Privacidade e Proteção de Dados

O Regulamento Geral de Proteção de Dados, RGPD – ou “General Data Protection Regulation, GDPR”, vem substituir em 25 de Maio de 2018 toda a atual legislação de Proteção de Dados dos Estados-membros da UE baseadas na atual Directiva – Data Protection Directive (DPD) / 1995.

Organizações que não estejam preparadas para aplicar os princípios e regras deste regulamento enfrentam elevados riscos e penalidades – até 4% das receitas anuais ou 20 milhões (€). Adicionalmente, qualquer Titular dos dados de qualquer Estado-membro vai ter o direito de procurar recursos judiciais contra o “responsável do controlo dos dados” e “responsável pelo tratamento”, bem como o direito de obter compensação for prejuízos ocorridos em resultado de perdas de dados, enquadrados pelo RGPD.

Benefícios da conformidade com o RGPD
  • Cumprir o regulamento e a lei nacional, estar preparado para o novo Regulamento, limitando os riscos de perda de dados e evitar a aplicação de coimas;
  • Ganhar a confiança dos seus clientes;
  • Segurança e confiança no uso das novas tecnologias pelos seus colaboradores e clientes;
  • Proteger a imagem e a reputação da sua empresa;
  • Aumentar o valor real perante o Mercado!

Se estiver a avaliar/implementar um projeto de conformidade com o RGPD / GDPR, podemos apoiar com os serviços e as competências que vai necessitar.

Obrigações das empresas – responsáveis de tratamento de dados
  • Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e comprovar a conformidade do tratamento com o regulamento
  • Aplicação de políticas em matéria de proteção de dados
  • Cumprimento de códigos de conduta …
  • Proteção de dados desde a conceção e por defeito
  • Responsabilidade conjunta de responsáveis do tratamento
  • Subcontratante – regulado por contrato que vincula ao responsável do tratamento de acordo com obrigações regulamentadas por escrito, a) – h)
  • Artigo 30º Registos das atividades de tratamento
  • Artigo 31º Cooperação com a autoridade de controlo
  • Artigo 32º Segurança do tratamento
  • Artigo 33º Notificação de uma violação de dados pessoais à autoridade de controlo
  • Artigo 34º Comunicação de uma violação de dados pessoais ao titular dos dados
  • Artigo 35º Avaliação de impacto sobre a proteção de dados
Príncipios do RGPD

Princípios relativos ao tratamento – agora são 6 + 1

  1. «licitude, lealdade e transparência»
  2. Recolhidos para finalidades determinadas, explícitas e legítimas …«limitação das finalidades»
  3. Adequados, pertinentes e limitados …«minimização dos dados»
  4. Exatos e atualizados sempre que necessário… «exatidão»
  5. Conservados … apenas durante o período necessário…«limitação da conservação»
  6. Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra… a sua perda, destruição ou danificação, … «integridade e confidencialidade»
  7. O responsável pelo tratamento de dados é… «responsabilidade»
Autoridade de Supervisão

A «Autoridade de controlo», é uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51º. Esta tem a responsabilidade pela fiscalização da aplicação do regulamento (RGPD), a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União.

Em Portugal essa responsabilidade está atribuída à CNPD. A Comissão Nacional de Protecção de Dados (CNPD) é uma entidade administrativa  independente com poderes de autoridade, que funciona junto da Assembleia da República. Tem como atribuição genérica controlar e fiscalizar o processamento de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

Pode obter mais informação em www.cnpd.pt

Preparação para a conformidade ao RGPD

O programa de preparação e conformidade ao RGPD deve considerar as seguintes atividades e entregáveis:

Atividades [ Kick-off + Governance + Awareness + Gap-analysis + Accountability + Fecho ], incluindo a elaboração da documentação geral de suporte ao RGPD conforme identificado:

Kick-of
  • Reunião de início de projeto
  • Apresentação, Definição e aceitação do plano de projeto com as tarefas e principais datas
Governance
  • Aprovar Política de Privacidade e Proteção de Dados
  • Aprovar Política de proteção de dados de colaboradores
  • Aprovar Política de Segurança de Sistemas de Informação
  • Avaliar necessidade de Encarregado de Proteção de Dados
  • Avaliar outros documentos por específicos do setor
Awareness
  • Formar e preparar a equipa para a execução do plano
  • Sessão de Awareness – formação e transferência de informação para a equipa e participantes envolvidos no projeto
  • Documentação de apoio – informação base para a compreensão do RGPD
Enquadramento / Gap-analysis
  • Enquadramento legal da Organização e as alterações RGPD
  • Identificação “As Is”
  • Workshops levantamento:
    • Recursos Humanos
    • Administrativo
    • Comercial / Mkt
    • Informação
  • Inventários:
    • Dados, tratamentos e processos
    • Aplicações e sistemas
  • Subcontratados
  • Processos
    • Registo e Tratamento
    • Retenção de dados
    • DSAR – Pedidos
  • Accountability
  • Registos das atividades de tratamento (art. 30)
  • Segurança dos dados pessoais (art. 32)
  • Avaliação de impacto sobre a proteção de dados (art. 35)
  • Processo de Notificações (Art. 33 e 34)
  • Matriz de risco (PIA)
  • Procedimentos internos:
  • Pedidos de titulares de dados
  • Pedidos da Autoridade de Supervisão
Fecho
  • Elaboração de relatório de análise e recomendações
  • Elaboração da tabela de Inventário de dados
  • Elaboração do(s) DPIA
  • Identificação de principais riscos e iniciativas prioritárias
  • Elaboração e acompanhamento de plano de transição
Metodologia

Áreas de competências do projeto de preparação e conformidade ao RGPD, considerando

  1. Políticas de Governance – e respetivos meios de Controlo
  2. levantamento do Inventário (Dados e sistemas) e Fluxos de dados
  3. Políticas de Segurança da Informação – Security controls
  4. Áreas de Controlo e Operações – Collection, Processing, Retention, Destruction
  5. Formação e sensibilização – Awareness
  6. Gestão de Risco
  7. Gestão de Terceiros e Subcontratados
  8. Processos de Notificações
  9. Gestão de Pedidos e e Reclamações – DSAR
  10. Monitorização e avaliação geral permanente
  11. Gestão de Quebra e Perda de dados
  12. Entidades de Supervisão, Auditorias e Compliance externa (ISO -ISMS)
  13. Processos de Melhoria (Auditorias internas)
Serviços de Auditoria interna

O objectivo da auditoria interna é definir o procedimento para a análise e avaliação regular da implementação efectiva das medidas técnicas e organizacionais adoptadas pela Organização com vista a assegurar a segurança do tratamento de dados. Este procedimento deverá aplicado a todas as atividades de tratamento de dados e a todos os colaboradores da sua Organização.

Âmbito da Auditoria interna

O âmbito da Auditoria interna é determinar se os procedimentos, mecanismos de controlo, processos e medidas para as atividades de tratamento de dados estão em conformidade com o Regulamento e legislação em vigor, e as políticas e procedimentos internos definidos pela Organização, se estes estão efectivamente implementados e cumpridos pelos colaboradores, e se estes cumprem com os requisitos e objectivos definidos pela.

Plano de Auditoria interna

No âmbito do RGPD qualquer organização deve realizar regularmente uma Auditoria Interna assegurando a cobertura de todas as atividades de tratamento de dados sensíveis. A auditoria interna deverá ser planeada com base na avaliação de risco dos tratamentos de dados, bem como nos resultados da auditoria(s) anterior(s).

Serviços de Auditoria interna

Os serviços de auditoria interna ao projeto RGPD é uma atividade independente, de avaliação objetiva e de consultoria, destinada a acrescentar valor e melhorar as operações da sua Organização relativamente à conformidade geral com o RGPD.

  • formular recomendações aos serviços sobre como podem melhorar as práticas de gestão e operação dos processos de tratamento de dados pessoais (riscos, controlo e melhoria)
  • promover uma cultura de gestão eficiente e eficaz nos serviços da organização.

Tarefas:

  • Auditoria aos departamentos e unidades de serviços de acordo com o modelo da Autoridade de Supervisão (dependente do modelo mais recente que estiver em vigor)
  • Auditoria documental às atividades da Proteção de Dados em relação às restantes unidades da organização.
  • Revisão e avaliação de implementação da Política de Segurança de SI
  • Relatório final de auditoria e não-conformidades
    • Contexto da Organização
    • Planeamento – iniciativas para tratar os riscos e oportunidades
    • Suporte – Conhecimentos e formação da equipa de suporte ao RGPD
    • Operação – Planeamento e controlo operacional
    • Não conformidades e ações corretivas
    • Iniciativas de melhoria contínua
DPOaaS
A realização da função de Encarregado de Proteção de Dados como um serviço.

regulamento introduz a figura do Encarregado de Proteção de Dados (EPD) que terá o papel de assegurar e monitorizar as políticas, processos e procedimentos da privacidade de dados e segurança da informação para garantir a proteção de dados no dia-a-dia da empresa. Embora não seja obrigatório para todas as empresas, a existência do mesmo pode sempre facilitar o cumprimento das obrigações e acrescentar valor aos atuais processos de negócio associados ao tratamento de dados.

Definição

O papel do DPO’ de forma geral é assegurar a conformidade da Organização com as leis da privacidade e proteção de dados. O DPO, nos termos do RGPD, tem como obrigação desempenhar as seguintes tarefas:

  1. Informar e aconselhar a Organização, bem como os trabalhadores a respeito das suas obrigações nos termos do presente regulamento e de outras obrigações legais ;
  2. Monitorizar a conformidade com o regulamento, outras obrigações legais e as políticas da Organização relativas à proteção de dados pessoais;
  3. Sensibilizar os colaboradores e gerir a formação relativamente à proteção de dados;
  4. Prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização nos termos do RGPD;
  5. Cooperar com a autoridade de controlo de proteção de dados – Atuando como ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento;
  6. Relacionamento e ponto de contacto para as questões dos titulares dos dados relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo regulamento.
Serviços de suporte a Encarregado de Proteção de Dados “Data Protection Officer” interno

Os objectivos do serviço de suporte ao EPD é assegurar que a organização e o seu DPO “interno” esteja preparada e em conformidade com o RGPD e restante legislação sobre privacidade e proteção de dados e assumir uma função de suporte ao DPO da organização na responsabilidade de supervisionar e/ou gerir as políticas, processos e procedimentos relativos à proteção de dados.

Serviços de Encarregado de Proteção de Dados externo “Virtual Data Protection Officer”

Os objectivos do serviço de EPD externo é assegurar que a organização esteja preparada e em conformidade com o RGPD e restante legislação sobre privacidade e proteção de dados e assumir um ponto de contacto central dentro da organização para gerir as políticas, processos e procedimentos relativos à privacidade e proteção de dados. O serviço do EPD Externo nomeado pela Organização de forma pública e diretamente junto da Autoridade de controlo ( i.e. a CNPD), assegura as responsabilidades gerais do EPD conforme definidas no Artigo 39 do RGPD.

Enquadramento do Encarregado da Proteçãso de Dados no RGPD
Artigo Descrição Âmbito
Artigo 37.º Designação do encarregado da proteção de dados Obrigação de nomeação do DPO
Artigo 38.º Posição do encarregado da proteção de dados Enquadramento do DPO na Organização, perante a Autoridade e os Titulares
Artigo 39.º Funções do encarregado da proteção de dados Descrição das funções e atividades do principais do DPO
FAQs