o rgpd como política pública: desafios e oportunidades...passo essencial para a agenda digital...
TRANSCRIPT
O RGPD como política pública: desafios e oportunidades
Associação Portuguesa de Bibliotecários, Arquivistas e Documentalistas - BADJornada "Regulamento Europeu de Proteção de Dados Pessoais e os novos desafios das organizações“
27 de setembro de 2017
Agenda
1. Contexto do Regulamento Geral sobre a Proteção de Dados
2. Novo quadro legal da proteção de dados
3. O Caminho para a conformidade no sector público1. O que significa o RGPD para o sector público?
2. Aspetos-chave
3. Desafios do RGPD no setor público
4. Plano de ação para as Organizações públicas
Novo Regulamento Geral sobre Proteção de Dados2
1. CONTEXTO DO REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS
O RGPD como política pública: desafios e oportunidades 3
Contexto do Regulamento Geral sobre a Proteção de Dados
1. Diretiva 95/46/CE é um marco histórico mas encontra-se hoje desatualizada (ainternet estava no início) - Vivemos num novo contexto digital
2. As Tecnologias de Informação (TI) sofreram um desenvolvimento exponencial desdeentão: a Diretiva não captura todas as formas de tratamento de dados pessoais hojeem curso
3. Falta de confiança dos consumidores: desconhecimento de que os seus dados estãoa ser tratados
4. Passo essencial para a Agenda Digital para a Europa (criação do Mercado ÚnicoDigital)
O RGPD como política pública: desafios e oportunidades 4
Novo quadro legal da proteção de dados
Novo Regulamento Geral de Proteção de Dados5
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento dedados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE
Regulamento Geral sobre a Proteção de Dados – RGPD
• Entrou em vigor a 24 de Maio de 2016
• Aplicável a partir de 25 de Maio de 2018
Contexto do Regulamento Geral sobre a Proteção de Dados
Pacote de proteção de dados:
1. Regulamento (UE) 2016/679 do Parlamento e do Conselho (relativa à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados)
2. Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (relativa à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais e à
livre circulação desses dados)
3. Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho (relativa à utilização dos dados dos registos
de identificação dos passageiros [PNR] para efeitos de prevenção, deteção, investigação e repressão das
infrações terroristas e da criminalidade grave)
4. Proposta de Regulamento sobre privacidade nas comunicações eletrónicas (e Privacy) - Prevê a
revogação do Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro
de 2000, atualmente em vigor; procura alinhar as normas para as comunicações eletrónicas com o
Regulamento Geral sobre a Proteção de Dados, alargando as regras aos novos prestadores de serviços de
comunicações eletrónicas tais como WhatsApp, Facebook , Messenger, Skype, etc
6O RGPD como política pública: desafios e oportunidades
Novo quadro legal da proteção de dados
Atores do novo RGPD
“Titular dos dados”: pessoa singular identificada ou identificável
“Responsável pelo Tratamento” : pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais
"Subcontratante“: pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trata os dados pessoais por conta do “Responsável pelo Tratamento” destes
“Autoridade de controlo”: autoridade pública independente, responsável pela fiscalização da aplicação do Regulamento
7O RGPD como política pública: desafios e oportunidades
2. O CAMINHO PARA A CONFORMIDADE NO SECTOR PÚBLICO
8O RGPD como política pública: desafios e oportunidades
I. Conceito de dados pessoais
9
Que dados?
Diretiva 95/46/CE
Qualquer informação relativa a umapessoa singular identificada ouidentificável; é consideradoidentificável todo aquele que possa seridentificado, direta ou indiretamente,nomeadamente por referência a umnúmero de identificação ou a um oumais elementos específicos da suaidentidade física, fisiológica, psíquica,económica, cultural ou social
RGPD
Informação relativa a uma pessoasingular identificada ou identificável; éconsiderada identificável uma pessoasingular que possa ser identificada, diretaou indiretamente, em especial porreferência a um identificador, como porexemplo, um número de identificação,dados de localização, identificadores porvia eletrónica ou a um ou mais elementosespecíficos da identidade física,fisiológica, genética, mental, económica,cultural ou social dessa pessoa singular
O RGPD como política pública: desafios e oportunidades
I. O que significa o RGPD para o sector público?
O RGPD apresentará um novo conjunto de requisitos aos Organismos e Autoridades públicas
em torno da gestão da privacidade dos dados sobre qualquer pessoa que seja classificada
como cidadão da UE. Abrangerá cidadãos, clientes, fornecedores, funcionários e voluntários:
- Qualquer cidadão da UE e onde um Organismo ou Autoridade pública contenha dados
relacionados com a privacidade.
10O RGPD como política pública: desafios e oportunidades
II. Aspetos-chave do RGPD
1. O RGPD coloca o ónus nas organizações para introduzir medidas mais inteligentes em relação à proteção e
controlo dos dados, incluindo a forma como as informações pessoais identificáveis (PII) dos cidadãos da UE
são recolhidas, conservadas e partilhadas;
2. Requisitos significativamente novos: a ideia de "privacidade desde a conceção". O Regulamento determina
que os responsáveis pelo tratamento considerem a conformidade desde o momento inicial de
desenvolvimento do produto. Obrigação de aplicação das medidas técnicas e organizativas adequadas (como
a pseudonimização);
3. Obrigatoriedade de nomeação de um Encarregado de Proteção de Dados (DPO);
4. Quadro sancionatório agravado. Coimas podem ir até 4% do volume de negócios mundial anual (destinado a
empresas) ou 20 milhões de euros. Este valor chamou a atenção de muitos Organismos públicos que, num
quadro de redução orçamental, veriam dificuldade em encontrar grandes quantidades de dinheiro;
5. Dado que esta é uma política pública impulsionada pela UE, há uma expectativa de que as Organizações do
sector público liderem e apontem o caminho para adotar e implementar as novas disposições relativas à
privacidade dos dados pessoais.
11O RGPD como política pública: desafios e oportunidades
III. Desafios do RGPD no setor público
12
Desafios Por que ocorrem?
Encontrar todos os dados sobre "pessoas" (cidadãos, funcionários, contratados, etc.)
• Os dados são mantidos em diferentes sistemas e formatos• As soluções multicanal e de relação com o cidadão criam silos
de dados• Necessidade de inclusão das “pegadas digitais”
Apoio aos pedidos de acesso do titular dos dados
• Encontrar TODOS os dados, não apenas repetitivos• Dados dentro e fora dos Organismos públicos
Promover o consentimento• O que é permitido ser feito com os dados, e por quem?• Que elementos de dados podem ou não ser usados?• Os dados estruturados também são potencialmente incluídos
O direito ao esquecimento
• Entender os requisitos e restrições do direito ao esquecimento• Compreender a frequência com que acontecerá e levará a tomada
de decisão• Abordagem manual vs automatizada para resolver este desafio• Como reportar (falhas na) conformidade?
O RGPD como política pública: desafios e oportunidades
IV. Plano de ação para as Organizações públicas
13
Etapa Ações
1 Análise detalhada do Regulamento
2Envolver as equipas jurídicas e de TI (segurança de dados) o mais cedo possível
3Identificar o nível e comprometimento, o envolvimento e as medidas da Direção (Quadros Superiores)
4 Identificar Parceiros que possam auxiliar
5 Consciencializar a equipa, a organização e a comunidade
6 Comunicação frequente com a equipa, a organização e a comunidade
A. Governança da dados e inormações
O RGPD como política pública: desafios e oportunidades
IV. Plano de ação para as Organizações públicas
14
Etapa Ações
1Revisão e análise dos dados dos cidadãos, funcionários, fornecedores, voluntários
2 Identificar, definir os perfis e classificar esses dados
3 Mapear os dados (v.g, processo de Data Landscaping)
4 Criar uma abordagem de classificação do risco
5Realizar análise sobre a proliferação de dados dentro e fora da Organização
6 Procurar recursos adicionais de apoio
B. Segurança dos dados/TI
O RGPD como política pública: desafios e oportunidades
DGAE, DSCSR, 25-09-2017
Fonte: http://online-behavior.com/analytics/data-landscape
Exemplo Data Landscaping
"The digital future of Europe can only be built on trust. With solid common standards for data protection, people can be sure they are in control of their personal information. And they can enjoy all the services and opportunities of a Digital Single Market. We should not see privacy and data protection as holding back economic activities. They are, in fact, an essential competitive advantage.”
Andrus Ansip, Vice-President for the Digital Single Market on the Agreement on Commission's EU data protection reform will boost Digital Single Market
Bruxelas, 15 de dezembro de 2015
DGAE, DSCSR, 25-09-2017
Estratégia?
Alinhamento com as Políticas Europeias
17
Porquê começar agora?
• O tempo está a contar (25/05/2018)
• É um problema desafiador e que levará tempo para
resolver
• A dimensão de uma possível sanção é significativa
Considerando os apertados orçamentos das Organizações
públicas, um bom plano para implementação do RGPD
ajudará a atenuar as pressões financeiras. Quanto mais
tempo as Organizações públicas atribuem ao RGPD, maior a
mitigação do impacto.
O RGPD como política pública: desafios e oportunidades
18
Referências:
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm
Grupo de Trabalho do Artigo 29º. (“WP29”)
O RGPD como política pública: desafios e oportunidades
Obrigado pela atenção!
19
[email protected]@hotmail.com
O RGPD como política pública: desafios e oportunidades