Embed Size (px)
Citation preview
Regulamento Geral de Proteção de Dados
Maio 2018
Data Protection 360º
www.pwc.pt/dataprotection
PortoLisboa
Luanda
PwC PortugalEscritórios: 4Pessoas: 1.300
4
1.300
Praia
As firmas da PwC colaboram com organizações e pessoas na criação do valor que procuram. Somos uma network de firmas presente em 158 países, com mais de 230.000 colaboradores que partilham o objetivo de prestar serviços de qualidade em assurance, advisory e tax.
A PwC
Onde estamos localizados?
2 PwC
Data Protection
360ºQual é o contexto atual
O que está em causa?
Que serviços oferecemos?
Como operacionalizamos?
1
2
3
4
3Regulação Geral de Proteção de Dados
1. Qual o contexto atual?
O Regulamento Geral de Proteção de Dados (RGPD), aplicável a partir de 25 de maio de 2018, tem impacto em todas as organizações que tratem dados pessoais e que beneficiem da União Europeia. O objetivo principal do RGPD é o de assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados. O RGPD implica mudanças significativas na abordagem à gestão de dados pessoais e tem associadas sanções muito elevadas em caso de incumprimento. O papel do regulador (no caso de Portugal, a CNPD) é profundamente alterado com a entrada em vigor do RGPD. A CNPD deixa de ter poderes relevantes de supervisão prévia, como atualmente acontece com os procedimentos de notificação e autorização para o tratamento de dados pessoais, passando a concentrar os seus esforços em ações inspetivas. A mudança no papel do regulador representa menos burocracia para as organizações que passam a poder tratar dados sem necessidade de notificar ou pedir uma autorização à CNPD, contudo, representa também a completa internalização nas organizações da responsabilidade pelo cumprimento do RGPD.
Tendo por base o calendário definido pela Comissão Europeia, as organizações devem, durante o ano de 2017, adaptar a sua organização ao RGPD em todos os seus processos (jurídicos e tecnológicos) para poderem cumprir com as normas constantes do RGPD.
Neste contexto, a PwC tem como objetivo disponibilizar aos seus clientes uma oferta integrada, que inclui a vertente jurídica e operacional, para permitir aos mesmos a adaptação da organização ao RGPD. Neste documento detalhamos, de forma sintética, alguns aspetos da nossa oferta.
2012 - 2015 2016 - 2017 2018
Calendarização do RGPD
Janeiro 2012
Publicação da proposta do RGPD
Até final de 2017
Implementação do RGPD pelas empresas
Dezembro 2015
Aprovação do RGPD
Janeiro 2018
Operacionalização do RGPD pelas empresas
Abril 2016
Adoção formal do RGPD
Maio 2018
Início das ações de fiscalização
4 PwC
2. O que está em causa?
As sanções podem ascender a 20 milhões de euros ou a 4% do volume total de negócios anual, conforme o que for mais elevado.
500 milhões de cidadãos da UE, através das 28 autoridades de proteção de dados nacionais veem reforçados os seus direitos perante as empresas.
A divulgação de dados pressupõe falhas na gestão por parte das Organizações, pelo que estas serão sujeitas à aplicação de coimas.
As Autoridades de Proteção de Dados de cada país (ex: CNPD), são obrigadas, a regular e a investigar.
O RGPD é aplicável a todos os setores económicos e a cada organização que detenha ou utilize dados pessoais de cidadãos europeus dentro e fora da UE.
• Danos à marca• Perda de confiança dos clientes e colaboradores• Desgaste dos consumidores
• TI não adaptados face às maiores exigências • Conhecimento pouco especializado da matéria • Transferências inválidas de dados • Aumento do número de incidentes e fragilidade
dos processos de resposta adequada aos mesmos
A exigência está a aumentar… … causando alguns potenciais impactos
• Multas e penalidades• Auditorias à proteção de dados
• Perda de receitas• Custos de litigação e contingência• Aumento das indemnizações a clientes
Risco Operacional
Risco Regulatório
Risco Financeiro
Risco Reputacional
5Regulação Geral de Proteção de Dados
3. Que soluções oferecemos?
Road to ComplianceAnálise end-to-end, suportado por um framework global da PwC, que se inicia com um diagnóstico que abrange as componentes processuais e tecnológicas e que tem por objetivo o desenho de um modelo de resposta às exigências do RGPD. Apoio operacional às atividades
do DPO com foco na gestão dos programas de implementação da Privacidade, na execução de PIA, na análise aos processos de suporte ao RGPD e outras atividades adequadas à realidade da sua organização.
… causando alguns potenciais impactos
Para além da oferta descrita, a PwC pode apoiar as empresas noutros domínios em torno do RGPD.
DPO Special Support
Formação específica dirigida aos principais interlocutores da Organização com o objetivo de os sensibilizar para as implicações do RGPD.
Training
1
2
Test to ComplianceCondução de testes ao modelo definido e implementado, simulando a ocorrência de eventos reais previstos no RGPD, para identificação de eventuais constrangimentos e oportunidades de melhoria.
3
4
6 PwC
4. Como operacionalizamos?
Classificação de informação pessoal e de operações de processamento
Condução de análises de risco de privacidade
Desenho de modelos de privacidade e adaptação dos Sistemas de Informação
• Classificação de dados por tipo (pessoais, profissionais, fiscais...)
• Identificação de informação sensível (saúde, genética...)
• Identificação dos pressupostos para o processamento (consentimento dos titulares dos dados, execução de contrato com titular dos dados)
• Sistematização das finalidades de processamento dos dados
• Classificação de operação de processamento de dados por tipo
• Avaliação dos riscos de privacidade envolvidos nas operações de processamento
• Aferição do nível de segurança necessário considerando a avaliação dos riscos
• Definição de medidas de cariz tecnológico e organizacional (incluindo segurança) para o processamento de dados assegurando o respeito pelo RGPD e promovendo a redução do número de operações de processamento
• Desenho do modelo de relacionamento com os titulares dos dados (clientes e colaboradores), Prestadores de Serviço e Reguladores
• Definição de políticas internas de proteção de dados
• Adaptação dos Sistemas de Informação
• Solicitação da certificação
12
3
7Regulação Geral de Proteção de Dados
Documentação das ações efetuadas a dados pessoais e para cumprimento da conformidade
Nomeação de um Encarregado de Proteção de Dados
• Identificação das obrigações de conformidade
• Definição e concretização de ações de monitorização
• Formação
• Identificação e comunicação das falhas detetadas
• Documentação das operações de processamento para simplificação dos processos de consulta
• Documentação das ações efetuadas com o objetivo de assegurar o controlo sobre as mesmas e a sua melhoria contínua
• Nomeação de um encarregado de proteção de dados certificado (Data Protection Officer – DPO) que pode ser interno ou externo à organização
• Disponibilização de recursos ao DPO para a execução da função
Nota: O DPO deve ser independente dentro da organização.
Monitorização e auditoria da conformidade
4
56
© 2018 PricewaterhouseCoopers /AG - Assessoria de Gestão, Lda. Todos os direitos reservados. PwC refere-se à PwC Portugal, constituída por várias entidades legais, ou à rede PwC. Cada firma membro é uma entidade legal autónoma e independente. Para mais informações consulte www.pwc.com/structure.
www.pwc.pt/dataprotection
Contactos
Gabriela Teixeira PartnerManagement Consulting Lead+351 918 621 [email protected]
Miguel Dias Fernandes PartnerManagement Consulting +351 965 354 475 [email protected]
