Resposta
O Regulamento Geral sobre a Proteção de Dados (RGPD) assenta na abordagem baseada nos riscos. Por outras palavras, as empresas/organizações que efetuam tratamento de dados pessoais são incentivadas a aplicar medidas de proteção correspondentes ao nível de risco das suas atividades de tratamento de dados. Por conseguinte, as obrigações de uma empresa que trate uma grande quantidade de dados são mais onerosas do que as de uma empresa que trate uma quantidade reduzida de dados.
Por exemplo, a probabilidade de uma empresa/organização que trate uma grande quantidade de dados contratar um encarregado da proteção de dados é superior à de uma empresa/organização que trate uma quantidade reduzida de dados (neste caso, associada à noção de tratamento de dados pessoais «em grande escala»). Ao mesmo tempo, a natureza dos dados pessoais e o impacto do tratamento previsto também são determinantes. O tratamento de quantidades reduzidas de dados, mas que sejam de natureza sensível (por exemplo, dados de saúde) exige a aplicação de medidas mais rigorosas para cumprir o RGPD.
Em todos os casos, terá de respeitar os princípios da proteção de dados e de permitir às pessoas exercerem os seus direitos.