Impactos e Desafios

EM CASO DE EMERGÊNCIA

2
O NOVO REGULAMENTO GERAL
SOBRE PROTEÇÃO DE DADOS

Sessão de abertura
Carla Lima, SGS
Nuno Lourinho, SGS

3
 REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
O QUE É?

 O RGPD regula a proteção das pessoas singulares no que diz

respeito ao tratamento de dados pessoais e à livre circulação
desses dados
 O novo Regulamento reveste-se de alguma complexidade, com
novos princípios e conceitos, novos direitos para os titulares de
dados que significam novos deveres para as organizações que
com eles lidam, em que são exemplo:
 avaliação de impacto;
 privacidade na conceção de novos produtos ou serviços com dados e
a privacidade por defeito;
 notificações das violações de segurança;
 Encarregado de Proteção de Dados (DPO).

4
RGPD TIMELINE

5
 RGPD : OBJETIVOS PRÁTICOS

 Corrigir os limites da Diretiva 95/46/EC, assegurando a

proteção dos Titulares dos Dados contra a utilização
das Novas Tecnologias:

 Corrida à recolha de dados privados

 Proteção insuficiente dos dados pessoais
 Relação desigual entre os Responsáveis pelo
Tratamento e os titulares dos dados

6
 RGPD : OBJETIVOS PRÁTICOS

 Harmonizar o quadro jurídico para a proteção de

dados pessoais dentro da UE:

 Este novo quadro europeu visa facilitar o fluxo de dados na

União Europeia, reforçar a confiança dos consumidores e
impulsionar a economia digital

7
 RGPD : OBJETIVOS PRÁTICOS

 Aumentar as coimas para fortalecer os poderes

coercivos das autoridades reguladoras :

 Para 10 milhões de € ou 2% do volume de negócios da empresa

E 20 milhões de € ou 4% do volume de negócios da empresa, em
caso de repetição

8
 NOVIDADES NO RGPD?

• Âmbito alargado no que diz respeito aos

dados pessoais;
• Novas obrigações para o “Responsável pelo
Tratamento” e “Subcontratado”;
• Novos direitos para os titulares dos dados;
• “Accountability”.

9
 NOVIDADES NO RGPD?

O RGPD é um REGULAMENTO, não uma

diretiva!

10
 REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
O QUE É?

 Mudança de paradigma na proteção de dados pessoais, onde

passamos de uma lógica centrada nas organizações que tratam
dados pessoais para uma lógica alinhada com a proteção dos
titulares dos dados.

 Essa mudança percebe-se com a inversão do ónus de prova, que

antes do RGPD, estava do lado do titular dos dados e que agora
passa a estar do lado das organizações.

 De uma forma prática, isto significa que, quem trata dados pessoais,
passa a ter a obrigação de provar em que situações é que processou
esses dados, para que fim e porquê, quando no passado bastava
submeter um pedido de autorização prévia à autoridade competente.
11
O QUE SÃO DADOS PESSOAIS?

 Informação relativa a uma pessoa singular identificada

ou identificável.
 Inclui dados genéticos e dados biométricos.
 Conceito de identificável inclui o nome, número de
identificação, dados de localização, identificadores
por via eletrónica, bem como um ou mais elementos
específicos da identidade física, fisiológica, genética,
mental, económica, cultural ou social dessa pessoa
singular.
 Tratamento, inclui não só a recolha, mas também todo o
“manuseamento”.

12
ONDE PODERÃO ESTAR LOCALIZADOS OS
DADOS PESSOAIS?

 Suporte
 Digital
 Papel
 Formulários
 CRM
 Pastas de Arquivo (Cloud, Desktop)
 Dispositivos amovíveis
 Agendas de trabalho
 Telemóveis

13
NOVOS ATORES PROTEÇÃO DE DADOS

14
 1. O QUE É O PROCESSAMENTO DE DADOS PESSOAIS?
Será que eu trato
Dados Pessoais?

Tratamento = recolha, registo, organização,
estruturação, conservação, adaptação ou
alteração, recuperação, consulta, utilização,
divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização,
etc.
Dados pessoais
Dados pessoais = informação relativa a
uma pessoa singular identificada ou
identificável («titular dos dados») (nome,
n.º de identificação, dados de localização,
etc.). Esta pessoa singular é o titular dos
dados. Dados
sensíveis / art.9

Eu processo dados pessoais,

e por isso devo cumprir
com a legislação de privacidade

Eu sou o Responsável pelo

Eu sou subcontratado:
tratamento:
Eu trabalho em nome do
eu digo como e porquê os
Responsável pelo tratamento.
dados pessoais são tratados.

15
Qual será o maior impacto do RGPD na
minha organização?

16
10 DIMENSÕES DE IMPACTO DO RGPD?

17
 GESTÃO DA MUDANÇA EFICIENTE?

IMPACTO ADMINISTRATIVO E FINANCEIRO DO PROCESSO DE

IMPLEMENTAÇÃO DO RGPD E SISTEMA DE GESTÃO PARA
CONTROLO DOS CUSTOS COM O PROCESSO DE MUDANÇA!!!

$$$$$$$$$$
1º Impacto operacional e gestão de risco?

2º Gestão e planeamento??

3º Relações de subcontratação???

18
 SANÇÕES CONTRAORDENACIONAIS / COIMAS?
Sanção normal?
 Coimas até 10 milhões de euros ou,
no caso de uma empresa, até 2%
do seu volume de negócios anual a
nível mundial correspondente ao
exercício financeiro anterior,
consoante o montante que for mais
elevado;
 Exemplos de violações / casos.
Sanção grave?
 Coimas até 20 milhões de euros ou,
no caso de uma empresa, até 4%
do seu volume de negócios anual a
nível mundial correspondente ao
exercício financeiro anterior,
consoante o montante que for mais
elevado;
 Exemplos de violações / casos.
19
 PORQUE É IMPORTANTE CUMPRIR COMO RGPD?

 Porque não se cinge a questões legais e IT. É transversal na

organização e implica implementar um sistema de gestão de risco,
um sistema de gestão de segurança da informação e a adoção de
comportamentos novos
 Porque há muito trabalho a fazer para cumprir com o RGPD, num
período de tempo que se vai reduzindo
 Porque cabe às Organizações provarem que cumprem com o
regulamento.

20
 EXIGÊNCIAS DE CONFORMIDADE DO RGPD?

Princípios
Jurídicos

 Quadro de exigências de
conformidade normativa do Obrigações Pontos Fundamento
Operacionais Cardeais s de
RGPD na minha Autónomas do RGPD Legitimidade
organização:

Direitos
dos
Titulares

21
PONTOS CARDEAIS DO RGPD

22
 8 PRINCÍPIO FUNDAMENTAIS

 Livre circulação [arts. 1.º-1, 1.º-3]

 Licitude, lealdade e transparência [art. 5.º-1-a]
 Limitação das finalidades [art. 5.º-1-b]
 Minimização dos dados [art. 5.º-1-c]
 Exactidão [art. 5.º-1-d]
 Limitação da conservação [art. 5.º-1-e]
 Integridade e confidencialidade [art. 5.º-1-f]
 Responsabilidade demonstrada [art. 5.º-2]

23
 6 FUNDAMENTOS DE LEGITIMIDADE

 Fundamentos de legitimidade:

 Consentimento [art. 6.º-1-a]

 Relação contratual [art. 6.º-1-b]
 Obrigação jurídica [art. 6.º-1-c]
 Interesses vitais [art. 6.º-1-d]
 Interesse público [art. 6.º-1-e]
 Interesses legítimos [art. 6.º-1-f]

 Importância fundamental do Consentimento nas operações de

tratamento de dados pessoais!
 Duas dimensões:
- passado e
- futuro

24
DIREITOS DO TITULAR DOS DADOS

25
OBRIGAÇÕES DO RESPONSÁVEL E
SUBCONTRATANTE

26
PROCEDIMENTOS DE
FISCALIZAÇÃO E GARANTIAS DE
CUMPRIMENTO
27
 GARANTIAS DE CUMPRIMENTO?

SANÇÕES

Problema?

Consciencialização dos
FISCALIZAÇÃO
direitos dos titulares e das
obrigações dos
responsáveis…
JUSTIÇA

28
SANÇÕES E
RESPONSABILIDADE PELA
VIOLAÇÃO DO REGULAMENTO
29
RESPONSABILIDADE E SANÇÕES?

30
NOVO MODELO DE ILICITUDE?

Social

Disciplinar

Civil

Contraordenacional

Criminal

31
 ESPECTRO DE RESPONSABILIDADE PELOS
DADOS?

Responsabilidade pessoal? Exemplos Práticos?

 Responsabilidade Criminal  Caso – Crime

 Responsabilidade Contraordenacional  Caso – Contraordenação
 Responsabilidade Civil  Caso – Indemnização
 Responsabilidade Disciplinar  Caso – Despedimento
 Responsabilidade Social  Casos Limite – Ética

32
PLANO DE AÇÃO PARA A
PROTEÇÃO DE DADOS – MEDIDAS
TÉCNICAS E OPERACIONAIS
33
 O Regulamento 2016/679 do Parlamento Europeu e do
Conselho da União Europeia, de 27 de Abril de 2016, cria novas
obrigações para as empresas privadas, exigindo

 a implementação de novos procedimentos técnicos de tratamento

dos dados pessoais e
 a adoção de novos sistemas de gestão operacional da proteção de
dados.

34
 Uma vez que o Regulamento é diretamente aplicável no
ordenamento jurídico português, é necessário compreender a
complexidade dos diferentes procedimentos e sistemas de gestão e
estruturar um plano de ação para a respetiva implementação técnica
e operacional, que garantam a existência de um conjunto de
SISTEMAS

35
SISTEMA DE GESTÃO DO
EXERCÍCIO DOS DIREITOS DOS
TITULARES NO ÂMBITO DA
PROTECÇÃO DE DADOS
36
GESTÃO DO EXERCÍCIO DOS DIREITOS?

37
SISTEMA DE REGISTOS DE
TRATAMENTO DE DADOS
PESSOAIS
38
SISTEMA DE REGISTOS?

39
SISTEMA DE SEGURANÇA DA
INFORMAÇÃO

40
SISTEMA DE SEGURANÇA?

41
CATÁLOGO DE MEDIDAS DE SI GERAIS?

Cfr. Art. 32º - RGPD

42
CATÁLOGO DE MEDIDAS DE SI ESPECÍFICAS?

Cfr. Art. 29.º - Directiva 2016/680, de

27/04/2016

43
SISTEMA DE NOTIFICAÇÃO DE
INCIDENTES DE VIOLAÇÃO DE
DADOS PESSOAIS
44
 INCIDENTE DE VIOLAÇÃO DE DADOS?

 «Violação de dados pessoais», uma violação da segurança que

provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração,
a divulgação ou o acesso, não autorizados, a dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo de
tratamento;

45
SISTEMA DE GESTÃO DE INCIDENTES?

46
 PROCEDIMENTO DE NOTIFICAÇÃO?

Notificar Notificar Gestão de

Incidente? Risco? Grau/Risco?
CNPD? Titular? Incidente!

Responsabilidades hierárquicas?
Níveis operacionais de gestão de
incidentes.

47
METODOLOGIA PROPOSTA

48
 PROPOSTA SGS

Cumprimento
Diagnóstico Implementação Gestão
RGPD

49
ABORDAGEM INTEGRADA

Processos IT

Legal

50
SERVIÇO MODULAR

51
 SISTEMA DE GESTÃO PARA GARANTIR
CUMPRIMENTO COM O RGPD

Diagnóstico Implementação Sistematização

• Análise “AS IS”

• Construir plano de Ação para
Diag. Plan cumprimento do RGPD

• Melhoria:
Ações corretivas e Act Do • Implementação do
Formação Cliente (Org) plano

Check • Verificação e avaliação

52
 EQUIPA CONSULTORA
Perfil do recurso Certificação Nível/tipologia da certificação

Auditor de Segurança Interna, Encarregado da Proteção de Dados, Certified Internal Security Auditor, Certified
R1 - Gestor de Projeto
Jurista Data Protection Officer

Auditor de Segurança da Informação ISO 27001, Encarregado da ISO 27001 Lead Auditor, Certified Data
R2 - Consultor
Proteção de Dados, Gestor de Informação Protection Officer

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção ISO 9001 Lead Auditor, Certified Data
R3 - Consultor
de Dados Protection Officer

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção ISO 9001 Lead Auditor, Certified Data
R4 – Consultor
de Dados, Jurista Protection Officer

R5 – Consultor Auditor de Segurança da Informação ISO 27001 ISO 27001 Lead Auditor

Auditor de Segurança da Informação ISO 27001, Investigador no CRACS

R6 - Consultor ISO 27001 Lead Auditor
— Center for Research in Advanced Computing Systems

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção ISO 9001 Lead Auditor, Certified Data
R7 – Consultor
de Dados Protection Officer

R8 – Consultor Encarregado da Proteção de Dados Certified Data Protection Officer

R9 – Consultor Encarregado da Proteção de Dados Certified Data Protection Officer

R10 – Consultor Encarregado da Proteção de Dados Certified Data Protection Officer

53
 Para mais Informações:
www.sgsdata.pt
gdpr.sgs.com

Sérgio Ferreira
sergio.ferreira@sgs.com

54