O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS IPAI – Fórum de Directores de Auditoria Interna

Lisboa, 26 de Janeiro de 2017

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS (“RGPD”)

1. O RGPD: conceitos-chave em matéria de protecção de dados pessoais.

2. O RGPD: o que é realmente novo?

3. O RGPD: como e por onde devem as organizações começar?

1 CONCEITOS-CHAVE

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

Dados pessoais:

Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»)

A informação, pode ser: fáctica; opinativa, sugestiva, conjectural, verdadeira ou falsa, concreta ou abstracta, provisória ou

definitiva, certa ou incerta, completa ou incompleta, e residual, et cetera…

Os dados podem constar de qualquer suporte, seja ele físico, virtual, tecnológico, sonoro ou gráfico. Devemos estar alerta para

situações menos plausíveis ou previsíveis. Devemos estar alerta para o seguinte:

• Os dados podem estar incorporados/vertidos nos lugares mais inesperados. Basta imaginar, por exemplo, o conhecido caso

das matrículas automóveis ou, por exemplo, as pulseiras que os doentes recebem e colocam na triagem de um hospital.

• O único suporte que não deverá ser considerado talvez seja o cérebro humano.

O QUE SÃO DADOS PESSOAIS?

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

O QUE É O TRATAMENTO DE DADOS PESSOAIS?

Tratamento de dados pessoais:

Qualquer operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não

automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização,

a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a

destruição.

Sempre que encontrarmos dados pessoais numa organização, então mais vale considerar que existe tratamento de dados pessoais!

Como é que se sabe se se está perante um ou mais tratamentos de dados pessoais?

A resposta está na finalidade das operações de tratamento. Existirão tantos tratamentos quantas as finalidades com que os dados

pessoais são tratados.

Exemplo: os dados de compras dos clientes podem, numa dada organização, ser arrumados em 20 bases de dados diferentes e

“manipulados” por 100 aplicações informáticas distintas, mas esses dados pessoais são tratados com as seguintes finalidades:

marketing, contabilidade, combate à fraude e revenue assurance. Portanto, estaremos perante três tratamentos distintos de dados

pessoais.

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

QUANDO É QUE AS EMPRESAS PODEM TRATAR DADOS?

1. Quando exista consentimento livre, informado e expresso (e demonstrável) por parte dos respectivos titulares.

2. Quando exista um fundamento legal específico para o tratamento.

3. Quando o tratamento seja essencial para execução de um contrato.

2 O RGPD:

O QUE É REALMENTE

NOVO?

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

LEGISLAÇÃO SOBRE PROTECÇÃO DE DADOS PESSOAIS: COMO FOI ATÉ AQUI?

1. Legislação antiquada, paradigma burocrático e excessivamente de hetero-regulação – com notificações e autorizações prévias da

CNPD – e menor atenção à substância.

2. Práticas regulatórias muito diferenciadas no espaço europeu, com distorções da concorrência.

3. Grandes deficiências “regulatórias” e de enforcement em Portugal: falta de meios, deficiente capacidade de resposta, prazos de

concessão de autorizações de anos, visão excessivamente burocrática e pro protecção da privacidade por parte da Autoridade e

desconsideração dos impactos na actividade económica.

4. Falta de awareness dos cidadãos, das empresas, das organizações públicas, dos tribunais e da academia.

5. Coimas de valor muito reduzido para a generalidade dos agentes económicos.

Progressiva alteração do paradigma

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

O RGPD: COMO VAI SER?

O NOVO REGULAMENTO GERAL SOBRE A PROTECÇÃO DE DADOS PESSOAIS, APLICÁVEL A PARTIR DE 25 DE

MAIO DE 2018

1. Regulamento de aplicação directa e transversal em todo o espaço europeu e a todos os sectores de actividade.

2. Alteração do paradigma de hetero-regulação para um paradigma essencialmente de auto-regulação.

3. Agravamento exponencial dos riscos (económicos, sancionatórios e reputacionais) resultante, entre o mais, da introdução de coimas mais

elevadas (até € 20.000.000,00 ou até 4% do volume de negócios do infractor) e de obrigações de disclosure de violações de dados pessoais

(data breach) ao regulador e aos titulares de dados pessoais.

4. Introdução de um vasto conjunto de obrigações para as empresas e organizações, entre as quais se destacam: (i) obrigatoriedade de

levantamento e registo de todos os tratamentos de dados pessoais; (ii) obrigações de realização de privacy impact assessments; (iii) obrigação

de designação de um encarregado da protecção de dados (“Data Protection Officer”).

5. Reforço dos direitos dos titulares de dados pessoais (direito a ser esquecido, direito à portabilidade, direito de informação e de acesso) e

reforço do papel e das exigências dos respectivos consentimentos para tratamentos de dados pessoais.

Um novo paradigma regulatório

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

RGPD: O QUE É REALMENTE NOVO?

Um quadro sancionatório muito duro para as empresas.

O paradigma de auto-conformação que passa, desde logo, por fazer o levantamento de todos os tratamentos de

dados pessoais realizados em cada organização e, a partir daí, conformar todos esses tratamentos com as normas

do RGPD. Tudo, na maior parte dos casos, sob a autoridade de um Data Protection Officer.

Obrigação de comunicação de violação de dados pessoais (data breach) à Autoridade de Controlo e aos próprios

titulares de dados pessoais.

Um reforço significativo dos direitos dos titulares dos dados pessoais com o surgimento de “novos” direitos com

impactos significativos nas organizações: direito ao esquecimento e direito à portabilidade dos dados pessoais.

Risco para a privacidade

O que verdadeiramente muda é que as organizações não vão poder

ignorar a protecção de dados pessoais e da privacidade

O RGPD:

COMO E POR ONDE

COMEÇAR?

O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

COMO E POR ONDE COMEÇAR?

1. Meios Reunir uma equipa com três vertentes (com especialização em

protecção de dados):

jurídica

técnica – sistemas de informação

consultadoria – gestão de risco e procedimentos internos

2. Assessment Verificar qual é o nível de conformidade actual da organização com o

RGPD – Gap Analysis em 3 dimensões: jurídica; sistemas de informação;

políticas e normas internas

3. Estratégia de conformação Definir uma estratégia de conformação que:

Estabeleça o nível de investimento a realizar

Estabeleça prioridades de conformação consoante as áreas de maior

risco para a privacidade

Estabeleça, em função das premissas anteriores, um plano de execução

da estratégia definida

Para mais informações, visite a nossa página em:

www.mlgts.pt

Tiago Félix da Costa tfcosta@mlgts.pt - 932542427

Muito obrigado!