo tratamento e para os subcontratantes. O conteúdo dos registos é distinto consoante se trate de um responsável pelo tratamento ou de um subcontratante. Quando uma organização efetua tratamentos de dados enquanto responsável pelo tratamento e enquanto subcontratante, deve manter dois registos diferenciados.

Os registos são efetuados por escrito, incluindo em formato eletrónico, e são facultados à CNPD a seu pedido.

Esta obrigação também se estende às organizações ou empresas com menos de 250 trabalhadores, sendo absolutamente excecionais as circunstâncias em que se aplica a derrogação prevista no n.º 5 do artigo 30.º do RGPD. Veja a posição do CEPD sobre o assunto (apenas disponível em versão inglesa).
De modo a facilitar o cumprimento desta obrigação, em especial por parte das micro, pequenas e médias empresas, a CNPD disponibiliza um modelo de registo que pode ser utilizado para o efeito.

Modelo de registo para responsáveis pelo tratamento

Modelo de registo para subcontratantes