Regulamento Geral de Proteção de Dados

 

---

 

Considerações gerais sobre o regulamento

Regulamento Geral de Proteção de Dados (RGPD) passará a ser aplicado diretamente a partir de 25 de maio de 2018, e vem substituir a atual diretiva e lei de proteção de dados pessoais. O novo quadro legal traz algumas mudanças significativas que terão diferente impacto na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem.

Assim, empresas e entidades públicas devem começar desde já a preparar internamente a sua organização para a aplicação do RGPD. É essencial conhecer as novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar as medidas necessárias durante este período de transição para assegurar que tudo está pronto atempadamente. A CNPD identifica dez áreas principais de atuação, a analisar em documento anexo.

1. Informação aos titulares dos dados
2. Exercício dos direitos dos titulares dos dados
3. Consentimento dos titulares dos dados
4. Dados sensíveis
5. Documentação e Registo de atividades de tratamento (*)
6. Informação aos titulares dos dados
7. Contratos de subcontratação
8. Encarregado de proteção de dados
9. Medidas técnicas e organizativas e segurança do tratamento
10. Proteção de dados desde a conceção e avaliação de impacto
11. Notificação de violações de segurança

(*) – o registo de atividades poderá não ser obrigatório para empresas com menos de 250 trabalhadores.

Definição do plano de implementação do RGPD
A Gestão de Topo deve começar por definir um plano de ação estratégico para implementar o RGPD, que envolva todas as áreas de negócio da empresa. No plano de ação deve constar a identificação, avaliação e categorização de todos os dados pessoais que as organizações têm armazenados.

Envolvimento de toda a organização
Deve ser criado um programa interno de comunicação mobilizador, que envolva transversalmente toda a organização, informando e sensibilizando os colaboradores sobre a privacidade, as alterações ao RGPD e os riscos inerentes ao incumprimento.

Aconselhamento jurídico
O aconselhamento jurídico é uma peça fundamental para a implementação do RGPD sem sobressaltos. O consultor jurídico deve identificar os passos já implementados e os que estão em falta para que se cumpra o novo Regulamento Geral para a Proteção de Dados e não incorra em coimas. Este levantamento de necessidades é extremamente útil se necessitar de recorrer a um parceiro para implementar as alterações necessárias.

Avaliação
Levantamento inicial, recolha de informação e documentação, check-List, Inventários de dados e de sistemas.

Diagnóstico
Analise legal, processual e tecnológica. Analise da conformidade versus requisitos do RGPD. Analise documental, analise de processos e arquitetura do sistema de informação.

Implementação
Desenho da organização. Politicas e procedimentos. Gestão do Risco. Controlo de Segurança. Formação. Atividades técnicas, apoio jurídico e transferência de conhecimento.

 

 

---

 

Direitos dos cidadãos sobre os seus dados pessoais

• Informação e acesso aos seus dados pessoais (artigo 13º,14º e 15º);
• Correção e retificação de erros nas suas informações pessoais (artigo 16º)
• Eliminação dos seus dados pessoais (direito a ser esquecido *) (artigo 17º)
• Oposição, impedimento e limitação ao processamento (artigo 18º e 21º)
• Portabilidade ** dos dados pessoais (artigo 20.º) .
• O consentimento do titular deverá ser conferido mediante um ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca de que consente no tratamento de dados pessoais que lhe digam respeito;

(*) Deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

O titular retira o consentimento em que se baseia o tratamento dos dados;

O titular opõe-se ao tratamento;

Os dados pessoais foram tratados ilicitamente;

Cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;

(**) Direito à portabilidade inclui apenas dados fornecidos pelo titular

Dados pessoais – Informação relativa a uma pessoa singular identificada ou identificável. (Art.4.º do RGPD);

Categorias específicas de informação: Genética (art.4.º,n.13); Biométrica (art.4.º,n.14); Médica (art.4.º,n.14 e 15); Política e social (artigo 9.º); Penal (artigo 10º)

É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular, Exemplos: número de cartão de cidadão, NIF, IBAN, nº telemóvel, IP, grupo sanguíneo, etc.

 

---

 

Regulamento e obrigatoriedades legais

• Condições para a LICITUDE do tratamento de dados pessoais (artigo 7º):
  • O titular tiver dado consentimento* explicito e demonstrável;
  • O tratamento for necessário para a execução de um contrato ou para efeitos de diligências pré-contratuais a pedido do titular;
  • O tratamento for necessário para o cumprimento de uma obrigação jurídica;
  • O tratamento for necessário para efeito de interesses legítimos prosseguidos pelo responsável pelo tratamento.

• Obrigações da Entidade Responsável e/ou Subcontratante
  • Obter previamente e provar o consentimento do titular;
  • Tratamento desenvolvido na pseudonimização;
  • Garantir o direito a ser esquecido;
  • Garantir o direito à portabilidade dos dados;
  • Garantir “privacy by design”;
  • Garantir “privacy by default”;
  • Efetuar avaliações de impacto sobre proteção de dados (“PIA”);
  • Ter encarregado de proteção de dados (“DPO”);
  • Notificar e registar as violações de dados pessoais (“data breach”).

(*) Consentimento pode ser dado por menores a partir dos 13 anos

• Confidencialidade
  • Todos os dados pessoais devem estar convenientemente protegidos quanto ao seu acesso ou exposição não autorizada.

• Integridade
  • Todos os dados pessoais devem conservar todas as características definidas pelo seu titular, desde o seu fornecimento à sua destruição.

• Disponibilidade
  • Todos os dados pessoais deverão estar apenas disponíveis mediante validação de perfis, permissões e condições previamente estabelecidas.

• Conformidade legal normativa
  • Todas as ações de recolha e tratamento de dados pessoais devem respeitar as regras do RGPD e restante legislação conexa

 

Regime Sancionatório
€10M ou 2% do volume de negócios anual (faturação) a nível mundial, consoante aquele que for mais elevado em caso de violação dos requisitos para o tratamento lícito de dados;
€20M ou 4% do volume de negócios anual (faturação) a nível mundial, consoante aquele que for mais elevado em cado de violação de direitos dos titulares.

Regime Indemnizatório

O RGDP reconhece o direito do titular: a) Apresentar queixa à autoridade de controlo (CNPD); b) Ação judicial contra autoridades de controlo; c) Ação judicial contra o responsável pelo tratamento e/ou subcontratantes; d) Direito de reclamar indemnização e responsabilidade ao responsável pelo tratamento e/ou subcontratantes pelos danos sofridos.

 

---

 

Processos e formação interna

• Códigos de Conduta e Certificações
  • Definição e redação de politicas internas de privacidade, manuais de politicas e procedimentos, códigos de ação, estatutos e outros. As empresas representantes de categorias de responsáveis pelo tratamento ou subcontratantes devem elaborar códigos de conduta;

• (Privacy by design & Privacy by default)
  • Implementação de medidas técnicas e organizacionais para demonstrar que foram consideradas e integradas as exigências do RGPD nas atividades de tratamento de dados (pseudonimização, PIA’s *).

• Accountability
  • Os responsáveis terão de estar em condições de demonstrar o cumprimento dos princípios do RGPD.

 

• O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito /ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º

• Funções do Encarregado de Proteção de Dados
  • Informa e aconselha em matéria de proteção de dados pessoais;
  • Controla a conformidade do tratamento de dados pessoais com o RGPD e com outras disposições de proteção de dados da UE;
  • Presta aconselhamento no que respeita à avaliação de impacto sobre proteção de dados e controla a sua realização;
  • Coopera e funciona como ponto de ligação com a autoridade de controlo.

• Quando há necessidade de recorrer a um subcontratante para efetuar o tratamento de dados pessoais há que ter em conta as seguintes regras:
  • O recurso a serviços de tratamento de dados pessoais deve ser assegurado por garantias de execução de medidas técnicas e organizativas adequadas ao RGPD;
  • O subcontratado não pode recorrer a outro subcontratante sem autorização prévia e específica por escrito do representante de proteção de dados;
  • Um contrato de subcontratação terá de incluir o objeto e duração do tratamento de dados, natureza e finalidade, tipo de dados e categorias dos titulares assim como as obrigações e direitos do responsável.

Nota – É aconselhável, mesmo não sendo obrigatório, a nomeação de um Encarregado da Proteção de Dados (EPD), essa pessoal ou subcontratante desempenharia as funções do DPO dentro da empresa ou organização.

 

---

 

Tecnologia e proteção dos dados

Criação de procedimentos de certificação em matéria de proteção de dados bem como selos e marcas de proteção de dados para demonstrar o cumprimento e as melhores práticas.

Implementar medidas técnicas e organizativas a fim de garantir um nível de segurança adaptado ao risco é essencial para estar em conformidade com o GDPR.

Estas medidas devem incluir:

• A capacidade de recuperar a disponibilidade e acesso aos dados pessoais em tempo útil na eventualidade de um acidente físico ou técnico;
• Um método para testar regularmente, aceder e avaliar a eficácia das medidas técnicas e organizativas para garantir a segurança do processamento. Ver artigo 32º 1 – RPGD.
• Monitorização e a análise comportamental da rede e analisar a deteção de ataques, com a execução sistemática de antivírus e anti-malware para deteção código malicioso fazendo o respetivo isolamento e protegendo a entrada e as vulnerabilidades.

 

---

 

O que deve analisar neste tempo que falta?

• Onde estão os dados pessoais? Sistemas? Papel? Estão atualizados? Temos registo organizados?
• Temos consentimento do titular? Estamos preparados para dar resposta aos direitos do titular?
• Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?
• Conseguimos comunicar violações em 72 Horas?
• Temos procedimentos para avaliar e gerir os riscos?
• Conseguimos criar evidencias e demonstrar que cumprimos o RGPD?
• Já nomeamos o Encarregado de Proteção de dados (DPO)?
• Os Sistemas e equipamentos estão atualizados?
• Os Backups e sistemas de seguranças estão em conformidade com o RGPD?
• Os antivírus estão atualizados e em conformidade.
• As firewalls e sistemas anti-intrusão estão atualizadas.

 

O que precisa fazer?

• Inventariação dos dados pessoais existentes (quais, onde estão, para onde são transmitidos, quem tem acesso, por quanto tempo) e estabelecer políticas e procedimentos que permitam gerir os dados em conformidade e reagir a qualquer falha de segurança e notificar à CNPD e ao titular dos dados, no prazo máximo de 72 horas, de quaisquer perdas ou acessos indevidos.
• Rever impressos, formulários, politicas de privacidade. Verificar se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação a que o RGPD obriga: o direito à Consulta/Alteração, Direito ao Esquecimento; Direito à Portabilidade de Dados.
• Analisar com que fundamento legal está a processar dados. Caso seja com base no consentimento, terá de rever o consentimento dado, para apurar se respeita todas as novas exigências, ou se será necessário obter novo consentimento.
• Rever os contratos de subcontratação de serviços realizados no âmbito de tratamento de dados pessoais, para verificar se cumprem com os requisitos exigidos pelo RGPD.
• Garantir que tem regras especificas para provar e evidenciar que todos os requisitos legais são cumpridos. Realizar uma auditoria/Assessment para verificar o que tem de fazer para cumprir com o RGPD (Accountability).
• Preparar a designação e funções do Encarregado de Proteção de Dados (se aplicável). Deve documentar de forma detalhada todas as atividades relacionadas com tratamento de dados pessoais (se aplicável).
• Verificar a efetividade do sistema de gestão da segurança da informação.
• Delinear rapidamente um cronograma de ação, de procedimentos a executar, plano de investimento do reforço da segurança dos sistemas e software.

 

 A avaliação do impacto sobre a proteção de dados (PIA), deverá incluir:

• A descrição de todas as operações de tratamento a que os dados estarão sujeitos;
• Qual a finalidade das ações de tratamento de dados pessoais, e caso seja necessário qual o interesse legítimo do responsável pelo tratamento;
• A avaliação das necessidades e proporcionalidade das operações de tratamento em relação aos seus objetivos;
• A avaliação dos riscos para os direitos e liberdades dos titulares dos dados;
• Medidas previstas e garantias para fazer face aos riscos;
• Medidas e procedimentos de segurança em conformidade com o regulamento e que assegurem a proteção dos dados pessoais;
• O parecer do DPO.