Embed Size (px)
Citation preview
O novo regulamento geral
de proteção de dados
Orador:
Local e Data:
www.apcergroup.com
Até 24 de Maio de 2016
• Portugal teve a 1ª Constituição com norma expressa de proteção de dados.
• Em Portugal o direito à proteção de dados é um direito fundamental desde 1976.
• Lei nº 10/91 - Lei da proteção de Dados Pessoais face à Informática. Mais tarde lei nº 28/94 aprova medidas de reforço da proteção de dados pessoais
• Lei 67/ 98 – Lei da proteção de Dados Pessoais
Orador:
Local e Data:
www.apcergroup.com
• Qualquer informação, de qualquer natureza,
independentemente do suporte, incluindo som e imagem,
relativa a uma pessoa identificada ou identificável.
• É identificável a pessoa que directa ou indirectamente se
possa identificar, por referência a um número, ou qualquer
elemento específico da sua identidade física, psíquica,
fisiológica, económica, cultural ou social
Dado pessoal
Orador:
Local e Data:
www.apcergroup.com
Tratamento de dados pessoais
• Qualquer operação ou conjunto de operações sobre
dados pessoais, efetuada com ou sem meios
automatizados
• Recolha Registo Organização Conservação
Destruição Alteração Recuperação Transmissão
Difusão Interconexão Comparação Apagamento
Bloqueio Colocação à disposição
Orador:
Local e Data:
www.apcergroup.com
Regulamento Geral de Proteção de Dados
Entrada em vigor e vacatio legis
• O Regulamento Geral de Proteção de Dados (RGPD) –
Regulamento (UE) n.º679/2016 foi aprovado em 27 de
abril e publicado a 4 de maio de 2016
• Entrou em vigor no vigésimo dia seguinte à sua publicação,
i.e., no dia 24 de maio de 2016
• É aplicável a partir do dia 25 de maio de 2018
Orador:
Local e Data:
www.apcergroup.com
Legislação europeia
Regulamentos– Tem carácter geral, ou seja, são aplicáveis a todos aqueles abrangidos pelo seu
âmbito de aplicação
– São diretamente aplicáveis e obrigatórios para cada Estado-Membro
– Não necessitam de qualquer ato legislativo nacional para apoiá-los. Issosignifica que se tornam a legislação nacional, sem qualquer ajuste adicional.
Diretivas– Exige um ato legislativo formal de transposição para o direito nacional
– Cada Estado-Membro tem a liberdade de escolher as medidas específicas paraatingir o objetivo desejado ou alvo designada numa diretiva.
– No entanto, muitas diretivas são bastante detalhadas, o que deixa aosEstados-Membros menos espaço para escolha de medidas.
– Diretivas mais detalhadas para garantir uma maior coerência em toda a UE.
Orador:
Local e Data:
www.apcergroup.com
Regulamento Geral de Proteção de Dados
2 anos para aplicação do RGPD tem por objetivo permitir que
As organizações/responsáveis pelos tratamento
se preparem e adaptem para que no momento de aplicação
do RGPD, 25 de maio de 2018, estejam já a cumprir todas as
regras exigidas por esta nova legislação
Orador:
Local e Data:
www.apcergroup.com
Quem está sujeito às obrigações do RGPD
• Aos responsáveis pelos tratamentos estabelecidos na UE
• Aos subcontratados estabelecidos na União Europeia
• Aos responsáveis e subcontratados que não estando
estabelecidos na União Europeia realizem atividades
relacionadas com
oferta de bens ou serviços destinados a cidadãos da UE
controlo de comportamento no território da União
Orador:
Local e Data:
www.apcergroup.com
Direitos dos cidadãos
• Direito de informação (artigos 13.º e 14º)
• Direito de acesso (artigo 15.º)
• Direito à retificação (artigo 16.º)
• direito ao esquecimento (artigo 17.º)
• Direito à limitação dos dados - inserção de marca- (art 18.º)
• Direito a ser notificado da retificação, apagamento elimitação(artigo 19.º)
• Direito à portabilidade dos dados (artigo 20.º)
• Direito de oposição (artigo 21.º)
• Direito a não ficar sujeito a decisões automatizadas (art 22.º)
Orador:
Local e Data:
www.apcergroup.com
Novas obrigações para os responsáveis pelos tratamentos
• Proteção de dados desde a conceção e por defeito( Privacy byDesign –PbD e Privacy by default – Pbd) (artigo 25.º)
• Avaliação do impacto na privacidade (artigo 35.º)
• Registo das atividades de tratamento (artigo 30.º)
• Consulta prévia (artigo 36.º
• Encarregado de proteção de dados (artigos 37º a 39.º)
• Violações de proteção de dados (artigo 33.º)
• Códigos de conduta (artigo 40.º)
• Selos de certificação (artigo 42.º)
• Medidas de segurança (artigo 5.º, alínea f) e artigo 32.º)
Orador:
Local e Data:
www.apcergroup.com
A violação do RGPD
• Está sujeito a sanções
– Estas serão efetivas, proporcionais e dissuasivas:
• O maior dos dois valores - € 20 000 000 ou, se for uma
empresa, 4% do volume de negócios mundial;
• Está sujeito à obrigação de indemnizar os titulares
Orador:
Local e Data:
www.apcergroup.com
Objetivos da reforma
• Reforçar os direitos dos indivíduos, particularmente
online
• Criar um quadro de proteção de dados da UE claro,
consistente e uniforme
• Facilitar fluxos de dados internacionais assegurando
uma proteção adequada
Orador:
Local e Data:
www.apcergroup.com
Regras ajustadas ao mercado digital único
• Uma única lei, diretamente aplicável
• Redução da burocracia (por exemplo, abolindo
notificações gerais)
• 'One-stop shop' sistema de proteção de dados na UE: um
único DPA para lidar com uma empresa
Orador:
Local e Data:
www.apcergroup.com
Regras direcionados para as PME
• Benefícios gerais: simplificação do quadro regulador - deharmonização e "one-stop-shop"
• Sem encargos administrativos desnecessários para as PME
• Disposições para os visados:
– Grande maioria das PME isentas da obrigação de DPO(data protection officer), a menos que estejam envolvidasem tratamentos de risco
– Critérios estritamente direcionados para Avaliações deImpacto de Privacidade , a menos que estejam envolvidasem tratamentos de risco
– As PME isentos de obrigações de documentação
Orador:
Local e Data:
www.apcergroup.com
Melhorias na governança de proteção de dados
• DPA nacionais independentes e fortes
• Cooperação mais rápida e mais eficiente entre as DPAs
• Um novo “Conselho Europeu de Proteção de Dados "
• "Mecanismo de consistência" a nível da UE
Orador:
Local e Data:
www.apcergroup.com
Benefícios para o cidadão
As novas regras vão colocar os cidadãos de volta no controle de
seus dados, nomeadamente através de:
• O direito ao esquecimentos.
• Acesso mais fácil aos seus próprios dados e direito de
portabilidade de dados
• O direito de saber quando os seus dados são comprometidos
• A proteção de dados em primeiro lugar, não uma reflexão tardia
Orador:
Local e Data:
www.apcergroup.com
Benefícios para as empresas
A reforma de proteção de dados da Comissão Europeia ajudará o mercado único digital a concretizar o seu potencial, nomeadamente através de quatro inovações principais:
• Um continente uma lei: é um regulamento não uma diretiva.
• One-stop-shop: as empresas só terão de lidar com uma autoridade de supervisão, e não 28. (Google Street View)
• As mesmas regras para todas as empresas – independentemente do local onde estão estabelecidas: se as empresas fora da Europa querem tirar proveito do mercado europeu e dos seus mais de 500 milhões de clientes, então têm que se sujeitar às regras europeias
• Os reguladores europeus terão os seus poderes reforçados: as autoridades de proteção de dados serão capaz de multar empresas que não cumpram as regras da UE até 2% do seu volume de negócios anual global. O Parlamento Europeu propôs mesmo aumentar as possíveis sanções para 5%.
Orador:
Local e Data:
www.apcergroup.com
Formação
Auditoria DPO
PIAs
Mecanismos Acesso
Notificação Data Breaches
Conformidade GDPR
2017 2018Maio Julhoo Setembro Novembro Fevereiro Abril Maiio 25 de Maio de 2018
Orador:
Local e Data:
www.apcergroup.com
Formação
• O conselho de administração e a gestão de topo deve estar ciente das mudanças na lei, já que a
implementação do GDPR pode ter um impacto significativo na estrutura e recursos da instituição.
• Aumentar a consciência dos funcionários que recolhem e tratam dados pessoais sobre as novas
regras.
Orador:
Local e Data:
www.apcergroup.com
Formação
Auditoria DPO
PIAs
Mecanismos Acesso
Notificação Data Breaches
Conformidade GDPR
2017 2018Dezembro Janeiro Abril Julho Setembro Janeiro Abril 25 de Maio de 2018
Orador:
Local e Data:
www.apcergroup.com
AuditoriaInformação sob custódia
Cada projecto
Fundamentos
Caracterização da informação
Uso da informação
Notificação consentimento
Conservação dos dados
Partilha da informação
Orador:
Local e Data:
www.apcergroup.com
Responsável de Proteção de Dados
O importante é certificar-se de que alguém na organização, ou
um consultor externo de proteção de dados, assume a devida
responsabilidade pela conformidade com a proteção de dados e
tem o conhecimento, o suporte, idoneidade e a autoridade para
fazê-lo efetivamente.
Orador:
Local e Data:
www.apcergroup.com
Pedidos de acesso a dados
• Atualizar os procedimentos e planear como vai tratar os
pedidos dentro dos novos prazos e fornecer qualquer
informação adicional.
Orador:
Local e Data:
www.apcergroup.com
Violação de dados pessoais (data breaches)
• Garantir que tem implementados os procedimentos corretos
para detetar, alertar e investigar uma violação de dados
pessoais.
• Notificação às DPAs tem que acontecer num prazo de 72 horas
• Em alguns casos terão que notificar os interessados se a
violação dos seus dados comprometerem os seus direitos e
liberdades.
• Para mitigar o processo deve cifrar os dados
Orador:
Local e Data:
www.apcergroup.com
Avaliação de impacto na privacidade
Para cada tratamento de:
– dados sensíveis (dados de saúde, biométricos, criminais,
crença religiosa, raça, crianças…)
– profilling
– monitorização em zonas públicas
– deployment de novas tecnologias
deve promover a elaboração de uma avaliação de impacto na
privacidade, gestão de risco.
Orador:
Local e Data:
www.apcergroup.com
Avaliação de impacto na privacidade
• As instituições devem começar a avaliar as situações
em que será necessário realizar um PIA.
– Quem os vai efetuar?
– Quem mais precisa estar envolvido?
– O processo será executado centralmente ou localmente?
Orador:
Local e Data:
www.apcergroup.com
Avaliação de impacto na privacidade
• Deve consultar a CNPD antes do processamento (Art. 36
GDPR), se o PIA indicar que o processamento resultaria num
risco elevado e não poder tomar medidas para mitigar o risco.
• As DPAs podem publicar "black" e "white lists" com os dados
cujo processamento exigem ou não um PIA.
Orador:
Local e Data:
www.apcergroup.com
PIA – profilling
Orador:
Local e Data:
www.apcergroup.com
Processos e documentos a rever
1. Documentar os processamentos existentes (PIAs com análise de risco)
2. Avisos de privacidade (extensão essencial dos deveres de informação)
3. Declarações de consentimento (requisitos formais mais estritos) mecanismos de
gestão de vida do consentimento (possibilidade de retirar a qualquer momento)
4. Processos para implementar o direito à objeção
5. Contratos entre controlador e processador (responsabilidade, documentação)
6. Processo de implementação da comunicação de violações de proteção de dados
7. Processo para permitir a portabilidade de dados em formato standard
8. Implementação de gestão de risco eficaz para identificar medidas técnicas e
organizacionais apropriadas
9. Implementação da Avaliação de Impacto da Privacidade (PIA)
Orador:
Local e Data:
www.apcergroup.com
Custo e esforço
Alguns fatores a ser tidos em conta na avaliação dos custos de implementação do GDPR:
1. O princípio da responsabilização tem como consequência um
investimento considerável na documentação de cada processamento.
2. Tempo para rever a(s) declarações de privacidade e tempo para rever
os processos para os quais o consentimento adicional é necessário.
3. Número de contratos de processamento de dados x tempo para
revisão + (se necessário) tempo para renegociação de contratos.
4. Revisão de todos os processos atuais
5. Formação
