As empresas prestadores de serviços a clientes que realizam o tratamento de dados por conta deles e conforme as suas instruções devem prever num contrato, ou num anexo especifico ao contrato de prestação de serviços um conjunto de elementos que claramente identifiquem o objeto, a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável por esse tratamento de dados. 

Esse tratamento dos dados pessoais apenas será realizado mediante instruções documentadas do responsável pelo  que deverá manter-se um registo documental de todas as ordens de trabalho.

Deverá acautelar-se as medidas de segurança e as garantias suficientes de execução de medidas técnicas e organizativas adequadas tanto à segurança das operações mas também ao exercício dos direitos dos titulares dos dados.

As empresas devem igualmente manter uma clara documentação relativa ao ciclo de vida dos dados, ou seja, desde a sua recolha (descrevendo como decorre, p.e.) até à sua expurgação, registando todas as operações que decorrem utilizando e com os dados, mas também, todos os acessos que existam, transferências, etc.

É fundamental que existam procedimentos de deteção e prevenção de violações de dados pessoais, nomeadamente, a nível das suas tentativas, devendo manter-se sempre um canal de comunicação fluído com o Cliente.

Por fim, será cada vez mais boa prática ter implementados procedimentos que permitam realizar sempre que necessário e de uma forma regular uma avaliação de impacto sobre a proteção de dados, se, por exemplo, o tratamento implicar um elevado risco, implicar uma avaliação sistemática e completa dos aspetos pessoais, se significar profiling, se respeitar a operações de tratamento em grande escala de categorias especiais de dados.

Estes procedimentos implementados permitem responder à obrigação legal de conduzir essa avaliação de impacto.

Por fim, consoante a natureza das operações, a empresa deverá ter em atenção se carece de nomear um Data Protection Officer.

Assim, se, no âmbito de um contrato de prestação de serviços, uma empresa tratar dados pessoais por conta do cliente (o responsável pelo tratamento desses dados), deve:

1. Apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento;

2. Tratar os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento;

3. Caso subcontratem outro prestador de serviço, privilegiar a obtenção de autorização do Cliente por oposição a uma autorização geral;

4. Manter um registo detalhado de todas as atividades de tratamento, incluindo-se aqui, detalhes do Cliente, de transferências internacionais, devendo fornecer esses registos sempre que solicitado pelas autoridades (ou mesmo pelo Cliente);

5. Ainda que, possam estar dentro das exceções previstas, será sempre aconselhável e boas práticas manter esse registo;

6. Aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco (ou seja, tendo em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados), como p.e., a pseudonimização e a cifragem;

7. Assim que tomem conhecimento de uma violação (ou mesmo tentativa) de dados, devem notificar o Cliente (criem SLAs para esse efeito);

8. Se pretenderem transferir dados pessoais para fora da União Europeia, prevejam nos contratos de que forma isso poderá ocorrer tendo em atenção as exigências do Regulamento e a necessidade de adequação;

9. Implementar um procedimento para a realização de avaliações de impacto da privacidade regulares e que possam ser realizado sempre que solicitado de uma forma rápida e objetiva;

10. Identificar se face às operações, precisam de um Data Protection Officer;

e, por fim,

11. Reduzir a relação contratual a escrito da forma mais clara, objetiva e especificada possível em conformidade com os elementos exigidos pelo Regulamento.

Veja aqui um artigo que sistematiza a nova legislação e os impactos nas organizações

De acordo com publicações de Marco Saias, Advogado, especialista em RGPD