REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)

NOVOS DESAFIOS:


O Regulamento Geral de Proteção de Dados (RGPD) passará a

ser aplicado diretamente a partir de 25 de Maio de 2018,

substituindo a atual diretiva e lei de proteção de dados

pessoais.
Pretende garantir o respeito de todos os direitos fundamentais

e observar a liberdade e os princípios reconhecidos na Carta,

consagrados nos Tratados.
O Regulamento apresenta um conjunto de novos desafios

aplicáveis aos cidadãos, às empresas e outras organizações

públicas e privadas.
Todas as empresas que tratem dados pessoais (de pessoas singulares) têm obrigatoriamente que aplicar o referido Regulamento, respondendo pelos danos causados, consequência de qualquer violação, sendo obrigadas a indemnizar quem tenha sofrido (material ou imaterialmente).
Também as empresas que façam negócio com cidadãos da UE, mesmo que sediadas fora da União, serão afetadas.

 

DE QUE DADOS ESTAMOS A FALAR?
Informação relativa a uma pessoa singular identificada ou identificável. Inclui dados genéticos e dados biométricos. Conceito de identificável inclui o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Tratamento, inclui não só a recolha, mas também todo o "manuseamento".

 

PORQUE É QUE O RGPD ESTÁ A ALARMAR QUEM TEM DADOS PESSOAIS?

- Porque tem coimas avultadas (20 milhões de euros ou 4% do volume de negócios anual do grupo empresarial) e a CNPD será atuante;
- É transversal na organização e implica implementar um sistema de gestão de risco, um sistema de gestão de segurança da informação e a adoção de comportamentos novos;
- A obrigação de designar um Encarregado para a Proteção de Dados, a alteração das regras sobre obtenção de consentimento, novos direitos atribuídos aos titulares dos dados;
- Obrigação de notificação relativamente à violação dos dados pessoais;
- Porque cabe às organizações provarem que cumprem o Regulamento.

 

CUMPRIR O REGULAMENTO:

CONSENTIMENTO, TRANSPARÊNCIA E INFORMAÇÃO
Qualquer tratamento de dados pessoais, mesmo que recolhidos antes da vigência do regulamento, terá de cumprir com o que está definido. É obrigatório o consentimento do titular de dados, para uma finalidade claramente definida. O consentimento tem que ser livre, específico, informado, explícito, e por ato inequívoco.
Retirar consentimento deverá, também, ser tão simples quanto conceder.
É natural que muitos consentimentos já existentes não cumpram com todos os requisitos do RGPD, o que obriga obter novo consentimento.
O regulamento estabelece que o responsável pelo tratamento de dados deve fornecer obrigatoriamente ao titular dos dados um conjunto significativo de informações antes de proceder ao tratamento dos dados.

 

DIREITOS DOS TITULARES
O regulamento confere aos titulares dos dados um conjunto de direitos, como o direito de acesso, o direito de retificação, o direito ao apagamento, o direito à limitação do tratamento, o direito de portabilidade, o direito de oposição e cria para as empresas a obrigação de garantirem e assegurarem esses direitos.

 

AVALIAÇÃO DE IMPACTO SOBRE PROTEÇÃO DE DADOS
O regulamento estabelece as condições em que existe obrigatoriedade de uma avaliação de impacto antes de serem iniciadas as operações de tratamento de dados que utilizam novas tecnologias e impliquem elevado risco para os direitos e liberdades dos titulares. Se a organização delega em fornecedores o processamento e armazenamento de dados pessoais (por exemplo, cloud), deve exigir aos fornecedores o cumprimento das exigências do Regulamento.

 

PROVA E EVIDÊNCIA DO CUMPRIMENTO
As organizações têm que provar:

- Que os dados pessoais que possuem são legítimos e estão limitados ao que é necessário;
- Que os dados estão atualizados, seguros e confidenciais;
- Que têm políticas, procedimentos, códigos de conduta e instruções internas, formalizadas e capazes de serem disponibilizadas às entidades de supervisão;
- Que possuem sistemas para monitorizar se as políticas e procedimentos estão a ser seguidas.

É assim necessário ter regras mas também acautelar registos probatórios do cumprimento do RGPD.

 

NOVOS DIREITOS:

- Direito ao esquecimento: o titular de dados tem direito a solicitar que os dados sejam apagados;
- Direito de portabilidade: o titular de dados pode solicitar que os dados que disponibilizou a um prestador de serviços sejam transferidos para outro prestador, desde que tecnicamente seja possível;
- Direito de não sujeição a nenhuma decisão tomada apenas com base no tratamento automatizado.

 

MARKETING
O regulamento e a lei exigem o consentimento prévio, livre, específico e informado, explícito e expresso dos titulares dos dados para fins de marketing direto.

 

POLÍTICA DE PROTEÇÃO DE DADOS
A elaboração e adoção de uma Política de Proteção de Dados revela as opções da organização/empresa e os Princípios que lhe estão subjacentes, sendo um instrumento para demonstração de conformidade.
Os responsáveis pelo tratamento de dados e subcontratantes são obrigados a proceder ao tratamento dos dados, de com as regras e princípios definidos.

 

DATA PROTECTION OFFICER (DPO) | ENCARREGADO DE PROTEÇÃO DE DADOS
Autoridade ou organismos públicos, entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala devem nomear um DPO, um encarregado da proteção de dados (interno ou prestador de serviços), de forma a garantir um controlo regular e sistemático.
Mesmo nas entidades em que não seja mandatório o DPO, a entidade deverá designar um responsável pelo tratamento e proteção de dados pessoais.

 

EXIGÊNCIAS PARA QUEM É SUBCONTRATADO PARA PROCESSAR DADOS PESSOAIS
É muito comum que os dados pessoais sejam, total ou parcialmente, tratados por terceiros subcontratados. Os subcontratados passam a ter responsabilidades, o que implica, entre outros, que hajam contratos que definam regras entre as partes. Os contratos existentes têm, por isso, que ser revistos.
Ao subcontratado cabe provar que cumpre com todas as regras do contrato e do próprio RGPD, nomeadamente em matérias de confidencialidade e segurança.

 

REFORÇO DA SEGURANÇA DE DADOS | (PRIVACY BY DESIGN AND BY DEFAULT)
O regulamento estabelece que o responsável pelo tratamento aplique, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas a aplicar com eficácia os princípios da proteção de dados e a incluir as garantias necessárias no tratamento de forma a proteger os direitos dos titulares dos dados. Estabelece ainda que por defeito, apenas sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. A Segurança passa pela capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e implementação de um sistema de gestão de segurança da informação.
É determinante localizar dados pessoais e eliminar os não conformes, quer nos diversos sistemas quer em papel, quer nas Organizações quer nos subcontratados para tratamento.
É introduzido o conceito Privacy by Design, a proteção de dados desde a conceção e por defeito, o que requer a inclusão desta temática nos processos de desenvolvimento do tratamento de dados.

 

SEGURANÇA DOS DADOS
O regulamento estabelece para os responsáveis pelo tratamento dos dados e para os subcontratantes a obrigatoriedade de aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco. Para o efeito deverão ter em conta as técnicas mais avançadas, ou custos de aplicação e a natureza, âmbito, finalidades e contexto do tratamento, bem como aos riscos (probabilidade e gravidade) para os titulares de dados.

ACESSO AOS DADOS
Qualquer pessoal singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só deve proceder ao seu tratamento mediante instruções do responsável pelo tratamento. Estabelece ainda que o tratamento de dados deve ser efetuado de forma a prevenir destruição, perda e alterações acidentais ou ilícitas, e a divulgação ou acesso não autorizados.

 

NOTIFICAÇÃO DA VIOLAÇÃO DE DADOS
A CNPD terá de ser notificada (em 72 horas) de todas a violações de dados com risco para o titular.
Se a violação de dados implicar um elevado risco para os direitos e liberdades dos titulares dos dados, o responsável pelo tratamento está obrigado a comunicar a violação de dados pessoais ao titular dos dados sem demora injustificada. O responsável pelo tratamento fica obrigado a documentar as violações de dados pessoais, que devem conter os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

 

A SABER:

PRIVACY BY DESIGN
Privacidade desde a conceção, significa que a cada novo processo de negócios ou serviço que use dados pessoais, deve ter-se em conta a proteção desses mesmos dados. Na prática, significa que o departamento de tecnologias e informação tem de dar importância à privacidade durante todo o ciclo de vida do desenvolvimento ou processos de tratamento de dados pessoais.

 

PRIVACY BY DEFAULT
Significa que as configurações de privacidade se aplicam automaticamente quando um cliente adquire um novo produto ou serviço. Ou seja, não deverá ser necessária qualquer alteração manual para que as configurações de privacidade sejam aplicadas a todos os novos titulares de dados pessoais de um determinado sistema.

 

ACCOUNTABILITY
Exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que toda a informação pessoal está em segurança.

 

OPOSIÇÃO AO PROFILING
Os titulares de dados têm direito a opor-se ao uso de profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais.

 

PRIVACY IMPACT ASSESSMENTS
Permite que a organização encontre problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados.

livrodereclamacoes.PNG
  • Facebook ícone social

2019 © Auditor - Sistemas de Gestão e Controlo | Todos Direitos Reservados

POWERED By AUDITOR WEB DPT