Escolar Documentos
Profissional Documentos
Cultura Documentos
1496425926ebook Passo-A-Passo O Regulamento Geral de Proteo de Dados Simplificado V1.0
1496425926ebook Passo-A-Passo O Regulamento Geral de Proteo de Dados Simplificado V1.0
PASSO-A-PASSO:
O REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
SIMPLIFICADO
CONTEÚDO
O novo quadro legal para a proteção de dados demorou cerca de quatro anos a ser “afinado” e
deverá ser obrigatoriamente respeitado pelas empresas a partir de 25 de maio de 2018.
3
O GATILHO PARA O RGPD
CHAMA-SE TECNOLOGIA
A evolução tecnológica conduzida pela Internet, aliada à globalização proporcionada pelos circuitos sociais de
informação, ultrapassa muitos dos limites de segurança contemplados na regulamentação europeia (Diretiva 95/46/
CE) do tratamento de dados pessoais datada de 1995, aplicada ainda hoje.
As empresas têm por isso pela frente um sem número de desafios multidisciplinares, não só de gestão, TI e de
conformidade legal, que deverão ultrapassar durante o período de transição iniciado em maio de 2016 e que termina
em maio do próximo ano.
Há que preparar os processos de gestão de informação para o novo Regulamento (EU) 2016/679 do Parlamento
Europeu e do Conselho de 27 de abril de 2016, que é conhecido como o Regulamento Geral de Proteção de Dados
(RGPD). O novo quadro legal que demorou cerca de quatro anos a ser “afinado” deverá ser obrigatoriamente
respeitado pelas empresas a partir de 25 de maio de 2018.
4
AS NOVAS DIRETIVAS
O Regulamento (UE) 2016/679 do Parlamento e do Conselho, relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados irá revogar a Diretiva 95/46/CE - Regulamento Geral sobre a Proteção de Dados.
5
INFORMAÇÃO CIRCULA
SEM FRONTEIRAS
NA REDE
O armazenamento na cloud, os milhões de apps e de conteúdos disponíveis para consumo na internet abriram um
novo capítulo na recolha de dados. Ao mesmo tempo aumentaram a exposição desses mesmos dados, resultando num
aumento significativo dos fluxos transfronteiriços de dados pessoais.
Neste momento, em que a informação é tida como um dos ativos mais importantes nas organizações, a forma como os
dados são guardados nos sistemas de informação e a sua segurança devem ser prioridades para as empresas. Saber
identificá-los e localizá-los dentro dos seus sistemas e redes é essencial numa estratégia de segurança de informação.
Os gestores devem também passar a estar atentos a todo o tipo de dados sensíveis que são carregados, armazenados
ou partilhados nas clouds. Estes dados são uma espécie de dados sombra (shadow data), que nem sempre está
contemplada nas políticas de segurança de informação das empresas, mas que tem de passar a estar prevista.
6
DESAFIOS DA LIVRE
CIRCULAÇÃO DA INFORMAÇÃO
O contexto de disponibilidade de informação e os ambientes colaborativos são um aliciante desafio para as legiões de cibercriminosos que
passeiam pelas redes à procura de uma organização distraída, ou menos prudente em matéria de segurança, que lhe permita gerar fluxos de
lucro fácil.
Na Europa, um ataque cibernético demora cerca de 15 meses a ser detetado, quando a média global é de quatro meses. Esta é uma das
conclusões do último Cyber Report, levado a cabo pela Marsh, em parceria com a FireEye. Isto significa que uma organização pode ter sido
alvo de um ataque em 2015 e ainda hoje não ter conhecimento do mesmo.
A implementação do novo Regulamento Geral sobre a Proteção de Dados impõe que as empresas notifiquem uma violação de dados pessoais
à Autoridade de Supervisão e, quando a ameaça de danos for substancial, também aos indivíduos afetados.
Neste contexto, as organizações não podem perder tempo. As ameaças existem, os riscos são cada vez maiores e as mudanças legais colocam
as estratégias de segurança numa rota de sentido único da qual não podem desviar-se, sob pena de serem severamente punidas. É preciso criar
mecanismos de controlo e auditoria que estejam sempre alerta.
7
ESTARÃO AS EMPRESAS
PORTUGUESAS PREPARADAS
PARA AGIR E PROTEGER
OS SEUS DADOS?
Ainda existe um longo caminho a percorrer, um pouco por toda a Europa, no que diz respeito a esta preparação das
empresas para o RGPD. Portugal não é exceção. Um estudo divulgado recentemente pela KPMG Portugal revela que as
organizações nacionais não estão preparadas para as novas regras europeias de proteção de dados, um cenário que é
preocupante, dadas as coimas pesadas que estão previstas no Regulamento.
85% dos inquiridos neste estudo admitiu ainda não ter procedido a qualquer passo para a implementação das medidas enunciadas
no RGPD. Cerca de 65% das instituições afirmou ter um “grau de consciência médio ou alto” sobre as obrigações constantes
no RGPD, apesar da falta de ação, e 43% já nomearam um órgão responsável pela conformidade com as obrigações legais de
proteção de dados pessoais.
8
Num outro inquérito realizado pelo IAPMEI, a APDSI e a APG, a
20.000 inquiridos, com uma taxa de resposta de 9%, apenas uma
minoria (5,43%) assume conhecer as orientações e obrigações do
RGPD, de forma detalhada, o que pressupõe a necessidade de maior
um esclarecimento público.
9
Mas não basta apenas haver consciência sobre a importância da
aplicação do RGPD. É imperativo que as organizações materializem
esta consciência em ações concretas que conduzam à conformidade
com o Regulamento, para evitarem assim pesadas multas, mas
também para obterem os benefícios inerentes ao reforço das relações
de confiança com os seus clientes.
O certo é que se fosse hoje o dia “D”, apenas 23% dos inquiridos
asseguraram que a sua organização não sofreria qualquer
penalização financeira. No entanto, 74% dos participantes
admitiram não saber ou consideram possível ser-lhes imputada
alguma penalização. Apenas 3% das organizações admitiram estar
certas de que não escapariam às coimas.
10
MAS AFINAL, O QUE
MUDA COM O RGPD?
O Regulamento irá substituir a Lei 67/98 e trará mais direitos para os titulares dos dados, obrigando as empresas a
novas medidas de proteção. O Regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das
atividades da empresa.
Entende-se por dados pessoais a informação relativa a uma pessoa singular identificada ou identificável (titular dos
dados). É considerada identificável uma pessoa singular que possa ser identificada por um nome, um número de
identificação, dados de localização, identificadores eletrónicos ou um ou mais elementos específicos da identidade
física, fisiológica, genética, mental, económica, cultural ou social.
Quanto ao tratamento, estão contempladas no RGPD as operações efetuadas sobre dados pessoais, por meios
automatizados ou não automatizados. Exemplo dessas operações são a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição dos dados.
11
NOVAS REGRAS
O novo Regulamento estabelece um conjunto de novas regras aplicáveis a todas as
organizações, de entre as quais se destacam:
• Prevenir coimas
12
NOVOS DIREITOS
PARA OS CIDADÃOS
Os direitos dos titulares de dados pessoais foram alargados com a nova lei, passando a existir
o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos
quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação,
apagamento ou limitação de tratamento solicitados pelos titulares.
A organização deve estar preparada para verificar a forma e circunstâncias em que foi obtido
o consentimento dos titulares, quando este serve de base legal para o tratamento de dados
pessoais. O regulamento alarga o conceito de consentimento e introduz novas condições para
a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo
tratamento respeita todas as novas exigências. Se assim não for, é imprescindível obter novo
consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob
pena de o tratamento de dados se tornar ilícito por falta de base legal. Deve ser dada particular
atenção ao consentimento dos menores ou dos seus representantes legais, considerando as
exigências específicas do regulamento para este efeito.
13
O direito de portabilidade dos dados dá ao titular dos dados o direito de receber os dados
pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento,
num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir
esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados
pessoais foram fornecidos o possa impedir. Os responsáveis pelo tratamento de dados
deverão desenvolver formatos interoperáveis que permitam a portabilidade dos dados entre
sistemas. Quando um cliente requer a portabilidade dos seus dados a empresa tem 30 dias
para o fazer.
Os titulares dos dados deverão ter direito a que os dados que lhes digam respeito sejam
retificados e o direito a serem esquecidos, quando a conservação desses dados violar o
RGPD ou o direito da União Europeia ou dos Estados-Membros aplicável ao responsável
pelo tratamento. Os titulares de dados deverão ter direito a que os seus dados pessoais
sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a
finalidade para a qual foram recolhidos ou tratados.
A organização ou o responsável pelo tratamento dos dados deverá informar, sem demora
injustificada, o titular dos dados no caso de violação de dados pessoais, quando esta
acontecer e for provável que desta resulte um elevado risco para os direitos e liberdades
da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação
deverá descrever a natureza da violação de dados pessoais e dirigir recomendações à pessoa
singular em causa para atenuar potenciais efeitos adversos.
14
MULTAS PESADAS
O Regulamento prevê uma maior responsabilização das empresas quanto ao tratamento
de dados por si efetuado. Em certas circunstâncias impõe a contratação ou nomeação de
responsáveis de proteção de dados (Data Privacy Officers).
Na prática, as empresas vão ter que proteger toda a informação que possuem sobre os seus
clientes, fornecedores e colaboradores, assegurando assim a integridade e privacidade dessa
informação.
A lei é clara, caso não cumpram com o que está estabelecido no RGPD, as empresas arriscam-
se a enfrentar um regime de coimas muito exigente, com multas que, no caso de violações
de menor gravidade, poderão atingir os 10 milhões de euros ou 2% do volume mundial de
negócios da empresa. Nos casos mais graves podem ascender a 20 milhões de euros ou 4% do
volume de negócios mundial.
15
O QUE AS EMPRESAS
DEVEM FAZER PARA EVITAR
PENALIZAÇÕES?
Conhecido o contexto legal em profundidade, as organizações que ainda não tomaram medidas para gerir melhor a
privacidade dos seus dados devem colocar este tema na sua agenda, criando uma cultura de “alerta”.
Criar um programa interno de comunicação mobilizador, que informe os colaboradores sobre a privacidade, as
alterações ao RGPD e os riscos de incumprimento poderá ser uma decisão valiosa.
O envolvimento transversal da organização, no cumprimento dos vários requisitos é crítica, sendo importante
identificar os interlocutores e uma equipa multidisciplinar para liderar a mudança. O adequado envolvimento dos
vários quadros de gestão das organizações na definição de um plano de ação estratégico é um fator crítico de sucesso.
A figura do Data Protection Officer, que se apresenta como necessária aos “olhos” da lei, deverá assumir as questões
de conformidade de proteção de dados, reportando à gestão da organização o trabalho desenvolvido e as ocorrências
que, entretanto, deflagrarem.
16
No plano de ação deve constar depois a identificação, avaliação
e categorização de todos os dados pessoais que as organizações
têm armazenados, incluindo não só os presentes em sistemas
operacionais, mas também os que estão em sistemas de backup e
arquivo, e não menos importante, os que ainda estão em suporte
físico (papel). Os ativos informáticos não documentados e o shadow
IT devem estar debaixo de olho, para que não entrem ou saiam dados
da organização sem conhecimento ou consentimento superior.
17
Deste modo, as organizações ficam em condições de comunicar com o regulador, e
demonstrar o cumprimento das normas impostas, protegendo os seus clientes e o seu
negócio. A notificação à CNPD e aos titulares dos dados, caso se justifique, deve estar
sempre presente nas obrigações das empresas. Ainda assim, nem todas as violações devem
ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar
num risco para os direitos dos titulares. Mas todas as violações devem ser devidamente
documentadas conforme definido no regulamento.
• ter uma política de governação de dados, com conhecimento transversal da sua tipologia
18
CONCLUSÃO
As novas tecnologias permitem às empresas privadas e às entidades Para estar à altura dos desafios da revolução tecnológica e do
públicas uma dinamização do negócio e dos relacionamentos sem mercado concorrencial as empresas não devem negligenciar a
precedentes, mas também abre um novo contexto na exposição e na confiança dos vários stakeholders do negócio, garantindo que os
utilização de dados pessoais. Cada vez há mais informações pessoais seus dados estão em boas mãos e protegidos.
nos circuitos públicos de informação e é preciso agir para tornar
estes circuitos mais seguros e, desta forma não arriscar perder a Os especialistas falam da necessidade de haver uma mudança
confiança das pessoas nas instituições e empresas, ou ser penalizado cultural e formação específica que favoreça o desenvolvimento
por elevadas multas. da conformidade com o RGPD. A constituição de uma equipa que
assegure a o processo de evolução legal poderá envolver recursos
O RGPD vem dar um novo alento à proteção dos dados pessoais, que internos e externos à organização.
integram um dos direitos fundamentais das pessoas, permitindo-lhes
controlar melhor os seus dados na atual era digital, trazendo mais A CompuWorks é uma das empresas que está comprometida com
responsabilização, transparência e rigor. esta evolução legal e posiciona-se como um parceiro de excelência
para ajudar as organizações a enfrentarem e a superarem, com
As empresas têm que acelerar a implementação das medidas sucesso, todos os desafios colocados pelo Regulamento Geral de
necessárias para a adoção do novo RGPD. É preciso agir, até porque Proteção de Dados, acautelando a conformidade legal de cada
a privacidade é algo muito apreciado pelos clientes e parceiros e processo.
tende a tornar-se uma vantagem competitiva nos negócios.
19
Tarefa Cumprida
Contacte-nos!
21