Você está na página 1de 54

Impactos e Desafios

EM CASO DE EMERGÊNCIA

EM CASO DE EMERGÊNCIA 2

2

O NOVO REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

Sessão de abertura Carla Lima, SGS Nuno Lourinho, SGS

3

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS O QUE É?

O RGPD regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

O novo Regulamento reveste-se de alguma complexidade, com novos princípios e conceitos, novos direitos para os titulares de dados que significam novos deveres para as organizações que com eles lidam, em que são exemplo:

avaliação de impacto;

privacidade na conceção de novos produtos ou serviços com dados e a privacidade por defeito;

notificações das violações de segurança;

Encarregado de Proteção de Dados (DPO).

4

RGPD TIMELINE

RGPD TIMELINE 5

5

RGPD : OBJETIVOS PRÁTICOS

Corrigir os limites da Diretiva 95/46/EC, assegurando a proteção dos Titulares dos Dados contra a utilização das Novas Tecnologias:

Corrida à recolha de dados privados

Proteção insuficiente dos dados pessoais

Relação desigual entre os Responsáveis pelo Tratamento e os titulares dos dados

6

RGPD : OBJETIVOS PRÁTICOS

Harmonizar o quadro jurídico para a proteção de dados pessoais dentro da UE:

Este novo quadro europeu visa facilitar o fluxo de dados na União Europeia, reforçar a confiança dos consumidores e impulsionar a economia digital

7

RGPD : OBJETIVOS PRÁTICOS

Aumentar

as coimas para fortalecer

coercivos das autoridades reguladoras :

os

poderes

Para 10 milhões de € ou 2% do volume de negócios da empresa E 20 milhões de € ou 4% do volume de negócios da empresa, em caso de repetição

8

NOVIDADES NO RGPD?

Âmbito alargado no que diz respeito aos dados pessoais;

Novas obrigações para o “Responsável pelo Tratamento” e “Subcontratado”;

Novos direitos para os titulares dos dados;

“Accountability”.

9

NOVIDADES NO RGPD?

O RGPD é um REGULAMENTO, não uma diretiva! 10
O RGPD é um REGULAMENTO, não uma
diretiva!
10

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS O QUE É?

Mudança de paradigma na proteção de dados pessoais, onde passamos de uma lógica centrada nas organizações que tratam dados pessoais para uma lógica alinhada com a proteção dos titulares dos dados.

Essa mudança percebe-se com a inversão do ónus de prova, que antes do RGPD, estava do lado do titular dos dados e que agora passa a estar do lado das organizações.

De uma forma prática, isto significa que, quem trata dados pessoais, passa a ter a obrigação de provar em que situações é que processou esses dados, para que fim e porquê, quando no passado bastava submeter um pedido de autorização prévia à autoridade competente.

11

O QUE SÃO DADOS PESSOAIS?

Informação relativa a uma pessoa singular identificada ou identificável.

Inclui dados genéticos e dados biométricos.

Conceito de identificável inclui o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Tratamento, inclui não só a recolha, mas também todo o “manuseamento”.

12

ONDE PODERÃO ESTAR LOCALIZADOS OS DADOS PESSOAIS?

Suporte

 

Digital

Papel

Formulários

CRM

Pastas de Arquivo (Cloud, Desktop)

Dispositivos amovíveis

Agendas de trabalho

Telemóveis

 

13

NOVOS ATORES PROTEÇÃO DE DADOS

14
14

1. O QUE É O PROCESSAMENTO DE DADOS PESSOAIS?

Será que eu trato Dados Pessoais? Dados pessoais Tratamento = recolha, registo, organização, estruturação,
Será que eu trato
Dados Pessoais?
Dados pessoais
Tratamento = recolha, registo, organização,
estruturação, conservação, adaptação ou
alteração, recuperação, consulta, utilização,
divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização,
etc.
Dados pessoais = informação relativa a
uma pessoa singular identificada ou
identificável («titular dos dados») (nome,
n.º de identificação, dados de localização,
etc.). Esta pessoa singular é o titular dos
dados.
Dados
sensíveis / art.9
Eu processo dados pessoais,
e por isso devo cumprir
com a legislação de privacidade
Eu sou o Responsável pelo
tratamento:
Eu sou subcontratado:
eu digo como e porquê os
dados pessoais são tratados.
Eu trabalho em nome do
Responsável pelo tratamento.
15

Qual será o maior impacto do RGPD na minha organização?

Qual será o maior impacto do RGPD na minha organização ? 16

16

10 DIMENSÕES DE IMPACTO DO RGPD?

17
17

GESTÃO DA MUDANÇA EFICIENTE?

IMPACTO ADMINISTRATIVO E FINANCEIRO DO PROCESSO DE IMPLEMENTAÇÃO DO RGPD E SISTEMA DE GESTÃO PARA CONTROLO DOS CUSTOS COM O PROCESSO DE MUDANÇA!!!

$$$$$$$$$$

1º Impacto operacional e gestão de risco?

2º Gestão e planeamento??

3º Relações de subcontratação???

18

SANÇÕES CONTRAORDENACIONAIS / COIMAS?

SANÇÕES CONTRAORDENACIONAIS / COIMAS? Sanção normal? S a n ç ã o g r a v

Sanção normal?

Sanção grave?

Coimas até 10 milhões de euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado;

Exemplos de violações / casos.

Coimas até 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado;

Exemplos de violações / casos.

19

PORQUE É IMPORTANTE CUMPRIR COMO RGPD?

Porque não se cinge a questões legais e IT. É transversal na organização e implica implementar um sistema de gestão de risco, um sistema de gestão de segurança da informação e a adoção de comportamentos novos

Porque há muito trabalho a fazer para cumprir com o RGPD, num período de tempo que se vai reduzindo

Organizações provarem que cumprem com o

Porque

cabe

às

regulamento.

20

EXIGÊNCIAS DE CONFORMIDADE DO RGPD?

Princípios Jurídicos  Quadro de exigências de conformidade normativa do Obrigações Pontos Fundamento
Princípios
Jurídicos
 Quadro
de
exigências
de
conformidade normativa do
Obrigações
Pontos
Fundamento
Operacionais
Cardeais
s de
RGPD
na
minha
Autónomas
Legitimidade
do RGPD
organização:
Direitos
dos
Titulares
21

PONTOS CARDEAIS DO RGPD

22
22

8 PRINCÍPIO FUNDAMENTAIS

Livre circulação [arts. 1.º-1, 1.º-3]

Licitude, lealdade e transparência [art. 5.º-1-a]

Limitação das finalidades [art. 5.º-1-b]

Minimização dos dados [art. 5.º-1-c]

Exactidão [art. 5.º-1-d]

Limitação da conservação [art. 5.º-1-e]

Integridade e confidencialidade [art. 5.º-1-f]

Responsabilidade demonstrada [art. 5.º-2]

23

6 FUNDAMENTOS DE LEGITIMIDADE

Fundamentos de legitimidade:

Consentimento [art. 6.º-1-a]

Relação contratual [art. 6.º-1-b]

Obrigação jurídica [art. 6.º-1-c]

Interesses vitais [art. 6.º-1-d]

Interesse público [art. 6.º-1-e]

Interesses legítimos [art. 6.º-1-f]

Importância fundamental do Consentimento nas operações de tratamento de dados pessoais!

Duas dimensões:

- passado e - futuro

24

DIREITOS DO TITULAR DOS DADOS

25
25

25

OBRIGAÇÕES DO RESPONSÁVEL E SUBCONTRATANTE

26
26

26

PROCEDIMENTOS DE FISCALIZAÇÃO E GARANTIAS DE CUMPRIMENTO

PROCEDIMENTOS DE FISCALIZAÇÃO E GARANTIAS DE CUMPRIMENTO 27

27

GARANTIAS DE CUMPRIMENTO?

SANÇÕES Problema? FISCALIZAÇÃO Consciencialização dos direitos dos titulares e das obrigações dos
SANÇÕES
Problema?
FISCALIZAÇÃO
Consciencialização dos
direitos dos titulares e das
obrigações dos
responsáveis…
JUSTIÇA
28

SANÇÕES E RESPONSABILIDADE PELA VIOLAÇÃO DO REGULAMENTO

SANÇÕES E RESPONSABILIDADE PELA VIOLAÇÃO DO REGULAMENTO 29

29

RESPONSABILIDADE E SANÇÕES?

30
30

30

NOVO MODELO DE ILICITUDE?

Social Disciplinar Civil Contraordenacional Criminal
Social
Disciplinar
Civil
Contraordenacional
Criminal
NOVO MODELO DE ILICITUDE? Social Disciplinar Civil Contraordenacional Criminal 31

31

ESPECTRO DE RESPONSABILIDADE PELOS DADOS?

Responsabilidade pessoal?

Exemplos Práticos?

 

Responsabilidade Criminal

Caso – Crime

Responsabilidade Contraordenacional

Caso – Contraordenação

Responsabilidade Civil

Caso – Indemnização

Responsabilidade Disciplinar

Caso – Despedimento

Responsabilidade Social

Casos Limite – Ética

 

32

PLANO DE AÇÃO PARA A PROTEÇÃO DE DADOS – MEDIDAS TÉCNICAS E OPERACIONAIS

PLANO DE AÇÃO PARA A PROTEÇÃO DE DADOS – MEDIDAS TÉCNICAS E OPERACIONAIS 33

33

O Regulamento 2016/679 do Parlamento Europeu e do Conselho da União Europeia, de 27 de Abril de 2016, cria novas obrigações para as empresas privadas, exigindo

a implementação de novos procedimentos técnicos de tratamento dos dados pessoais e

a adoção de novos sistemas de gestão operacional da proteção de dados.

34

Uma vez que o Regulamento é diretamente aplicável no ordenamento jurídico português, é necessário compreender a complexidade dos diferentes procedimentos e sistemas de gestão e estruturar um plano de ação para a respetiva implementação técnica e operacional, que garantam a existência de um conjunto de SISTEMAS

35

SISTEMA DE GESTÃO DO EXERCÍCIO DOS DIREITOS DOS TITULARES NO ÂMBITO DA PROTECÇÃO DE DADOS

SISTEMA DE GESTÃO DO EXERCÍCIO DOS DIREITOS DOS TITULARES NO ÂMBITO DA PROTECÇÃO DE DADOS 36

36

GESTÃO DO EXERCÍCIO DOS DIREITOS?

GESTÃO DO EXERCÍCIO DOS DIREITOS? 37

37

SISTEMA DE REGISTOS DE TRATAMENTO DE DADOS PESSOAIS

SISTEMA DE REGISTOS DE TRATAMENTO DE DADOS PESSOAIS 38

38

SISTEMA DE REGISTOS?

39
39

39

SISTEMA DE SEGURANÇA DA INFORMAÇÃO

SISTEMA DE SEGURANÇA DA INFORMAÇÃO 40

40

SISTEMA DE SEGURANÇA?

41
41

41

CATÁLOGO DE MEDIDAS DE SI GERAIS?

Cfr. Art. 32º - RGPD 42
Cfr. Art. 32º - RGPD
42

CATÁLOGO DE MEDIDAS DE SI ESPECÍFICAS?

Cfr. Art. 29.º - Directiva 2016/680, de 27/04/2016 43
Cfr. Art. 29.º - Directiva 2016/680, de
27/04/2016
43

SISTEMA DE NOTIFICAÇÃO DE INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS

SISTEMA DE NOTIFICAÇÃO DE INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS 44

44

INCIDENTE DE VIOLAÇÃO DE DADOS?

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de

45

SISTEMA DE GESTÃO DE INCIDENTES?

SISTEMA DE GESTÃO DE INCIDENTES? 46

46

PROCEDIMENTO DE NOTIFICAÇÃO?

Notificar Notificar Incidente? Risco? Grau/Risco? CNPD? Titular? Gestão de Incidente! Responsabilidades
Notificar
Notificar
Incidente?
Risco?
Grau/Risco?
CNPD?
Titular?
Gestão de
Incidente!
Responsabilidades hierárquicas?
Níveis operacionais de gestão de
incidentes.
47

METODOLOGIA PROPOSTA

METODOLOGIA PROPOSTA 48

48

PROPOSTA SGS

Diagnóstico
Diagnóstico
Implementação Gestão
Implementação
Gestão
Cumprimento RGPD
Cumprimento
RGPD

49

ABORDAGEM INTEGRADA

Processos IT Legal 50
Processos
IT
Legal
50

SERVIÇO MODULAR

51
51

51

SISTEMA DE GESTÃO PARA GARANTIR CUMPRIMENTO COM O RGPD

Diagnóstico Implementação Sistematização
Diagnóstico
Implementação
Sistematização

Análise “AS IS”

Diag.

Melhoria:

Ações corretivas e Formação

“AS IS” Diag. Melhoria: Ações corretivas e Formação Act Plan Cliente (Org) Check • Construir plano

Act

IS” Diag. Melhoria: Ações corretivas e Formação Act Plan Cliente (Org) Check • Construir plano de

Plan

Diag. Melhoria: Ações corretivas e Formação Act Plan Cliente (Org) Check • Construir plano de Ação

Cliente (Org)

Check

Construir plano de Ação para cumprimento do RGPD

• Construir plano de Ação para cumprimento do RGPD Do • Implementação do plano • Verificação

Do

• Construir plano de Ação para cumprimento do RGPD Do • Implementação do plano • Verificação

Implementação do plano

Verificação e avaliação

52

EQUIPA CONSULTORA

Perfil do recurso

Certificação

Nível/tipologia da certificação

R1 - Gestor de Projeto

Auditor de Segurança Interna, Encarregado da Proteção de Dados, Jurista

Certified Internal Security Auditor, Certified Data Protection Officer

 

R2 - Consultor

Auditor de Segurança da Informação ISO 27001, Encarregado da Proteção de Dados, Gestor de Informação

ISO 27001 Lead Auditor, Certified Data Protection Officer

R3 - Consultor

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção de Dados

ISO 9001 Lead Auditor, Certified Data Protection Officer

R4 – Consultor

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção de Dados, Jurista

ISO 9001 Lead Auditor, Certified Data Protection Officer

R5 – Consultor

Auditor de Segurança da Informação ISO 27001

ISO 27001 Lead Auditor

R6 - Consultor

Auditor de Segurança da Informação ISO 27001, Investigador no CRACS — Center for Research in Advanced Computing Systems

ISO 27001 Lead Auditor

R7 – Consultor

Auditor de Sistemas de Gestão da Qualidade, Encarregado da Proteção de Dados

ISO 9001 Lead Auditor, Certified Data Protection Officer

R8 – Consultor

Encarregado da Proteção de Dados

Certified Data Protection Officer

R9 – Consultor

Encarregado da Proteção de Dados

Certified Data Protection Officer

R10 – Consultor

Encarregado da Proteção de Dados

Certified Data Protection Officer

 

53

Para mais Informações:

gdpr.sgs.com

Sérgio Ferreira sergio.ferreira@sgs.com

54