Maio de 2018: estou em compliance com o novo Regulamento ... · atividades de tratamento e PIAs ......
Transcript of Maio de 2018: estou em compliance com o novo Regulamento ... · atividades de tratamento e PIAs ......
Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?
Isabel OrnelasÁrea de Privacidade, Proteção de Dados e CibersegurançaVieira de Almeida e Associados
O NOVO REGIME LEGAL
Atualmente: A partir de 25 de maio de 2018:
Lei de Proteção de
Dados Pessoais
Lei n.º 67/98 de 26 de outubro
Regulamento Geral sobre a Proteção de
Dados Pessoais(RGPD)
Alteração do panorama legal da Privacidade e Proteção de Dados
Directiva SRI Digital Single MarketProposta
Regulamento ePrivacy
…tratamentos de dados no contexto de atividades de um
estabelecimento na UE
▪ Estabelecimento do responsável oudo subcontratante
▪ Independentemente se tratamento ocorre dentro ou fora da UE
… tratamentos de dados pessoais de titulares residentes
na UE, efetuados por responsável ou subcontratante
não estabelecido na UE, quando:
▪ O tratamento se dirija à oferta de bens ou serviços a esses titulares de dados
▪ O tratamento vise o controlo de um comportamento que tenha lugar na UE
O RGPD aplica-se aos…
Âmbito de aplicação do RGPD
Os conceitos
Registo das atividades de
tratamento e PIAs
Nomeação de DPO
Privacy by Design e by Default
Alargamento do âmbito territorial
Novo papel para os atores
(responsável, subcontratante e
titular)
Informação e Consentimento
Notificação de Data Breaches
Principais novidades
Reforço do Quadro
Sancionatório
Reforço das Medidas de Segurança
Os conceitos
Autoridade de Controlo
Definição de Perfis
Responsável e Subcontratante
TratamentoCategorias de Dados Especiais
Titular
Empresa e Grupo Empresarial
Dados Pessoais Estabelecimento Principal
Tratamento transfronteiriço
Violação de Dados Pessoais
Pseudonimização
CONCEITOSGENÉRICOS DO RGPD
Os conceitos - Dados Pessoais
Informação relativa a umapessoa singular
Direta ouindiretamente
Por referência aum identificador
Identificada
Identificável
Por referência a um ou maiselementos específicos daidentidade física, fisiológica,genética, mental, económica,cultural ou social
Regras especiais para tratamento de categorias especiaisde dados
Os conceitos - Tratamento de dados pessoais
recolha
registo
organizaçãoconservação
utilização
adaptação
alteração recuperação
consulta
colocação à disposição
comunicação
Qualquer operação ou conjunto de operações sobre dados pessoais
efetuada com ou sem meios automatizados
A relação com os titulares dos dados
DIREITO A SER
INFORMADO
DIREITO AO
ESQUECIMENTO
DIREITO À
ATUALIZAÇÃO / RETIFICAÇÃO
DIREITO A SER
NOTIFICADO
(DATA BREACH)
DIREITO À
PORTABILIDADE
DIREITO DE
ACESSO
Direitos dos titulares dos dados
Obrigação de fornecer ao titular as informações devidas de forma: concisa, transparente, inteligível, e de fácil acesso
Dever geral de transparência
Obrigação de prestação de informação 1 mês a contar da data da receção do pedido (prorrogação para 2 meses tendo em conta a complexidade e número de pedidos)
Direito à informação
&
- Para diferentes tratamentos, consentimentos distintos- Consentimento não se presume – deve poder ser
demonstrado- Titular pode retirar o consentimento a qualquer momento- Exceções: (i) tratamento necessário para a execução de um
contrato em que o titular participe, e (ii) tratamento necessário para o cumprimento de uma obrigação do
responsável
Manifestação de vontade livre, específica, informada e explícita + declaração ou ato
inequívoco
Obrigações mais apertadas de consentimento
Medidas destinadas a promover a responsabilização das empresas
Preocupação com a proteção de dados deveexistir desde o primeiro momento e estarpresente ao longo de todo o tratamento
O responsável pelo tratamento deve:• aplicar as medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os
princípios da proteção de dados (ex.: minimização)
• garantir que o tratamento é feito de forma a cumprir as regras do RGPD e assegurando que apenassão tratados os dados pessoais efetivamente necessários
Privacy by design e Privacy by default
Devem apresentar garantias de execução de medidas de segurançaadequadas a proteger os direitos dos titulares
Não podem contratar subcontratantes sem autorização do responsável pelotratamento
Prestam assistência ao responsável para assegurar o cumprimento dasobrigações decorrentes da realização de DPIAs e da consulta prévia à CNPD
O subcontratante que em violação do RGPD determine os meios e finalidadesdo tratamento é tido como responsável pelo tratamento
Subcontratantes
Maior responsabilidade dos subcontratantes
Trata os dados em nome e por conta do responsável
Passa a ter responsabilidade direta
Registos de tratamento e Privacy Impact Assessments
Responsável pelo Tratamento conserva registo das atividades de
tratamento sob a sua responsabilidade, por escrito, em formato eletrónico, em formato
disponibilizável à autoridade de controlo
Subcontratantes também devem conservar um registo de todas as categorias de
atividades de tratamento realizadas em nome de um responsável pelo tratamento
Registos das atividades de tratamento
&
Uma análise destinada a identificar e minimizar os potenciais riscos para o não-cumprimento de
disposições legais
Privacy Impact Assessment
- De certos tipos de tratamento e que pode ser obrigatória em certos casos
- CNPD publica lista de operações sujeitas ao requisito de PIA
- Existem elementos mínimos que devem constar da avaliação
- Se resultar elevado risco responsável consulta a CNPD
- CNPD dá orientações por escrito ao responsável e ao subcontratante
Uma avaliação…
Encarregado de Proteção de Dados
Encarregado de Proteção de Dados
Obrigatório para organismos públicos e para entidades cuja atividade principal consista:• em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,
exijam um controlo regular e sistemático dos titulares dos dados em grande escala;• em operações de tratamento em grande escala de categorias especiais de dados
Funções:
Aconselhamento geral e informar todos os que tratem os dados das suas obrigações
Controla a conformidade com o
RGPD e demais políticas do responsável
Tem um papel preponderante na
elaboração de DPIA
Analisa o riscoMantem um registo
das atividades de tratamento
Coopera com a autoridade de
controlo, servindo como ponto de
contacto
As transferências de dados pessoais só podem ser realizadas no cumprimento do RGPD
Caso não tenha sido tomada uma decisão, a transferência de dados só pode ser realizada mediante a apresentação degarantias adequadas:▪ Cláusulas Contratuais-tipo da UE▪ Cláusulas Contratuais-tipo adotadas por uma autoridade nacional e aprovadas pela Comissão Europeia▪ Binding Corporate Rules▪ Privacy Shield
Critério: nível de proteção adequado
Transferências internacionais de dados pessoais
Comissão Europeia
Responsável pelo Tratamento
Titular dos Dados
notifica
comunica
Sem demora injustificada, no prazo de 72 horas após ter tido conhecimento da violação
informa
Subcontratante
Notificação de violações de dados pessoais
«Violação de Dados Pessoais» Violação da segurança que
provoque, de modo acidental ou ilícito, a destruição, a perda, a
alteração, a divulgação ou o acesso, não autorizados, a dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento
Autoridade de Controlo (CNPD)
Não Exaustivo
Consequências do não cumprimento do RGPD
Violação pelo responsável/subcontrat
ante de obrigações relativas a:
• Consentimento para dados de menores
• Obrigações do Subcontratante
• Obrigação de Notificação
• Cooperação com Autoridade
• Comunicação de violações da proteção de dados
• Avaliação de Impacto sobre a Proteção de Dados
• Punidas com coimas até €10.000 000 ou 2% do volume anual mundial de negócios
• Punidas com coimas até €20.000 000 ou 4% do volume anual mundial de negócios
2 tipos de sanções:
Violação pelo responsável/
subcontratante dos:
• Princípios gerais de proteção de dados, incluindo regras de consentimento
• Deveres dos responsáveis perante os titulares (transparência, informação, acesso, esquecimento, portabilidade)
• Regras de transferências internacionais de dados
Consoante o montante mais elevado
C O I M A S
Avaliação
Adaptação
Definição
Organização
Formação
Criação
dos tratamentos existentes (Gap Analysis)
de estrutura de Governance
de processos e procedimentos
de Data Privacy Officers
de manuais e políticas internas
às novas regras
Como estar preparado?
Ter uma abordagem estratégica
Isabel [email protected]Área de Privacidade, Proteção de Dados e CibersegurançaVieira de Almeida e Associados