Upload
duongdiep
View
216
Download
0
Embed Size (px)
Citation preview
Regulamento Geral de Protecção de Dados (RGPD)
Os principais desafios
1. Enquadramento geral | Novo quadro jurídico
Enquadramento geral | Novo quadro jurídico
A investigação foi realizada pelo jornal Expresso que descobriu que a MEO e NOS tiram proveito de dados de clientes da EDP para tentarem angariar novos clientes. De acordo com o jornal, várias pessoas são contactadas por estas operadoras a sugerir a subscrição de serviços de comunicações ou televisão após firmarem um contrato com a EDP Comercial. – Fonte: Jornal Expresso
A empresa dona da rede social Facebook foi multada em Espanha, no valor de 1,2 milhões de euros, acusada de violar as leis que protegem a privacidade dos cidadãos. Informações como o sexo, as crenças religiosas, interesses pessoais, hábitos de navegação na internet e, até, ideologias políticas são recolhidas pela rede social, que depois faz negócio com os anunciantes a partir dessas informações. – Fonte: Observador
Ataque informático na Deloitte expõe emails e dados confidenciais de clientes.Uma das quatro maiores consultoras do mundo foi atingida por um sofisticado ataque informático esta segunda-feira que colocou em causa emails e planos confidenciais de clientes importantes... Fonte: Observador
Enquadramento geral | Novo quadro jurídico
http://www.m-files.com/blog/data-oil-oil-gas/
O novo regulamento entrará em vigor, em todos os EM, a 25 de Maio de 2018.
Apresenta um conjunto de novos desafios organizacionais, tecnológicos e de governação, do qual poderão
ser destacados alguns dos objectivos e alterações face à realidade vigente:
Enquadramento geral | Novo quadro jurídico
- Pretende harmonizar as leis de protecção de dados em todos os países membros da União Europeia.
- Cria regras mais claras para a transferência de dados através das fronteiras.
- Melhora o controlo sobre os dados pessoais.
- Substitui a Directiva anterior para a protecção de dados.
Qual a importância do RGPD ?
Serve de motivação para compreender como é que as organizações protegem e obtêm valor de informações
sensíveis dos clientes.
Mitiga o risco de:
Enquadramento geral | Novo quadro jurídico
- perda de confiança dos clientes e vendas – dano reputacional
- coimas e sanções
- acções judiciais
Mas também fornece um maior controlo e percepção das necessidades do cliente.
- violações de segurança
Enquadramento geral | Novo quadro jurídico
Regulamento 2016: o “tratamento dos dados pessoais deverá respeitar (...) os direitos e liberdades
fundamentais, nomeadamente o direito à protecção dos dados pessoais” (Considerando 2)
O Regulamento de 2016 consubstancia-se num conjunto de normas legais que regula a forma de tratar
informação sobre as pessoas, com respeito pelos direitos fundamentais. Importante:
- Não tem como objectivo proibir a utilização de informação pessoal
mas...
- Visa conciliar uma harmonia entre a “livre circulação dos dados pessoais” na UE e a
tutela dos direitos e liberdade fundamentais
Enquadramento geral | Novo quadro jurídico
Principais novidades face à realidade atual:
• Alterado o modelo clássico de “notificações/autorizações prévias de tratamento” à CNPD (controlo
externo).
• Relevância de medidas internas como: avaliação do impacto das operações de tratamento de dados,
realização de auditorias, manutenção de registos de actividades de tratamentos de dados (entre outras).
• Os titulares dos dados passam a ter novos direitos. As organizações devem adoptar procedimentos
eficazes e expeditos de modo a assegurar o exercício efectivo destes direitos.
• As circunstâncias aplicáveis ao consentimento do titular dos dados e à legalidade do tratamento são
mais exigentes.
• Surge a obrigação de comunicação de quebras de segurança às autoridades competentes e, em certos
casos, aos próprios titulares dos dados. Eventual necessidade de nomeação de um DPO.
• O custo do incumprimento é relevante, com sanções muito elevadas – e isto sem referir outros
potenciais danos, por exemplo de natureza reputacional.
Enquadramento geral | Novo quadro jurídico
“Dados pessoais”
“Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada
identificável uma pessoa singular que possa ser identificada, directa ou indirectamente, em especial por
referência a um identificador, como por exemplo um nome, um número de identificação, dados de
localização, identificadores por via electrónica ou um ou mais elementos específicos da identidade física,
fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”
Enquadramento geral | Novo quadro jurídico
Categorias especiais de dados
- Regime específico para dados sensíveis: que revelem a origem racial ou étnicas, as opiniões
politicas, as convicções religiosas ou filosóficas, ou a filiação sindical; dados genéticos, dados
biométricos, dados relativos a saúde, a vida sexual ou orientação sexual
Regra geral: proibição de tratamento (n.º 1 do art. 9.º)
Excepções (n.º 2 do art. 9.º)
- Regime específico para dados relacionados com condenações penais, infracções ou medidas
de segurança: art. 10.º
Princípios
Enquadramento geral | Novo quadro jurídico
• Licitude, Lealdade e transparência
• Exactidão
• Minimização dos dados
• Limitação das finalidades
• Limitação da conservação
• Integridade e confidencialidade
• Responsabilidade
https://www.linkedin.com/authwall?trk=ripf&trkInfo=AQEdWXlENPSaGwAAAV6lWNFYaIF3qOLk55TWa04cFHmIVkVfwtwkmmPAfQi2gS9b4OxXA1vn2WHiUJ7QyW5oQk3q95XK0OVV6CKRUbpsbVFauw00Myq5TTnr2ZDUNcd_FNSHdk=&originalReferer=https://www.google.pt/&sessionRedirect=https%3A%2F%2Fwww.linkedin.com%2Fpulse%2Fdata-processors-practices-achieving-compliance-gdpr-marius
“Tratamento”
“Uma operação ou um conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados
pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação
por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição”
Novidade: “Limitação do tratamento”: “inserção de uma marca nos dados pessoais
conservados com o objectivo de limitar o seu tratamento no futuro”
Relevo: art. 18.º (direito a limitação do tratamento)
Enquadramento geral | Novo quadro jurídico
NOVAS OBRIGAÇÕES EM GERAL:
- Obrigação de registo das actividades de tratamento (arts. 30.º ss RGPD)
- Notificação de uma violação de dados pessoais à autoridade de controlo no prazo de 72 horas (art.33.º RGPD)
- Obrigação de avaliação de impacto sobre a protecção de dados e consulta prévia (art. 35.º e art.36.º
RGPD)
- Nomeação de um encarregado da protecção de dados (“DPO”) (arts. 37.º ss RGPD)
Enquadramento geral | Novo quadro jurídico
2. Obrigações para as empresas – Reforço e criação de obrigações
Obrigações para as empresas -
Reforço e criação de obrigações
OBRIGAÇÕES PARA AS EMPRESAS – REFORÇO E CRIAÇÃO DE OBRIGAÇÕES
Substituição da obrigação geral de notificação pelo reforço de vários deveres e pela criação de obrigações
novas:
i. Avaliação de impacto das operações de tratamento de dados;
ii. Registo de actividades de tratamento de dados;
iii. Implementação de medidas técnicas e organizativas que garantam a conformidade com a lei e
a integridade e segurança dos dados (ex.: pseudoniminzação, tratamento por defeito);
iv. Consulta prévia em casos específicos.
Obrigações para as empresas -
Reforço e criação de obrigações
OBRIGAÇÕES PARAS AS EMPRESAS – AVALIAÇÃO DE IMPACTO
Notas sobre a avaliação de impacto das operações de tratamento de dados:
Tratamento (ou conjunto de tratamentos com riscos semelhantes) que, pela sua natureza, âmbito,
contexto e finalidades (particularmente no caso de utilização de novas tecnologias), for susceptível de
implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo
tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de
tratamento sobre a protecção de dados pessoais.
Obrigações para as empresas -
Reforço e criação de obrigações
OBRIGAÇÕES PARAS AS EMPRESAS – AVALIAÇÃO DE IMPACTO (cont.)
ii. Avaliação é obrigatória em caso de:
a. Avaliação sistemática e completa dos aspectos pessoais relacionados com pessoas singulares,
baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela
adoptadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a
afectem significativamente de forma similar;
b. Operações de tratamento em grande escala de categorias especiais de dados ou de dados
pessoais relacionados com condenações penais e infracções;
c. Controlo sistemático de zonas acessíveis ao público em grande escala.
Obrigações para as empresas -
Reforço e criação de obrigações
i. A autoridade de controlo (CNPD) publica uma lista de tipos de operações de tratamentos sujeitos e não
sujeitos a avaliação
ii. A avaliação inclui, pelo menos:
a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento,
inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos
objectivos;
c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos; e
d) As medidas previstas para fazer face aos riscos identificados.
Obrigações para as empresas -
Reforço e criação de obrigações
OBRIGAÇÕES PARA AS EMPRESAS – REGISTO DE ATIVIDADES
Notas sobre o registo de actividades de tratamento:
- O responsável pelo tratamento de dados deve conservar um registo de todas as actividades de tratamento
de dados sob sua responsabilidade.
- Os registos são efectuados por escrito, incluindo em formato electrónico;
- O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo
tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo (CNPD);
- Há casos em que é obrigatório.
Obrigações para as empresas -
Reforço e criação de obrigações
- Os registos são efectuados por escrito, incluindo em formato electrónico;
- O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo
tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo (CNPD);
- As obrigações de registo aplicam-se às:
a. Empresas ou organizações com, pelo menos, 250 trabalhadores; e
b. Em qualquer caso, quando o tratamento efectuado seja susceptível de implicar um risco para os
direitos e liberdades do titular dos dados, não seja ocasional ou abranja “dados sensíveis” ou dados
relativos a condenações penais e infracções.
3. Encarregado da protecção de dados (DPO)
Encarregado da protecção de dados (DPO)
Obrigação de designação para responsáveis de tratamentos e subcontratantes
- Autoridades e organismos públicos (excepto tribunais);
- Entidades cujas actividades principais consistam em operações de tratamento que, devido à natureza/
âmbito /finalidade impliquem uma monitorização regular e sistemática dos titulares dos dados em grande
escala;
- Entidades cujas actividades principais consistam em operações de tratamento em grande escala de
categorias especiais de dados (“dados sensíveis”) e dados pessoais relacionados com contra-ordenações
penais/infracções;
Encarregado da protecção de dados (DPO)
Posição do encarregado da protecção de dados
- Deve ser envolvido em todas as questões relacionadas com a protecção de dados pessoais
- Independente: não pode ser destituído nem penalizado pelo exercício das suas funções
- Ponto de contacto com os titulares dos dados
Encarregado da protecção de dados (DPO)
Funções
- Informar/aconselhar o responsável pelo tratamento/subcontratante/ trabalhadores a respeito das suas
obrigações legais
- Monitorizar o cumprimento da lei
- Dar formação
- Realizar auditorias
- Prestar aconselhamento no que respeita à avaliação de impacto sobre a protecção de dados
- Cooperar e servir de ponto de contacto com a autoridade de controlo – CNPD
Encarregado da protecção de dados (DPO)
Perfil
- Perito em legislação sobre dados pessoais e tratamento de dados pessoais (jurista ou técnico
IT ou DRH ou CRM)
- Trabalhador ou prestador de serviços
- Único ou “partilhado”
4. Impactos na gestão de recursos humanos
Impactos na gestão de recursos humanos
O Regulamento prevê a possibilidade de os Estados-Membros adoptarem normas internas específicas,
designadamente ao nível do tratamento de dados pessoais no contexto laboral.
Não é, ainda, possível determinar, na totalidade, o enquadramento normativo que será aplicável a partir de
25 Maio de 2018.
O tratamento de dados sensíveis no contexto laboral, monitorização e controlo de dados:
- tem suscitado enorme discussão na doutrina e jurisprudência
- consentimento dos trabalhadores como fundamento válido para o tratamento de dados
pessoais por parte das entidades empregadoras.
Impactos na gestão de recursos humanos
Consentimento, entendido como uma manifestação de vontade livre, específica e informada.
Os trabalhadores raramente estão em condições de dar, recusar ou revogar consentimento livremente, tendo
em vista a dependência que resulta da relação empregador / empregado.
Porém, o consentimento não deverá constituir, por si só, fundamento jurídico
válido para o tratamento de dados pessoais dos trabalhadores.
5. Responsabilidades e sanções
Direito de reclamação perante autoridade de controlo
Responsabilidades e sanções
- direito que assiste aos titulares de dados de apresentar uma reclamação perante uma Autoridade de
Controlo – v.g. da residência, do local de trabalho ou da prática da infracção - quando considerem que o
tratamento de dados pessoais que lhes diga respeito viola o Regulamento
- este direito não prejudica o recurso por parte do titular de dados a outras vias de recurso gracioso ou
judicial
- a Autoridade de Controlo informa o autor da reclamação sobre o andamento e o resultado da reclamação
Direito à acção judicial contra a autoridade do controlo
Responsabilidades e sanções
- direito que assiste a todas as pessoas singulares ou colectivas de intentar acção judicial contra a
Autoridade de Controlo que:
a) tenha proferido uma decisão juridicamente vinculativa e que lhes diga respeito;
b) não tenha tratado da reclamação ou não tenha informado o titular dos dados, no prazo de três
meses, sobre o andamento ou o resultado da reclamação que tenha apresentado.
- este direito não prejudica o recurso a outras vias extrajudiciais por parte dos titulares do direito de acção
Direito à acção judicial contra o responsável pelo tratamento
Responsabilidades e sanções
- direito que assiste aos titulares de dados de intentarem acção judicial contra o responsável pelo
tratamento de dados pessoais ou o subcontratante, quando considerem ter havido violação dos seus direitos
nos termos do Regulamento
- este direito não prejudica o recurso a outras vias extrajudiciais por parte dos titulares de dados
Direito de indemnização e responsabilidade
Responsabilidades e sanções
- direito que assiste a qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma
violação do Regulamento
- o direito de indemnização é exercido contra o responsável pelo tratamento ou pelo subcontratante que não
tenha cumprido as obrigações decorrentes do Regulamento dirigidas especificamente aos subcontratantes
ou que não tenha seguido as instruções lícitas do responsável pelo tratamento
- quando o tratamento envolve mais do que um responsável a responsabilidade é solidária, sem prejuízo do
eventual direito de regresso
- a responsabilidade é excluída se o responsável pelo tratamento ou o subcontratante demonstrar que não é
responsável pelo evento que deu causa aos danos – ónus da prova
Condições gerais para aplicação de coimas
Responsabilidades e sanções
- se, no âmbito do mesmo tratamento de dados, forem violadas várias disposições do Regulamento, o
montante total da coima não pode exceder o montante especificado para a violação mais grave;
- o Regulamento apenas prevê coimas para a violação de algumas das suas regras;
- a coima tem como limite (i) 10 000 000€ ou 20 000 000€, ou no caso de uma empresa, (ii) 2% ou 4% do
volume de negócios anual a nível mundial correspondente ao exercício anterior, conforme o montante que for
mais elevado;
- os Estados-Membros fixam as sanções aplicáveis às violações do Regulamento não sejam sujeitas a coima
nos termos do Regulamento (v.g. crime – ver actualmente arts. 43º a 48º da Lei 67/98 de 26.10)
Coimas previstas no regulamento
Limite máximo de 10 000 000€ ou, no caso de uma empresa, 2% do volume de negócios anual a nível
mundial correspondente ao exercício anterior, consoante o montante que
for mais elevado:
a) violação de disposições relativas às obrigações do responsável pelo tratamento e do
subcontratante;
b) violação de disposições relativas às obrigações do organismo de certificação;
c) violação de disposições relativas às obrigações do organismo de supervisão;
Responsabilidades e sanções
Coimas previstas no regulamento (cont.)
coimas com limite máximo de 20 000 000€ ou, caso de trate de uma empresa, 4% do volume de negócios anual a
nível mundial correspondente ao exercício anterior, consoante o montante que
for mais elevado:
a) violação de disposições relativas aos princípios básicos do tratamento;
b) violação de disposições relativas aos direitos de titulares de dados;
c) violação de disposições relativas a transferências de dados pessoais para um destinatário num país terceiro ou
uma organização internacional;
d) violação de disposições relativas a situações específicas de tratamento adoptadas nos termos do direito do
Estado-Membro;
e) violação de disposições relativas ao incumprimento de uma ordem de limitação, temporária ou definitiva, relativa
ao tratamento ou à suspensão de fluxos de dados, emitida pela Autoridade de Controlo;
Responsabilidades e sanções
6. Plano de acção técnico e operacional
- Avaliação Sumária: Resumo das evidências analisadas e pontos de melhoria;
- Lista de Não conformidades detetadas: Lista de pontos que não estão em conformidade com o novo
Regulamento identificados durante o processo de análise.
- Proposta de Mitigação: Análise com proposta de resolução tecnológica ou processual em linha com os
requisitos do novo Regulamento.
Plano de acção técnico e operacional
- Entrevistas a elementos chave da organização, de acordo com os domínios especificados na framework de
avaliação;
- Identificação e revisão dos repositórios, fluxos e processos de negócio associados ao tratamento dos dados
pessoais;
- Verificação de tipos de contratos a realizar pela equipa de apoio jurídico;
- Identificação da documentação actual para a protecção de dados de acordo com a actual Lei de Protecção
de Dados Pessoais (LPDP 67/98) assim como as medidas de controlo já existentes e avaliação sumária da
sua eficácia;
Plano de acção técnico e operacional
- Avaliação do estado de processos específicos do regulamento como por exemplo: Resposta à violação de
dados pessoais, Requisitos de Consentimento, Pseudonimização, Privacidade por omissão e desde a
concepção, tratamento dos direitos dos titulares dos dados;
- Elaboração de relatório com lista de repositórios e diagramas de fluxo de dados pessoais, descrição alto
nível de processos e descrição detalhada da utilização de dados pessoais nesses processos, assim como a
análise das áreas da organização mais expostas ao risco;
Plano de acção técnico e operacional
Implementação de regras organizacionais internas adequadas:
- Formação aos funcionários sobre as regras relativas a segurança dos dados e as respectivas obrigações,
especialmente em matéria de confidencialidade;
- Protecção contra o acesso a instalações e a hardware e software do responsável pelo tratamento ou do
subcontratante, incluindo controlos sobre a autorização de acesso;
- Certificação de que as autorizações de acesso a dados pessoais foram concedidas pela pessoa competente e
exigem documentação adequada;
- Documentação exaustiva para outras formas de divulgação diferentes do acesso automatizado a dados, a fim
de demonstrar que não ocorreram quaisquer missões ilegais de dados;
- Realização de auditorias internas e externas.
Medidas técnicas e organizativas para cumprimento da legislação e garantia da segurança
e integridade dos dados pessoais
A aplicação deste novo regulamento como uma oportunidade para as organizações desenvolverem,
melhorarem, ou darem início ao seu modelo de governo de informação, num contexto particular da gestão de
dados pessoais.
Controlo
Contexto
Governance
Informação
Conteúdo
Proteção de Dados
Metadados
Classificação
RegistosPreservação
Auditoria
Risco
Segurança
Ameaças
Privacidade
Conformidade
Big Data
Storage
Cloud
Mobile
BYOD
Imagens
Redes Sociais
Medidas técnicas e organizativas para cumprimento da legislação e
garantia da segurança e integridade dos dados pessoais
Muito obrigado!
José Luís [email protected]
https://myshadow.org/about
A project that helps you to control your data traces, see how you're being tracked, and learn more about the data industry.
PORTO
Avenida da Boavista, 3265 – 2.8
4100-137 Porto
T +351 228 346 740
FARO
Avenida 5 de Outubro, nº 14,
4º Andar
8000-076 Faro
T +351 289 096 278
LUANDA
EVC Advogados
Edifício Kaluanda,
Rua José da Silva Lameira, Piso 2,
Escritório 2001
Luanda, Angola
T +244 937 406 057
MAPUTO
AG Advogados
Avenida Vladimir Lenine, no. 174 - 1.º,
Edifício Millennium Park Maputo,
Mozambique
T +258 21 359 520
M +258 21 359 501
MADRID
Calle Balbina Valverde, 17,
bajo izda.
28002 Madrid. Spain
T +34 91 7819570
LISBON
Av. da Liberdade, 249, 1º
1250-143 Lisboa
T +351 213 587 500
Consigo, onde estiver.