regulamento geral de protecção de dados (rgpd) os ... · de acordo com o jornal, várias pessoas...

Regulamento Geral de Protecção de Dados (RGPD)

Os principais desafios

1. Enquadramento geral | Novo quadro jurídico

Enquadramento geral | Novo quadro jurídico

A investigação foi realizada pelo jornal Expresso que descobriu que a MEO e NOS tiram proveito de dados de clientes da EDP para tentarem angariar novos clientes. De acordo com o jornal, várias pessoas são contactadas por estas operadoras a sugerir a subscrição de serviços de comunicações ou televisão após firmarem um contrato com a EDP Comercial. – Fonte: Jornal Expresso

A empresa dona da rede social Facebook foi multada em Espanha, no valor de 1,2 milhões de euros, acusada de violar as leis que protegem a privacidade dos cidadãos. Informações como o sexo, as crenças religiosas, interesses pessoais, hábitos de navegação na internet e, até, ideologias políticas são recolhidas pela rede social, que depois faz negócio com os anunciantes a partir dessas informações. – Fonte: Observador

Ataque informático na Deloitte expõe emails e dados confidenciais de clientes.Uma das quatro maiores consultoras do mundo foi atingida por um sofisticado ataque informático esta segunda-feira que colocou em causa emails e planos confidenciais de clientes importantes... Fonte: Observador


http://www.m-files.com/blog/data-oil-oil-gas/

O novo regulamento entrará em vigor, em todos os EM, a 25 de Maio de 2018.

Apresenta um conjunto de novos desafios organizacionais, tecnológicos e de governação, do qual poderão

ser destacados alguns dos objectivos e alterações face à realidade vigente:


- Pretende harmonizar as leis de protecção de dados em todos os países membros da União Europeia.

- Cria regras mais claras para a transferência de dados através das fronteiras.

- Melhora o controlo sobre os dados pessoais.

- Substitui a Directiva anterior para a protecção de dados.

Qual a importância do RGPD ?

Serve de motivação para compreender como é que as organizações protegem e obtêm valor de informações

sensíveis dos clientes.

Mitiga o risco de:


- perda de confiança dos clientes e vendas – dano reputacional

- coimas e sanções

- acções judiciais

Mas também fornece um maior controlo e percepção das necessidades do cliente.

- violações de segurança


Regulamento 2016: o “tratamento dos dados pessoais deverá respeitar (...) os direitos e liberdades

fundamentais, nomeadamente o direito à protecção dos dados pessoais” (Considerando 2)

O Regulamento de 2016 consubstancia-se num conjunto de normas legais que regula a forma de tratar

informação sobre as pessoas, com respeito pelos direitos fundamentais. Importante:

- Não tem como objectivo proibir a utilização de informação pessoal

mas...

- Visa conciliar uma harmonia entre a “livre circulação dos dados pessoais” na UE e a

tutela dos direitos e liberdade fundamentais


Principais novidades face à realidade atual:

• Alterado o modelo clássico de “notificações/autorizações prévias de tratamento” à CNPD (controlo

externo).

• Relevância de medidas internas como: avaliação do impacto das operações de tratamento de dados,

realização de auditorias, manutenção de registos de actividades de tratamentos de dados (entre outras).

• Os titulares dos dados passam a ter novos direitos. As organizações devem adoptar procedimentos

eficazes e expeditos de modo a assegurar o exercício efectivo destes direitos.

• As circunstâncias aplicáveis ao consentimento do titular dos dados e à legalidade do tratamento são

mais exigentes.

• Surge a obrigação de comunicação de quebras de segurança às autoridades competentes e, em certos

casos, aos próprios titulares dos dados. Eventual necessidade de nomeação de um DPO.

• O custo do incumprimento é relevante, com sanções muito elevadas – e isto sem referir outros

potenciais danos, por exemplo de natureza reputacional.


“Dados pessoais”

“Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada

identificável uma pessoa singular que possa ser identificada, directa ou indirectamente, em especial por

referência a um identificador, como por exemplo um nome, um número de identificação, dados de

localização, identificadores por via electrónica ou um ou mais elementos específicos da identidade física,

fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”


Categorias especiais de dados

- Regime específico para dados sensíveis: que revelem a origem racial ou étnicas, as opiniões

politicas, as convicções religiosas ou filosóficas, ou a filiação sindical; dados genéticos, dados

biométricos, dados relativos a saúde, a vida sexual ou orientação sexual

Regra geral: proibição de tratamento (n.º 1 do art. 9.º)

Excepções (n.º 2 do art. 9.º)

- Regime específico para dados relacionados com condenações penais, infracções ou medidas

de segurança: art. 10.º

Princípios


• Licitude, Lealdade e transparência

• Exactidão

• Minimização dos dados

• Limitação das finalidades

• Limitação da conservação

• Integridade e confidencialidade

• Responsabilidade

https://www.linkedin.com/authwall?trk=ripf&trkInfo=AQEdWXlENPSaGwAAAV6lWNFYaIF3qOLk55TWa04cFHmIVkVfwtwkmmPAfQi2gS9b4OxXA1vn2WHiUJ7QyW5oQk3q95XK0OVV6CKRUbpsbVFauw00Myq5TTnr2ZDUNcd_FNSHdk=&originalReferer=https://www.google.pt/&sessionRedirect=https%3A%2F%2Fwww.linkedin.com%2Fpulse%2Fdata-processors-practices-achieving-compliance-gdpr-marius

“Tratamento”

“Uma operação ou um conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados

pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a

estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação

por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a

limitação, o apagamento ou a destruição”

Novidade: “Limitação do tratamento”: “inserção de uma marca nos dados pessoais

conservados com o objectivo de limitar o seu tratamento no futuro”

Relevo: art. 18.º (direito a limitação do tratamento)


NOVAS OBRIGAÇÕES EM GERAL:

- Obrigação de registo das actividades de tratamento (arts. 30.º ss RGPD)

- Notificação de uma violação de dados pessoais à autoridade de controlo no prazo de 72 horas (art.33.º RGPD)

- Obrigação de avaliação de impacto sobre a protecção de dados e consulta prévia (art. 35.º e art.36.º

RGPD)

- Nomeação de um encarregado da protecção de dados (“DPO”) (arts. 37.º ss RGPD)


2. Obrigações para as empresas – Reforço e criação de obrigações

Obrigações para as empresas -

Reforço e criação de obrigações

OBRIGAÇÕES PARA AS EMPRESAS – REFORÇO E CRIAÇÃO DE OBRIGAÇÕES

Substituição da obrigação geral de notificação pelo reforço de vários deveres e pela criação de obrigações

novas:

i. Avaliação de impacto das operações de tratamento de dados;

ii. Registo de actividades de tratamento de dados;

iii. Implementação de medidas técnicas e organizativas que garantam a conformidade com a lei e

a integridade e segurança dos dados (ex.: pseudoniminzação, tratamento por defeito);

iv. Consulta prévia em casos específicos.



OBRIGAÇÕES PARAS AS EMPRESAS – AVALIAÇÃO DE IMPACTO

Notas sobre a avaliação de impacto das operações de tratamento de dados:

Tratamento (ou conjunto de tratamentos com riscos semelhantes) que, pela sua natureza, âmbito,

contexto e finalidades (particularmente no caso de utilização de novas tecnologias), for susceptível de

implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo

tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de

tratamento sobre a protecção de dados pessoais.



OBRIGAÇÕES PARAS AS EMPRESAS – AVALIAÇÃO DE IMPACTO (cont.)

ii. Avaliação é obrigatória em caso de:

a. Avaliação sistemática e completa dos aspectos pessoais relacionados com pessoas singulares,

baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela

adoptadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a

afectem significativamente de forma similar;

b. Operações de tratamento em grande escala de categorias especiais de dados ou de dados

pessoais relacionados com condenações penais e infracções;

c. Controlo sistemático de zonas acessíveis ao público em grande escala.



i. A autoridade de controlo (CNPD) publica uma lista de tipos de operações de tratamentos sujeitos e não

sujeitos a avaliação

ii. A avaliação inclui, pelo menos:

a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento,

inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos

objectivos;

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos; e

d) As medidas previstas para fazer face aos riscos identificados.



OBRIGAÇÕES PARA AS EMPRESAS – REGISTO DE ATIVIDADES

Notas sobre o registo de actividades de tratamento:

- O responsável pelo tratamento de dados deve conservar um registo de todas as actividades de tratamento

de dados sob sua responsabilidade.

- Os registos são efectuados por escrito, incluindo em formato electrónico;

- O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo

tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo (CNPD);

- Há casos em que é obrigatório.



- Os registos são efectuados por escrito, incluindo em formato electrónico;

- O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo

tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo (CNPD);

- As obrigações de registo aplicam-se às:

a. Empresas ou organizações com, pelo menos, 250 trabalhadores; e

b. Em qualquer caso, quando o tratamento efectuado seja susceptível de implicar um risco para os

direitos e liberdades do titular dos dados, não seja ocasional ou abranja “dados sensíveis” ou dados

relativos a condenações penais e infracções.

3. Encarregado da protecção de dados (DPO)

Encarregado da protecção de dados (DPO)

Obrigação de designação para responsáveis de tratamentos e subcontratantes

- Autoridades e organismos públicos (excepto tribunais);

- Entidades cujas actividades principais consistam em operações de tratamento que, devido à natureza/

âmbito /finalidade impliquem uma monitorização regular e sistemática dos titulares dos dados em grande

escala;

- Entidades cujas actividades principais consistam em operações de tratamento em grande escala de

categorias especiais de dados (“dados sensíveis”) e dados pessoais relacionados com contra-ordenações

penais/infracções;


Posição do encarregado da protecção de dados

- Deve ser envolvido em todas as questões relacionadas com a protecção de dados pessoais

- Independente: não pode ser destituído nem penalizado pelo exercício das suas funções

- Ponto de contacto com os titulares dos dados


Funções

- Informar/aconselhar o responsável pelo tratamento/subcontratante/ trabalhadores a respeito das suas

obrigações legais

- Monitorizar o cumprimento da lei

- Dar formação

- Realizar auditorias

- Prestar aconselhamento no que respeita à avaliação de impacto sobre a protecção de dados

- Cooperar e servir de ponto de contacto com a autoridade de controlo – CNPD


Perfil

- Perito em legislação sobre dados pessoais e tratamento de dados pessoais (jurista ou técnico

IT ou DRH ou CRM)

- Trabalhador ou prestador de serviços

- Único ou “partilhado”

4. Impactos na gestão de recursos humanos

Impactos na gestão de recursos humanos

O Regulamento prevê a possibilidade de os Estados-Membros adoptarem normas internas específicas,

designadamente ao nível do tratamento de dados pessoais no contexto laboral.

Não é, ainda, possível determinar, na totalidade, o enquadramento normativo que será aplicável a partir de

25 Maio de 2018.

O tratamento de dados sensíveis no contexto laboral, monitorização e controlo de dados:

- tem suscitado enorme discussão na doutrina e jurisprudência

- consentimento dos trabalhadores como fundamento válido para o tratamento de dados

pessoais por parte das entidades empregadoras.

Impactos na gestão de recursos humanos

Consentimento, entendido como uma manifestação de vontade livre, específica e informada.

Os trabalhadores raramente estão em condições de dar, recusar ou revogar consentimento livremente, tendo

em vista a dependência que resulta da relação empregador / empregado.

Porém, o consentimento não deverá constituir, por si só, fundamento jurídico

válido para o tratamento de dados pessoais dos trabalhadores.

5. Responsabilidades e sanções

Direito de reclamação perante autoridade de controlo

Responsabilidades e sanções

- direito que assiste aos titulares de dados de apresentar uma reclamação perante uma Autoridade de

Controlo – v.g. da residência, do local de trabalho ou da prática da infracção - quando considerem que o

tratamento de dados pessoais que lhes diga respeito viola o Regulamento

- este direito não prejudica o recurso por parte do titular de dados a outras vias de recurso gracioso ou

judicial

- a Autoridade de Controlo informa o autor da reclamação sobre o andamento e o resultado da reclamação

Direito à acção judicial contra a autoridade do controlo


- direito que assiste a todas as pessoas singulares ou colectivas de intentar acção judicial contra a

Autoridade de Controlo que:

a) tenha proferido uma decisão juridicamente vinculativa e que lhes diga respeito;

b) não tenha tratado da reclamação ou não tenha informado o titular dos dados, no prazo de três

meses, sobre o andamento ou o resultado da reclamação que tenha apresentado.

- este direito não prejudica o recurso a outras vias extrajudiciais por parte dos titulares do direito de acção

Direito à acção judicial contra o responsável pelo tratamento


- direito que assiste aos titulares de dados de intentarem acção judicial contra o responsável pelo

tratamento de dados pessoais ou o subcontratante, quando considerem ter havido violação dos seus direitos

nos termos do Regulamento

- este direito não prejudica o recurso a outras vias extrajudiciais por parte dos titulares de dados

Direito de indemnização e responsabilidade


- direito que assiste a qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma

violação do Regulamento

- o direito de indemnização é exercido contra o responsável pelo tratamento ou pelo subcontratante que não

tenha cumprido as obrigações decorrentes do Regulamento dirigidas especificamente aos subcontratantes

ou que não tenha seguido as instruções lícitas do responsável pelo tratamento

- quando o tratamento envolve mais do que um responsável a responsabilidade é solidária, sem prejuízo do

eventual direito de regresso

- a responsabilidade é excluída se o responsável pelo tratamento ou o subcontratante demonstrar que não é

responsável pelo evento que deu causa aos danos – ónus da prova

Condições gerais para aplicação de coimas


- se, no âmbito do mesmo tratamento de dados, forem violadas várias disposições do Regulamento, o

montante total da coima não pode exceder o montante especificado para a violação mais grave;

- o Regulamento apenas prevê coimas para a violação de algumas das suas regras;

- a coima tem como limite (i) 10 000 000€ ou 20 000 000€, ou no caso de uma empresa, (ii) 2% ou 4% do

volume de negócios anual a nível mundial correspondente ao exercício anterior, conforme o montante que for

mais elevado;

- os Estados-Membros fixam as sanções aplicáveis às violações do Regulamento não sejam sujeitas a coima

nos termos do Regulamento (v.g. crime – ver actualmente arts. 43º a 48º da Lei 67/98 de 26.10)

Coimas previstas no regulamento

Limite máximo de 10 000 000€ ou, no caso de uma empresa, 2% do volume de negócios anual a nível

mundial correspondente ao exercício anterior, consoante o montante que

for mais elevado:

a) violação de disposições relativas às obrigações do responsável pelo tratamento e do

subcontratante;

b) violação de disposições relativas às obrigações do organismo de certificação;

c) violação de disposições relativas às obrigações do organismo de supervisão;


Coimas previstas no regulamento (cont.)

coimas com limite máximo de 20 000 000€ ou, caso de trate de uma empresa, 4% do volume de negócios anual a

nível mundial correspondente ao exercício anterior, consoante o montante que

for mais elevado:

a) violação de disposições relativas aos princípios básicos do tratamento;

b) violação de disposições relativas aos direitos de titulares de dados;

c) violação de disposições relativas a transferências de dados pessoais para um destinatário num país terceiro ou

uma organização internacional;

d) violação de disposições relativas a situações específicas de tratamento adoptadas nos termos do direito do

Estado-Membro;

e) violação de disposições relativas ao incumprimento de uma ordem de limitação, temporária ou definitiva, relativa

ao tratamento ou à suspensão de fluxos de dados, emitida pela Autoridade de Controlo;


6. Plano de acção técnico e operacional

- Avaliação Sumária: Resumo das evidências analisadas e pontos de melhoria;

- Lista de Não conformidades detetadas: Lista de pontos que não estão em conformidade com o novo

Regulamento identificados durante o processo de análise.

- Proposta de Mitigação: Análise com proposta de resolução tecnológica ou processual em linha com os

requisitos do novo Regulamento.

Plano de acção técnico e operacional

- Entrevistas a elementos chave da organização, de acordo com os domínios especificados na framework de

avaliação;

- Identificação e revisão dos repositórios, fluxos e processos de negócio associados ao tratamento dos dados

pessoais;

- Verificação de tipos de contratos a realizar pela equipa de apoio jurídico;

- Identificação da documentação actual para a protecção de dados de acordo com a actual Lei de Protecção

de Dados Pessoais (LPDP 67/98) assim como as medidas de controlo já existentes e avaliação sumária da

sua eficácia;


- Avaliação do estado de processos específicos do regulamento como por exemplo: Resposta à violação de

dados pessoais, Requisitos de Consentimento, Pseudonimização, Privacidade por omissão e desde a

concepção, tratamento dos direitos dos titulares dos dados;

- Elaboração de relatório com lista de repositórios e diagramas de fluxo de dados pessoais, descrição alto

nível de processos e descrição detalhada da utilização de dados pessoais nesses processos, assim como a

análise das áreas da organização mais expostas ao risco;


Implementação de regras organizacionais internas adequadas:

- Formação aos funcionários sobre as regras relativas a segurança dos dados e as respectivas obrigações,

especialmente em matéria de confidencialidade;

- Protecção contra o acesso a instalações e a hardware e software do responsável pelo tratamento ou do

subcontratante, incluindo controlos sobre a autorização de acesso;

- Certificação de que as autorizações de acesso a dados pessoais foram concedidas pela pessoa competente e

exigem documentação adequada;

- Documentação exaustiva para outras formas de divulgação diferentes do acesso automatizado a dados, a fim

de demonstrar que não ocorreram quaisquer missões ilegais de dados;

- Realização de auditorias internas e externas.

Medidas técnicas e organizativas para cumprimento da legislação e garantia da segurança

e integridade dos dados pessoais

A aplicação deste novo regulamento como uma oportunidade para as organizações desenvolverem,

melhorarem, ou darem início ao seu modelo de governo de informação, num contexto particular da gestão de

dados pessoais.

Controlo

Contexto

Governance

Informação

Conteúdo

Proteção de Dados

Metadados

Classificação

RegistosPreservação

Auditoria

Risco

Segurança

Ameaças

Privacidade

Conformidade

Big Data

Storage

Cloud

Mobile

BYOD

Imagens

Redes Sociais

Medidas técnicas e organizativas para cumprimento da legislação e

garantia da segurança e integridade dos dados pessoais

Muito obrigado!

José Luís [email protected]

https://myshadow.org/about

A project that helps you to control your data traces, see how you're being tracked, and learn more about the data industry.

mailto:[email protected]

PORTO

Avenida da Boavista, 3265 – 2.8

4100-137 Porto

T +351 228 346 740

[email protected]

FARO

Avenida 5 de Outubro, nº 14,

4º Andar

8000-076 Faro

T +351 289 096 278

[email protected]

LUANDA

EVC Advogados

Edifício Kaluanda,

Rua José da Silva Lameira, Piso 2,

Escritório 2001

Luanda, Angola

T +244 937 406 057

[email protected]

MAPUTO

AG Advogados

Avenida Vladimir Lenine, no. 174 - 1.º,

Edifício Millennium Park Maputo,

Mozambique

T +258 21 359 520

M +258 21 359 501

[email protected]

MADRID

Calle Balbina Valverde, 17,

bajo izda.

28002 Madrid. Spain

T +34 91 7819570

[email protected]

LISBON

Av. da Liberdade, 249, 1º

1250-143 Lisboa

T +351 213 587 500

[email protected]

Consigo, onde estiver.

regulamento geral de protecção de dados (rgpd) os ... · de acordo com o jornal, várias pessoas...

Documents