Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

Isabel OrnelasÁrea de Privacidade, Proteção de Dados e CibersegurançaVieira de Almeida e Associados

O NOVO REGIME LEGAL

Atualmente: A partir de 25 de maio de 2018:

Lei de Proteção de

Dados Pessoais

Lei n.º 67/98 de 26 de outubro

Regulamento Geral sobre a Proteção de

Dados Pessoais(RGPD)

Alteração do panorama legal da Privacidade e Proteção de Dados

Directiva SRI Digital Single MarketProposta

Regulamento ePrivacy

AS PRINCIPAIS ALTERAÇÕES DO RGPD

…tratamentos de dados no contexto de atividades de um

estabelecimento na UE

▪ Estabelecimento do responsável oudo subcontratante

▪ Independentemente se tratamento ocorre dentro ou fora da UE

… tratamentos de dados pessoais de titulares residentes

na UE, efetuados por responsável ou subcontratante

não estabelecido na UE, quando:

▪ O tratamento se dirija à oferta de bens ou serviços a esses titulares de dados

▪ O tratamento vise o controlo de um comportamento que tenha lugar na UE

O RGPD aplica-se aos…

Âmbito de aplicação do RGPD

Os conceitos

Registo das atividades de

tratamento e PIAs

Nomeação de DPO

Privacy by Design e by Default

Alargamento do âmbito territorial

Novo papel para os atores

(responsável, subcontratante e

titular)

Informação e Consentimento

Notificação de Data Breaches

Principais novidades

Reforço do Quadro

Sancionatório

Reforço das Medidas de Segurança

NOVOS CONCEITOS &

CONCEITOS REVISITADOS

Os conceitos

Autoridade de Controlo

Definição de Perfis

Responsável e Subcontratante

TratamentoCategorias de Dados Especiais

Titular

Empresa e Grupo Empresarial

Dados Pessoais Estabelecimento Principal

Tratamento transfronteiriço

Violação de Dados Pessoais

Pseudonimização

CONCEITOSGENÉRICOS DO RGPD

Os conceitos - Dados Pessoais

Informação relativa a umapessoa singular

Direta ouindiretamente

Por referência aum identificador

Identificada

Identificável

Por referência a um ou maiselementos específicos daidentidade física, fisiológica,genética, mental, económica,cultural ou social

Regras especiais para tratamento de categorias especiaisde dados

Os conceitos - Tratamento de dados pessoais

recolha

registo

organizaçãoconservação

utilização

adaptação

alteração recuperação

consulta

colocação à disposição

comunicação

Qualquer operação ou conjunto de operações sobre dados pessoais

efetuada com ou sem meios automatizados

A RELAÇÃO COM O TITULAR DOS DADOS

A relação com os titulares dos dados

DIREITO A SER

INFORMADO

DIREITO AO

ESQUECIMENTO

DIREITO À

ATUALIZAÇÃO / RETIFICAÇÃO

DIREITO A SER

NOTIFICADO

(DATA BREACH)

DIREITO À

PORTABILIDADE

DIREITO DE

ACESSO

Direitos dos titulares dos dados

Obrigação de fornecer ao titular as informações devidas de forma: concisa, transparente, inteligível, e de fácil acesso

Dever geral de transparência

Obrigação de prestação de informação 1 mês a contar da data da receção do pedido (prorrogação para 2 meses tendo em conta a complexidade e número de pedidos)

Direito à informação

&

- Para diferentes tratamentos, consentimentos distintos- Consentimento não se presume – deve poder ser

demonstrado- Titular pode retirar o consentimento a qualquer momento- Exceções: (i) tratamento necessário para a execução de um

contrato em que o titular participe, e (ii) tratamento necessário para o cumprimento de uma obrigação do

responsável

Manifestação de vontade livre, específica, informada e explícita + declaração ou ato

inequívoco

Obrigações mais apertadas de consentimento

MAIOR RESPONSABILIDADE DAS EMPRESAS

Medidas destinadas a promover a responsabilização das empresas

Preocupação com a proteção de dados deveexistir desde o primeiro momento e estarpresente ao longo de todo o tratamento

O responsável pelo tratamento deve:• aplicar as medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os

princípios da proteção de dados (ex.: minimização)

• garantir que o tratamento é feito de forma a cumprir as regras do RGPD e assegurando que apenassão tratados os dados pessoais efetivamente necessários

Privacy by design e Privacy by default

Devem apresentar garantias de execução de medidas de segurançaadequadas a proteger os direitos dos titulares

Não podem contratar subcontratantes sem autorização do responsável pelotratamento

Prestam assistência ao responsável para assegurar o cumprimento dasobrigações decorrentes da realização de DPIAs e da consulta prévia à CNPD

O subcontratante que em violação do RGPD determine os meios e finalidadesdo tratamento é tido como responsável pelo tratamento

Subcontratantes

Maior responsabilidade dos subcontratantes

Trata os dados em nome e por conta do responsável

Passa a ter responsabilidade direta

Registos de tratamento e Privacy Impact Assessments

Responsável pelo Tratamento conserva registo das atividades de

tratamento sob a sua responsabilidade, por escrito, em formato eletrónico, em formato

disponibilizável à autoridade de controlo

Subcontratantes também devem conservar um registo de todas as categorias de

atividades de tratamento realizadas em nome de um responsável pelo tratamento

Registos das atividades de tratamento

&

Uma análise destinada a identificar e minimizar os potenciais riscos para o não-cumprimento de

disposições legais

Privacy Impact Assessment

- De certos tipos de tratamento e que pode ser obrigatória em certos casos

- CNPD publica lista de operações sujeitas ao requisito de PIA

- Existem elementos mínimos que devem constar da avaliação

- Se resultar elevado risco responsável consulta a CNPD

- CNPD dá orientações por escrito ao responsável e ao subcontratante

Uma avaliação…

Encarregado de Proteção de Dados

Encarregado de Proteção de Dados

Obrigatório para organismos públicos e para entidades cuja atividade principal consista:• em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,

exijam um controlo regular e sistemático dos titulares dos dados em grande escala;• em operações de tratamento em grande escala de categorias especiais de dados

Funções:

Aconselhamento geral e informar todos os que tratem os dados das suas obrigações

Controla a conformidade com o

RGPD e demais políticas do responsável

Tem um papel preponderante na

elaboração de DPIA

Analisa o riscoMantem um registo

das atividades de tratamento

Coopera com a autoridade de

controlo, servindo como ponto de

contacto

As transferências de dados pessoais só podem ser realizadas no cumprimento do RGPD

Caso não tenha sido tomada uma decisão, a transferência de dados só pode ser realizada mediante a apresentação degarantias adequadas:▪ Cláusulas Contratuais-tipo da UE▪ Cláusulas Contratuais-tipo adotadas por uma autoridade nacional e aprovadas pela Comissão Europeia▪ Binding Corporate Rules▪ Privacy Shield

Critério: nível de proteção adequado

Transferências internacionais de dados pessoais

Comissão Europeia

Responsável pelo Tratamento

Titular dos Dados

notifica

comunica

Sem demora injustificada, no prazo de 72 horas após ter tido conhecimento da violação

informa

Subcontratante

Notificação de violações de dados pessoais

«Violação de Dados Pessoais» Violação da segurança que

provoque, de modo acidental ou ilícito, a destruição, a perda, a

alteração, a divulgação ou o acesso, não autorizados, a dados pessoais

transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento

Autoridade de Controlo (CNPD)

Não Exaustivo

Consequências do não cumprimento do RGPD

Violação pelo responsável/subcontrat

ante de obrigações relativas a:

• Consentimento para dados de menores

• Obrigações do Subcontratante

• Obrigação de Notificação

• Cooperação com Autoridade

• Comunicação de violações da proteção de dados

• Avaliação de Impacto sobre a Proteção de Dados

• Punidas com coimas até €10.000 000 ou 2% do volume anual mundial de negócios

• Punidas com coimas até €20.000 000 ou 4% do volume anual mundial de negócios

2 tipos de sanções:

Violação pelo responsável/

subcontratante dos:

• Princípios gerais de proteção de dados, incluindo regras de consentimento

• Deveres dos responsáveis perante os titulares (transparência, informação, acesso, esquecimento, portabilidade)

• Regras de transferências internacionais de dados

Consoante o montante mais elevado

C O I M A S

COMO ESTAR PREPARADO?

Reconhecer o impacto a vários níveis

Como estar preparado?

Avaliação

Adaptação

Definição

Organização

Formação

Criação

dos tratamentos existentes (Gap Analysis)

de estrutura de Governance

de processos e procedimentos

de Data Privacy Officers

de manuais e políticas internas

às novas regras

Como estar preparado?

Ter uma abordagem estratégica

Definir um calendário

M A I O 2 018

Isabel Ornelasigo@vda.ptÁrea de Privacidade, Proteção de Dados e CibersegurançaVieira de Almeida e Associados