As «atividades principais» podem entender-se como as operações essenciais para alcançar os objetivos do responsável pelo tratamento ou do subcontratante, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do responsável pelo tratamento ou do subcontratante. Por exemplo, a atividade principal de um hospital é a prestação de cuidados de saúde.

Contudo, um hospital não poderia prestar cuidados de saúde de forma segura e eficaz sem proceder ao tratamento de dados relativos à saúde, designadamente os registos de saúde dos doentes. Assim, o tratamento destes dados deve ser considerado uma das atividades principais de qualquer hospital, cabendo, portanto, aos hospitais nomear encarregados da proteção de dados.

Para dar outro exemplo, uma empresa de segurança privada exerce a vigilância de um conjunto de centros comerciais privados e de espaços públicos. A vigilância é a atividade principal da empresa, que, por sua vez, está indissociavelmente ligada ao tratamento de dados pessoais. Por conseguinte, esta empresa deve igualmente designar um DPO/EPD.
Por outro lado, todas as organizações exercem determinadas atividades, por exemplo, a remuneração dos seus trabalhadores ou atividades comuns de apoio informático. Trata-se de exemplos de funções de apoio necessárias para a atividade principal ou a área de negócio central da organização. Embora sejam necessárias ou essenciais, por norma estas atividades são consideradas funções acessórias e não a atividade principal.

Exemplos práticos

1 - A empresa A tem uma loja virtual (site) para venda de sapatos. Com este objetivo, os dados dos seus clientes são armazenados e tratados. A empresa dirige-se a clientes europeus localizados na Alemanha, França e Itália. Neste exemplo, A trata os dados pessoais dos seus clientes com a finalidade de processar, com sucesso, as encomendas provenientes da sua loja virtual. O tratamento dos dados é somente um auxiliar da atividade principal de A que é vender sapatos. Como consequência, A não é obrigado a designar um DPO.

2 - A empresa B, americana, vende mobília online e analisa o mercado europeu porque está a considerar expandir o seu negócio. Qualquer pessoa que visite o site da empresa B tem que aceitar o uso de cookies e B analisa os dados da geolocalização do IP para determinar o país onde o utilizador está localizado. B trata os dados obtidos para saber quantos clientes europeus e de que países visitam o site e em que tipo de mobiliário estão principalmente interessados.

Neste exemplo, B utiliza “web tracking” (rastreamento na web) para, eventualmente, expandir o seu negócio, que consiste em vender mobília. Este rastreamento permitirá que B analise o mercado europeu com base na sua loja virtual. Assim, para B, o tratamento dos dados é um meio para atingir um objetivo, e auxiliará o desenvolvimento do seu negócio. Por um lado, B tenta o desenvolvimento de uma nova linha de negócio como parte da sua estratégia empresarial, o que pode ser considerada uma atividade principal de acordo com o RGPD. Por outro lado, B monitoriza o comportamento de qualquer visitante do seu Website, incluindo potenciais clientes a uma escala global, no que é uma simples análise comercial que não constitui uma atividade principal de negócio. Contudo, o propósito do tratamento dos dados que B efetua destina-se apenas a tipificar os clientes europeus por forma a expandir o seu negócio para a Europa, o que constitui um elemento importante da estratégia do negócio de B. Portanto, B deveria ter de nomear um DPO.

Fonte: artigo 37.º, n.º 1, alíneas b) e c), do RGPD