[EBOOK]

PASSO-A-PASSO:
O REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
SIMPLIFICADO
CONTEÚDO

11 Mas afinal, o que muda com o RGPD?

3 Introdução 12 Novas regras
4 O gatilho para o RGPD chama-se tecnologia 13 Novos direitos para os cidadãos
5 As novas Diretivas 15 Multas pesadas
6 Informação circula sem fronteiras na rede 16 O que as empresas devem fazer para evitar penalizações?
7 Desafios da livre circulação da informação 19 Conclusão
8 Estarão as empresas portuguesas preparadas 20 Check-list: 13 passos para implementar o RGPD com sucesso
para agir e proteger os seus dados?
21 Sobre a CompuWorks
INTRODUÇÃO
O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS.
AFINAL, DO QUE FALAMOS?

O novo quadro legal para a proteção de dados demorou cerca de quatro anos a ser “afinado” e
deverá ser obrigatoriamente respeitado pelas empresas a partir de 25 de maio de 2018.

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é

um direito fundamental. O artigo 8º, nº 1, da Carta dos Direitos Fundamentais da União
Europeia e o artigo 16º, nº 1, do Tratado sobre o Funcionamento da União Europeia (TFUE)
estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que
lhes digam respeito.

A nova regulação, que é, segundo os especialistas, a maior alteração na regulamentação

europeia do tratamento de dados pessoais nos últimos 20 anos, obriga a que as empresas
revejam a forma como tratam os dados pessoais que têm na sua posse, devendo conhecer as
novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar
as medidas necessárias durante o período de transição de dois anos para assegurar que tudo
está pronto atempadamente.

3
O GATILHO PARA O RGPD
CHAMA-SE TECNOLOGIA
A evolução tecnológica conduzida pela Internet, aliada à globalização proporcionada pelos circuitos sociais de
informação, ultrapassa muitos dos limites de segurança contemplados na regulamentação europeia (Diretiva 95/46/
CE) do tratamento de dados pessoais datada de 1995, aplicada ainda hoje.

As empresas têm por isso pela frente um sem número de desafios multidisciplinares, não só de gestão, TI e de
conformidade legal, que deverão ultrapassar durante o período de transição iniciado em maio de 2016 e que termina
em maio do próximo ano.

Há que preparar os processos de gestão de informação para o novo Regulamento (EU) 2016/679 do Parlamento
Europeu e do Conselho de 27 de abril de 2016, que é conhecido como o Regulamento Geral de Proteção de Dados
(RGPD). O novo quadro legal que demorou cerca de quatro anos a ser “afinado” deverá ser obrigatoriamente
respeitado pelas empresas a partir de 25 de maio de 2018.

4
AS NOVAS DIRETIVAS
O Regulamento (UE) 2016/679 do Parlamento e do Conselho, relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados irá revogar a Diretiva 95/46/CE - Regulamento Geral sobre a Proteção de Dados.

COM O NOVO REGULAMENTO SÃO PROMULGADAS DUAS NOVAS DIRETIVAS NESTA

MATÉRIA:

- Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho – está orientada para a

proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de
infrações penais ou execução de sanções penais, e à livre circulação desses dados;

- Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho – que regulará a utilização

dos dados dos registos de identificação dos passageiros [PNR] para efeitos de prevenção,
deteção, investigação e repressão das infrações terroristas e da criminalidade grave.

A entrada em vigor do RGPD forçará os Estados Membros a um importante esforço de

adaptação das instituições e da legislação interna para cumprir as exigências do Regulamento
que é de aplicação direta nas organizações nacionais.

5
INFORMAÇÃO CIRCULA
SEM FRONTEIRAS
NA REDE
O armazenamento na cloud, os milhões de apps e de conteúdos disponíveis para consumo na internet abriram um
novo capítulo na recolha de dados. Ao mesmo tempo aumentaram a exposição desses mesmos dados, resultando num
aumento significativo dos fluxos transfronteiriços de dados pessoais.

Neste momento, em que a informação é tida como um dos ativos mais importantes nas organizações, a forma como os
dados são guardados nos sistemas de informação e a sua segurança devem ser prioridades para as empresas. Saber
identificá-los e localizá-los dentro dos seus sistemas e redes é essencial numa estratégia de segurança de informação.

Os gestores devem também passar a estar atentos a todo o tipo de dados sensíveis que são carregados, armazenados
ou partilhados nas clouds. Estes dados são uma espécie de dados sombra (shadow data), que nem sempre está
contemplada nas políticas de segurança de informação das empresas, mas que tem de passar a estar prevista.

6
DESAFIOS DA LIVRE
CIRCULAÇÃO DA INFORMAÇÃO
O contexto de disponibilidade de informação e os ambientes colaborativos são um aliciante desafio para as legiões de cibercriminosos que
passeiam pelas redes à procura de uma organização distraída, ou menos prudente em matéria de segurança, que lhe permita gerar fluxos de
lucro fácil.

Na Europa, um ataque cibernético demora cerca de 15 meses a ser detetado, quando a média global é de quatro meses. Esta é uma das
conclusões do último Cyber Report, levado a cabo pela Marsh, em parceria com a FireEye. Isto significa que uma organização pode ter sido
alvo de um ataque em 2015 e ainda hoje não ter conhecimento do mesmo.

A implementação do novo Regulamento Geral sobre a Proteção de Dados impõe que as empresas notifiquem uma violação de dados pessoais
à Autoridade de Supervisão e, quando a ameaça de danos for substancial, também aos indivíduos afetados.

Neste contexto, as organizações não podem perder tempo. As ameaças existem, os riscos são cada vez maiores e as mudanças legais colocam
as estratégias de segurança numa rota de sentido único da qual não podem desviar-se, sob pena de serem severamente punidas. É preciso criar
mecanismos de controlo e auditoria que estejam sempre alerta.

7
ESTARÃO AS EMPRESAS
PORTUGUESAS PREPARADAS
PARA AGIR E PROTEGER
OS SEUS DADOS?
Ainda existe um longo caminho a percorrer, um pouco por toda a Europa, no que diz respeito a esta preparação das
empresas para o RGPD. Portugal não é exceção. Um estudo divulgado recentemente pela KPMG Portugal revela que as
organizações nacionais não estão preparadas para as novas regras europeias de proteção de dados, um cenário que é
preocupante, dadas as coimas pesadas que estão previstas no Regulamento.

85% dos inquiridos neste estudo admitiu ainda não ter procedido a qualquer passo para a implementação das medidas enunciadas
no RGPD. Cerca de 65% das instituições afirmou ter um “grau de consciência médio ou alto” sobre as obrigações constantes
no RGPD, apesar da falta de ação, e 43% já nomearam um órgão responsável pela conformidade com as obrigações legais de
proteção de dados pessoais.

8
Num outro inquérito realizado pelo IAPMEI, a APDSI e a APG, a
20.000 inquiridos, com uma taxa de resposta de 9%, apenas uma
minoria (5,43%) assume conhecer as orientações e obrigações do
RGPD, de forma detalhada, o que pressupõe a necessidade de maior
um esclarecimento público.

A maioria dos participantes neste inquérito (52,7%) afirma ter

conhecimento sobre o Regulamento, sem conhecer os detalhes,
enquanto que cerca de 42% das respostas confirmam desconhecer
substancialmente o RGPD ou do estado de alerta da sua organização
para o mesmo.

Das organizações auscultadas pela KPMG, 32% afirmaram ter

cláusulas de proteção de dados incluídas em todos os contratos
com as entidades terceiras, que fazem o tratamento de dados
pessoais. Por outro lado, menos de metade (43%) implementaram
procedimentos de resposta a incidentes com dados.

O setor público, o dos serviços e o segurador são os que estão mais

atrasados no processo. Como seria de esperar, é na saúde e no
retalho que se encontram as iniciativas mais avançadas, precisamente
porque as empresas destes segmentos lidam com grandes volumes de
dados pessoais e acedem a dados particularmente sensíveis.

9
Mas não basta apenas haver consciência sobre a importância da
aplicação do RGPD. É imperativo que as organizações materializem
esta consciência em ações concretas que conduzam à conformidade
com o Regulamento, para evitarem assim pesadas multas, mas
também para obterem os benefícios inerentes ao reforço das relações
de confiança com os seus clientes.

No inquérito realizado pelo IAPMEI, a APDSI e a APG, cerca de

33% dos participantes no inquérito consideraram que as suas
organizações estão bem preparadas para o que aí vem, mas a maioria
(57%) reconhece ter dúvidas, com apenas 10% dos inquiridos a
assumir não estarem adequadamente preparados em termos de
segurança de informação.

O certo é que se fosse hoje o dia “D”, apenas 23% dos inquiridos
asseguraram que a sua organização não sofreria qualquer
penalização financeira. No entanto, 74% dos participantes
admitiram não saber ou consideram possível ser-lhes imputada
alguma penalização. Apenas 3% das organizações admitiram estar
certas de que não escapariam às coimas.

10
MAS AFINAL, O QUE
MUDA COM O RGPD?
O Regulamento irá substituir a Lei 67/98 e trará mais direitos para os titulares dos dados, obrigando as empresas a
novas medidas de proteção. O Regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das
atividades da empresa.

Entende-se por dados pessoais a informação relativa a uma pessoa singular identificada ou identificável (titular dos
dados). É considerada identificável uma pessoa singular que possa ser identificada por um nome, um número de
identificação, dados de localização, identificadores eletrónicos ou um ou mais elementos específicos da identidade
física, fisiológica, genética, mental, económica, cultural ou social.

Quanto ao tratamento, estão contempladas no RGPD as operações efetuadas sobre dados pessoais, por meios
automatizados ou não automatizados. Exemplo dessas operações são a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição dos dados.

11
NOVAS REGRAS
O novo Regulamento estabelece um conjunto de novas regras aplicáveis a todas as
organizações, de entre as quais se destacam:

• Consentimento transparente para recolha e tratamento de dados pessoais

• Criação do cargo Data Protection Officer

• Especial atenção a subcontratantes

• Notificação do regulador em caso de violação de dados pessoais

• Cumprimento o direito ao esquecimento

• Atenção à portabilidade dos dados

• Prevenir coimas

12
NOVOS DIREITOS
PARA OS CIDADÃOS
Os direitos dos titulares de dados pessoais foram alargados com a nova lei, passando a existir
o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos
quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação,
apagamento ou limitação de tratamento solicitados pelos titulares.

A organização deve estar preparada para verificar a forma e circunstâncias em que foi obtido
o consentimento dos titulares, quando este serve de base legal para o tratamento de dados
pessoais. O regulamento alarga o conceito de consentimento e introduz novas condições para
a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo
tratamento respeita todas as novas exigências. Se assim não for, é imprescindível obter novo
consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob
pena de o tratamento de dados se tornar ilícito por falta de base legal. Deve ser dada particular
atenção ao consentimento dos menores ou dos seus representantes legais, considerando as
exigências específicas do regulamento para este efeito.

13
O direito de portabilidade dos dados dá ao titular dos dados o direito de receber os dados
pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento,
num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir
esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados
pessoais foram fornecidos o possa impedir. Os responsáveis pelo tratamento de dados
deverão desenvolver formatos interoperáveis que permitam a portabilidade dos dados entre
sistemas. Quando um cliente requer a portabilidade dos seus dados a empresa tem 30 dias
para o fazer.

Os titulares dos dados deverão ter direito a que os dados que lhes digam respeito sejam
retificados e o direito a serem esquecidos, quando a conservação desses dados violar o
RGPD ou o direito da União Europeia ou dos Estados-Membros aplicável ao responsável
pelo tratamento. Os titulares de dados deverão ter direito a que os seus dados pessoais
sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a
finalidade para a qual foram recolhidos ou tratados.

A organização ou o responsável pelo tratamento dos dados deverá informar, sem demora
injustificada, o titular dos dados no caso de violação de dados pessoais, quando esta
acontecer e for provável que desta resulte um elevado risco para os direitos e liberdades
da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação
deverá descrever a natureza da violação de dados pessoais e dirigir recomendações à pessoa
singular em causa para atenuar potenciais efeitos adversos.

14
MULTAS PESADAS
O Regulamento prevê uma maior responsabilização das empresas quanto ao tratamento
de dados por si efetuado. Em certas circunstâncias impõe a contratação ou nomeação de
responsáveis de proteção de dados (Data Privacy Officers).

Na prática, as empresas vão ter que proteger toda a informação que possuem sobre os seus
clientes, fornecedores e colaboradores, assegurando assim a integridade e privacidade dessa
informação.

A lei é clara, caso não cumpram com o que está estabelecido no RGPD, as empresas arriscam-
se a enfrentar um regime de coimas muito exigente, com multas que, no caso de violações
de menor gravidade, poderão atingir os 10 milhões de euros ou 2% do volume mundial de
negócios da empresa. Nos casos mais graves podem ascender a 20 milhões de euros ou 4% do
volume de negócios mundial.

15
O QUE AS EMPRESAS
DEVEM FAZER PARA EVITAR
PENALIZAÇÕES?
Conhecido o contexto legal em profundidade, as organizações que ainda não tomaram medidas para gerir melhor a
privacidade dos seus dados devem colocar este tema na sua agenda, criando uma cultura de “alerta”.

Criar um programa interno de comunicação mobilizador, que informe os colaboradores sobre a privacidade, as
alterações ao RGPD e os riscos de incumprimento poderá ser uma decisão valiosa.

O envolvimento transversal da organização, no cumprimento dos vários requisitos é crítica, sendo importante
identificar os interlocutores e uma equipa multidisciplinar para liderar a mudança. O adequado envolvimento dos
vários quadros de gestão das organizações na definição de um plano de ação estratégico é um fator crítico de sucesso.

A figura do Data Protection Officer, que se apresenta como necessária aos “olhos” da lei, deverá assumir as questões
de conformidade de proteção de dados, reportando à gestão da organização o trabalho desenvolvido e as ocorrências
que, entretanto, deflagrarem.

16
No plano de ação deve constar depois a identificação, avaliação
e categorização de todos os dados pessoais que as organizações
têm armazenados, incluindo não só os presentes em sistemas
operacionais, mas também os que estão em sistemas de backup e
arquivo, e não menos importante, os que ainda estão em suporte
físico (papel). Os ativos informáticos não documentados e o shadow
IT devem estar debaixo de olho, para que não entrem ou saiam dados
da organização sem conhecimento ou consentimento superior.

Numa segunda fase, devem ser criados/adaptados processos e

políticas para a proteção e tratamento desses mesmos dados,
identificando os riscos inerentes e implementando os necessários
controlos e consentimentos. A implementação de uma cultura de
Privacy by Design tornará também mais fácil monitorizar e reportar
os eventos relacionados com os acessos a dados pessoais.

Da mesma forma, a Comissão Nacional de Proteção de Dados (CNPD)

recomenda que os contratos celebrados com empresas que recolham
ou assegurem a gestão de dados sejam revistos, de forma a incluir
um vasto conjunto de informações obrigatórias ao abrigo do RGPD.
No caso da compra uma base de dados ou do outsourcing deverá
assegurar-se que a entidade subcontratada também cumpre o RGPD.

17
Deste modo, as organizações ficam em condições de comunicar com o regulador, e
demonstrar o cumprimento das normas impostas, protegendo os seus clientes e o seu
negócio. A notificação à CNPD e aos titulares dos dados, caso se justifique, deve estar
sempre presente nas obrigações das empresas. Ainda assim, nem todas as violações devem
ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar
num risco para os direitos dos titulares. Mas todas as violações devem ser devidamente
documentadas conforme definido no regulamento.

Resumidamente, para que os planos de segurança funcionem, as empresas deverão:

• ter políticas bem definidas de acesso aos dados

• identificar onde estão e quais os atributos dos dados

• ter uma política de governação de dados, com conhecimento transversal da sua tipologia

• ter ativos sistemas de proteção tecnologicamente atualizados

• realizar auditorias internas de avaliação periódicas

18
CONCLUSÃO
As novas tecnologias permitem às empresas privadas e às entidades
públicas uma dinamização do negócio e dos relacionamentos sem
precedentes, mas também abre um novo contexto na exposição e na
utilização de dados pessoais. Cada vez há mais informações pessoais
nos circuitos públicos de informação e é preciso agir para tornar
estes circuitos mais seguros e, desta forma não arriscar perder a
confiança das pessoas nas instituições e empresas, ou ser penalizado
por elevadas multas.
O RGPD vem dar um novo alento à proteção dos dados pessoais, que
integram um dos direitos fundamentais das pessoas, permitindo-lhes
controlar melhor os seus dados na atual era digital, trazendo mais
responsabilização, transparência e rigor.
As empresas têm que acelerar a implementação das medidas
necessárias para a adoção do novo RGPD. É preciso agir, até porque
a privacidade é algo muito apreciado pelos clientes e parceiros e
tende a tornar-se uma vantagem competitiva nos negócios.
Para estar à altura dos desafios da revolução tecnológica e do
mercado concorrencial as empresas não devem negligenciar a
confiança dos vários stakeholders do negócio, garantindo que os
seus dados estão em boas mãos e protegidos.
Os especialistas falam da necessidade de haver uma mudança
cultural e formação específica que favoreça o desenvolvimento
da conformidade com o RGPD. A constituição de uma equipa que
assegure a o processo de evolução legal poderá envolver recursos
internos e externos à organização.
A CompuWorks é uma das empresas que está comprometida com
esta evolução legal e posiciona-se como um parceiro de excelência
para ajudar as organizações a enfrentarem e a superarem, com
sucesso, todos os desafios colocados pelo Regulamento Geral de
Proteção de Dados, acautelando a conformidade legal de cada
processo.
19
 Tarefa Cumprida

01 Definição de plano de implementação do RGPD


CHECK-LIST:
Gestão de Topo deve envolver as outras áreas de negócio e definir plano.

02 Envolvimento de toda a organização


13 PASSOS PARA
Divulgação e consciencialização de toda a organização para este tema.

03 Nomeação de um Data Protection Officer


IMPLEMENTAR O
Este profissional será responsável pela conformidade na proteção de dados.

04 Metodologia Privacy By Design


RGPD COM
Implementação da metodologia no desenvolvimento de soluções.

05 Encriptação e Pseudonização dos Dados


SUCESSO
Reveja os procedimentos de segurança.

06 Realização de Avaliações de Impacto de Proteção de Dados

Adote uma metodologia que agilize as avaliações. 
Implementar o Regulamento Geral de Proteção de
Dados não precisa ser uma dor de cabeça. Elaborámos
07 Segurança da Informação
Implementação de processos que permitam detetar, mitigar, reportar e investigar violação dos dados pessoais. 
uma check-list para que vá acompanhando a evolução 08 Atualização da Política de Privacidade de Dados
Tenha em conta as alterações e as novas obrigações definidas pelo RGPD. 
da implementação do RGPD no seu negócio e cumpra
os requisitos legais. 09 Definição do Tratamento de Dados
Identifique a recolha e processamento dos dados, a sua base jurídica e a documentação da informação. 
10 Catalogação todos os Dados Pessoais
Mantenha uma lista atualizada de todos os Dados Pessoais à guarda da sua empresa. 
11 Identificação do ciclo de vida dos Dados Pessoais
Garanta a segurança da informação da recolha à destruição dos Dados. 
12 Cumprimento dos direitos dos Titulares
Reveja todos os procedimentos para garantir a conformidade. 
13 Validação do cumprimento do RGPD por parte de fornecedores
Garanta que todos os fornecedores envolvidos no processamento de dados cumprem os requisitos do RGPD. 
20
SOBRE A COMPUWORKS
A CompuWorks nasceu em 2002 com o objetivo de ser um parceiro de
negócio das empresas, na área de TI.

A nossa missão diária é a de garantir um serviço de excelência,

disponibilizando as melhores soluções, os recursos mais eficientes e um
acompanhamento permanente em todos os projetos desenvolvidos.

Contribuímos para o crescimento e desenvolvimento das empresas,

de forma rápida, segura e sigilosa, maximizando a eficiência dos seus
sistemas de informação e permitindo-lhes responder aos constantes
desafios do mercado.

Precisa de ajuda com a implementação do RGPD?

Contacte-nos!

21